Implementatie van printer-RPC-bindingswijzigingen beheren voor CVE-2021-1678

Samenvatting

Er bestaat een beveiligingsoverwegingsprobleem in de manier waarop de RPC-binding (Printer Remote Procedure Call) verificatie voor de externe Winspool-interface verwerkt. De Windows-update lost dit beveiligingsprobleem op door het RPC-verificatieniveau te verhogen en een nieuw beleid en registersleutel in te voeren, zodat klanten de afdwingingsmodus aan de serverzijde kunnen uitschakelen of inschakelen om het verificatieniveau te verhogen.

Zie CVE-2021-1678-| NTLM-beveiligingsfunctie omzeilt kwetsbaarheid.

Actie ondernemen

Als u uw omgeving wilt beschermen en uitval wilt voorkomen, moet u het volgende doen:

  1. Werk alle client- en serverapparaten bij door de update van 12 januari 2021 Windows of een latere update Windows installeren. Let op: het installeren van Windows update beperkt het beveiligingsprobleem niet volledig en kan van invloed zijn op uw huidige afdrukconfiguratie. U moet stap 2 uitvoeren.

  2. De modus Afdwingen op de afdrukserver inschakelen. Vanaf de update van 8 juni 2021 is de afdwingingsmodus ingeschakeld op alle Windows apparaten.

Tijdsinstellingen voor updates

Deze Windows updates worden in twee fasen uitgebracht:

  • De eerste implementatiefase voor Windows updates die zijn uitgebracht op of na 12 januari 2021.

  • De handhavingsfase voor Windows updates die zijn uitgebracht op of na 8 juni 2021.

12 januari 2021: Eerste implementatiefase

De eerste implementatiefase begint met de Windows-update die is uitgebracht op 12 januari 2021 door serverklanten de mogelijkheid te bieden om dit verhoogde beveiligingsniveau zelf in te stellen op basis van de gereedheid van hun omgeving.

Deze release:

  • Adressen CVE-2021-1678 (in de implementatiemodus standaard ingesteld op Uit).

  • Hiermee wordt ondersteuning toegevoegd voor de RpcAuthnLevelPrivacyEnabled-registerwaarde om het autorisatieniveau voor printer IRemoteWinspool-beveiliging te verhogen.

Beperking bestaat uit de installatie van de Windows updates op alle apparaten op client- en serverniveau.

8 juni 2021: Fase van handhaving

De release van 8 juni 2021 gaat over naar de uitvoeringsfase. Met de uitvoeringsfase worden de wijzigingen afgedwongen voor cve-2021-1678 door het autorisatieniveau te verhogen zonder de registerwaarde in te stellen.

Installatie-richtlijnen

Voordat u deze update installeert

U moet de volgende vereiste updates hebben geïnstalleerd voordat u deze update kunt toepassen. Als u Windows Update gebruikt, worden deze vereiste updates zo nodig automatisch aangeboden.

  • U moet de SHA-2-update(KB4474419)van 23 september 2019 of een latere SHA-2-update hebben geïnstalleerd en vervolgens uw apparaat opnieuw opstarten voordat u deze update gaat toepassen. Zie 2019 SHA-2 Code Signing Support requirement for Windows and WSUS voormeer informatie over SHA-2-updates.

  • Voor Windows Server 2008 R2 SP1 moet u de update voor de servicestack (SSU)(KB4490628)van 12 maart 2019 hebben geïnstalleerd. Nadat update KB4490628 is geïnstalleerd, raden we u aan de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-update | Meest recente updates voor onderhoudsstapels.

  • Voor Windows Server 2008 SP2 moet u de servicestackupdate(SSU) (KB4493730)van 9 april 2019 hebben geïnstalleerd. Nadat update KB4493730 is geïnstalleerd, wordt u aangeraden de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-updates | Meest recente updates voor onderhoudsstapels.

  • Klanten moeten de Uitgebreide beveiligingsupdate (ESU) kopen voor on-premises versies van Windows Server 2008 SP2 of Windows Server 2008 R2 SP1 nadat de uitgebreide ondersteuning is beëindigd op 14 januari 2020. Klanten die de ESU hebben gekocht, moeten de procedures in KB4522133 volgen om beveiligingsupdates te blijven ontvangen. Zie KB4497181voor meer informatie over ESU en welke edities worden ondersteund.

BelangrijkU moet uw apparaat opnieuw opstarten nadat u deze vereiste updates hebt geïnstalleerd.

