Samenvatting
Beveiligingsupdates die op en na 6 juli 2021 zijn uitgebracht, bevatten beveiligingen voor een beveiligingsprobleem bij het uitvoeren van externe code in de Windows Print Spooler-service (spoolsv.exe), bekend als 'PrintNightmare', gedocumenteerd in CVE-2021-34527. Na de installatie van de updates van juli 2021 en hoger kunnen niet-beheerders, waaronder gedelegeerde beheerdersgroepen zoals printeroperatoren, ondertekende en niet-ondertekende printerstuurprogramma's niet installeren op een afdrukserver. Standaard kunnen alleen beheerders ondertekende en niet-ondertekende printerstuurprogramma's installeren op een afdrukserver.
Opmerking Voordat u de out-of-band van juli 2021 en later Windows-updates met beveiligingen voor CVE-2021-34527 installeert, kan de beveiligingsgroep van de printeroperatoren zowel ondertekende als niet-ondertekende printerstuurprogramma's installeren op een printerserver. Vanaf de out-of-band-update van juli 2021 zijn beheerdersreferenties vereist voor het installeren van ondertekende en niet-ondertekende printerstuurprogramma's op een printerserver. Als u desgewenst alle beleidsinstellingen voor punt- en afdrukbeperkingen wilt overschrijven en ervoor wilt zorgen dat alleen beheerders printerstuurprogramma's op een afdrukserver kunnen installeren, configureert u de registerwaarde RestrictDriverInstallationToAdministrators op 1.
U wordt aangeraden de meest recente Windows-updates die op of na 6 juli 2021 zijn uitgebracht, onmiddellijk te installeren op alle ondersteunde Windows-client- en serverbesturingssystemen, te beginnen met apparaten die momenteel de afdrukspoolerservice hosten. Stel vervolgens de instelling 'Bij het installeren van stuurprogramma's voor een nieuwe verbinding' en 'Bij het bijwerken van stuurprogramma's voor een bestaande verbinding' in de groepsbeleidsinstelling Punt- en afdrukbeperkingen in op 'Waarschuwings- en hoogteprompt tonen'.
Oplossing
-
Installeer de out-of-band- of latere updates van juli 2021.
-
Controleer of de volgende voorwaarden waar zijn:
-
Register Instellingen: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) of niet gedefinieerd (standaardinstelling)
-
UpdatePromptSettings = 0 (DWORD) of niet gedefinieerd (standaardinstelling)
-
-
Groepsbeleid: U hebt het groepsbeleid voor punt- en afdrukbeperkingen niet geconfigureerd.
Als beide voorwaarden waar zijn, bent u niet kwetsbaar voor CVE-2021-34527 en is er geen verdere actie nodig. Als een van de voorwaarden niet waar is, bent u kwetsbaar. Volg de onderstaande stappen om het groepsbeleid voor punt- en afdrukbeperkingen te wijzigen in een veilige configuratie.
-
Open het hulpprogramma voor groepsbeleidseditor en ga naar Computerconfiguratie >beheersjablonen >Printers.
-
Configureer de groepsbeleidsinstelling Punt- en afdrukbeperkingen als volgt:
-
Stel de groepsbeleidsinstelling Punt- en afdrukbeperkingen in op 'Ingeschakeld'.
-
"When installing drivers for a new connection": "Show warning and elevation prompt".
-
'Bij het bijwerken van stuurprogramma's voor een bestaande verbinding': 'Waarschuwings- en hoogteprompt tonen'.
-
Belangrijk U wordt ten zeerste aangeraden dit beleid toe te passen op alle machines die de afdrukspoolerservice hosten.
Vereisten voor opnieuw starten: Voor deze beleidswijziging hoeft u het apparaat of de afdrukspoolerservice niet opnieuw te starten nadat u deze instellingen hebt toegepast.
3. Gebruik de volgende registersleutels om te bevestigen dat het groepsbeleid correct is toegepast:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Waarschuwing Als u deze instelt op niet-nulwaarden, zijn de apparaten waarop u de CVE-2021-34527-update hebt geïnstalleerd kwetsbaar.
Opmerking Als u deze instellingen configureert, wordt de functie Punt en Afdrukken niet uitgeschakeld.
4. [Aanbevolen] Overschrijven Punten- en afdrukbeperkingen, zodat alleen beheerders afdruktuurprogramma's op printerservers kunnen installeren. Dit gebeurt met de registersleutel RestrictDriverInstallationToAdministrators. Updates die zijn uitgebracht op 6 juli 2021 of hoger, hebben een standaardwaarde van 0 (uitgeschakeld) tot updates zijn uitgebracht op 10 augustus 2021. Updates die zijn uitgebracht op 10 augustus 2021 of hoger, hebben een standaardwaarde van 1 (ingeschakeld). Zie KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481) voor meer informatie over het instellen van RestrictDriverInstallationToAdministrators en andere afdrukgerelateerde aanbevelingen.
Meer informatie
Zijn de correcties voor CVE-2021-34527 van invloed op het standaardscenario van de installatie van stuurprogramma's aan punt en afdrukken voor een clientapparaat dat verbinding maakt met en een afdruktuurprogramma installeert voor een gedeelde netwerkprinter?
Nee, de oplossingen voor CVE-2021-34527 zijn niet rechtstreeks van invloed op het standaardscenario voor de installatie van stuurprogramma's aan punt en afdrukken voor een clientapparaat dat verbinding maakt met en een afdruktuurprogramma installeert voor een gedeelde netwerkprinter. In dit geval maakt een clientapparaat verbinding met een afdrukserver en worden de stuurprogramma's van die vertrouwde server gedownload en geïnstalleerd. Dit scenario verschilt van het kwetsbare scenario waarin een aanvaller een schadelijk stuurprogramma probeert te installeren op de afdrukserver zelf, lokaal of op afstand.