De update installeren

Als u het beveiligingsprobleem wilt oplossen, installeert u de Windows updates en schakelt u de afdwingingsmodus in door de volgende stappen uit te voeren:

  1. Implementeer de update van 12 januari 2021 naar alle client- en serverapparaten.

  2. Nadat alle client- en serverapparaten zijn bijgewerkt, kan volledige beveiliging worden ingeschakeld door de registerwaarde in te stellen op 1.


Stap 1: De Windows installeren

Installeer de update van 12 januari 2021 Windows of een latere update Windows alle client- en serverapparaten.

Windows Serverproduct

KB #

Type update

Windows Server, versie 20H2 (Server Core-installatie)

4598242

Beveiligingsupdate

Windows Server, versie 2004 (Server Core-installatie)

4598242

Beveiligingsupdate

Windows Server, versie 1909 (Server Core-installatie)

4598229

Beveiligingsupdate

Windows Server, versie 1903 (Server Core-installatie)

4598229

Beveiligingsupdate

Windows Server 2019 (Server Core-installatie)

4598230

Beveiligingsupdate

Windows Server 2019

4598230

Beveiligingsupdate

Windows Server 2016 (Server Core-installatie)

4598243

Beveiligingsupdate

Windows Server 2016

4598243

Beveiligingsupdate

Windows Server 2012 R2 (Server Core-installatie)

4598285

Maandelijkse rollup

4598275

Alleen beveiliging

Windows Server 2012 R2

4598285

Maandelijkse rollup

4598275

Alleen beveiliging

Windows Server 2012 (Server Core-installatie)

4598278

Maandelijkse rollup

4598297

Alleen beveiliging

Windows Server 2012

4598278

Maandelijkse rollup

4598297

Alleen beveiliging

Windows Server 2008 R2 Service Pack 1

4598279

Maandelijkse rollup

4598289

Alleen beveiliging

Windows Server 2008 Service Pack 2

4598288

Maandelijkse rollup

4598287

Alleen beveiliging

Stap 2: Afdwingingsmodus inschakelen

Belangrijk Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register wijzigt. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken en herstellen van het register in Windows voor meer informatie over het maken van een back-upen het herstellen van het register.

Nadat alle client- en serverapparaten zijn bijgewerkt, kunt u volledige beveiliging inschakelen door de modus Afdwingen te implementeren. Ga hiervoor als volgt te werk:

  1. Klik met de rechtermuisknop op Start, klik op Uitvoeren,typ cmd in het vak Uitvoeren en druk vervolgens op Ctrl+Shift+Enter.

  2. Typ regedit bij de opdrachtprompt Beheerder en druk op Enter.

  3. Zoek de volgende register subsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Klik met de rechtermuisknop op Afdrukken,kies Nieuwen klik vervolgens op DWORD WAARDE (32-bits) Waarde.

  2. Typ RpcAuthnLevelPrivacyEnabled en druk vervolgens op Enter.

  3. Klik met de rechtermuisknop op RpcAuthnLevelPrivacyEnabled en klik vervolgens op Wijzigen.

  4. Typ 1 in het vak Waardegegevens en klik vervolgens op Ok.

Opmerking Deze update introduceert ondersteuning voor de RpcAuthnLevelPrivacyEnabled registerwaarde om het autorisatieniveau voor printer IRemoteWinspool te verhogen.

Subsleutel Register

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Waarde

RpcAuthnLevelPrivacyEnabled

Gegevenstype

REG_DWORD

Data

1: De modus Afdwingen inschakelen. Voordat u de modus Afdwingen inschakelen voor serverzijde, moet u controleren of alle clientapparaten de Windows-update hebben geïnstalleerd die is uitgebracht op 12 januari 2021 of een latere update Windows update. Met deze oplossing wordt het autorisatieniveau voor de RPC-interface van printer IRemoteWinspool verhoogd en worden er een nieuwe beleids- en registerwaarde toegevoegd aan de serverzijde om de client af te dwingen het nieuwe autorisatieniveau te gebruiken als de afdwingingsmodus wordt toegepast. Als op het clientapparaat de beveiligingsupdate van 12 januari 2021 of een latere Windows-update niet is toegepast, wordt de afdrukervaring verbroken wanneer de client verbinding maakt met de server via de interface IRemoteWinspool.

0: Niet aanbevolen. Hiermee wordt het verificatieniveau voor printer IRemoteWinspooluitgeschakeld en zijn uw apparaten niet beveiligd.

Standaard

0 (wanneer registersleutel niet is ingesteld)

Is een herstart vereist?

Ja, een apparaat opnieuw opstarten of een herstart van de spoolerservice is vereist.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

×