Resumo

As atualizações de segurança lançadas em 6 de julho de 2021 contêm proteções para uma vulnerabilidade de execução de código remoto no serviço Spooler de Impressão do Windows (spoolsv.exe) conhecido como   "PrintNightmare", documentado no CVE-2021-34527. Depois de instalar as atualizações de julho de 2021 e posteriores, os não administradores, incluindo grupos de administradores delegados, como operadores de impressora, não podem instalar drivers de impressora assinados e não assinados em um servidor de impressão. Por padrão, somente os administradores podem instalar drivers de impressora assinados e não assinados em um servidor de impressão. 

Observação Antes de instalar as atualizações fora de banda e posteriores de julho de 2021 que contêm proteções para o CVE-2021-34527, o grupo de segurança das operadoras de impressoras poderia instalar drivers de impressora assinados e não Windows assinados em um servidor de impressora. A partir da atualização de julho de 2021, as credenciais de administrador serão necessárias para instalar drivers de impressora assinados e não assinados em um servidor de impressora. Opcionalmente, para substituir todas as configurações de política de Grupo de Restrições de Ponto e Impressão e garantir que apenas os administradores possam instalar drivers de impressora em um servidor de impressão, configure o valor de registro RestrictDriverInstallationToAdministrators como 1.

Recomendamos que você instale imediatamente as atualizações mais recentes do Windows lançadas em ou após 6 de julho de 2021 em todos os sistemas operacionais de cliente e servidor compatíveis com o Windows, começando com dispositivos que atualmente hospedam o serviço de spooler de impressão. Em seguida, de definir "Ao instalar drivers para uma nova conexão" e "Ao atualizar drivers para uma conexão existente" na configuração De Política de Grupo de Restrições de Impressão e Ponto como "Mostrar aviso e prompt de elevação".

Resolução

  1. Instale as atualizações de saída ou posteriores de julho de 2021.

  2. Verifique se as seguintes condições são verdadeiras:

  • Registro Configurações: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) ou não definido (configuração padrão)

    • UpdatePromptSettings = 0 (DWORD) ou não definido (configuração padrão)

  • Política de Grupo: Você não configurou a Política de Grupo de Restrições de Ponto e Impressão.

Se ambas as condições são verdadeiras, você não está vulnerável ao CVE-2021-34527 e nenhuma ação é necessária. Se uma das condições não for verdadeira, você será vulnerável. Siga as etapas a seguir para alterar a Política de Grupo de Restrições de Ponto e Impressão para uma configuração segura.

  1. Abra a ferramenta de editor de política de grupo e vá para Configuração do Computador > Modelos Administrativos > Impressoras. 

  2. Configure a configuração de Política de Grupo de Restrições de Ponto e Impressão da seguinte forma:

    1. De definir a configuração de Política de Grupo de Restrições de Impressão e Ponto como "Habilitado".

    2. "Ao instalar drivers para uma nova conexão": "Mostrar aviso e prompt de elevação".

    3. "Ao atualizar drivers para uma conexão existente": "Mostrar aviso e prompt de elevação".

texto alternativo

Importante É recomendável aplicar essa política a todos os máquinas que hospedam o serviço de spooler de impressão.

Requisitos de reinicialização: Essa alteração de política não exige uma reinicialização do dispositivo ou do serviço de spooler de impressão após a aplicação dessas configurações. 

3. Use as seguintes chaves do Registro para confirmar se a Política de Grupo foi aplicada corretamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Aviso Defini-los como valores não zero torna vulneráveis os dispositivos nos quais você instalou a atualização CVE-2021-34527.

Observação A configuração dessas configurações não desabilita o recurso Point and Print.

4. [Opcional] Substituir Restrições de Ponto e Impressão para que apenas os administradores possam instalar drivers de impressão em servidores de impressora 

Você tem a opção de substituir todas as configurações de Política de Grupo de Restrições de Ponto e Impressão e garantir que apenas os administradores possam instalar drivers de impressora em um servidor de impressão configurando o valor de Registro RestrictDriverInstallationToAdministrators como 1.

Para restringir a instalação de novos drivers de impressora, de definir manualmente o valor do Registro RestrictDriverInstallationToAdministrators da seguinte maneira:

Observação Não há nenhuma configuração de Política de Grupo para essa restrição.

Local do Registro

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

ObservaçãoA configuração do Registro RestrictDriverInstallationToAdministrators reside no local do Registro PointAndPrint, mas é específica para proteções para CVE-2021-34527, mas não está relacionada ao comportamento de ponto e impressão.

Nome DWord

RestrictDriverInstallationToAdministrators

Dados de valor

Definir o valor como 0 , ou deixar o valor    indefinido, permite que não administradores instalem drivers assinados e não assinados em um servidor de impressão, mas não substitui as configurações de Política de Grupo de Impressão e Ponto. Esse é o valor padrão. Consequentemente, a configuração da Política de Grupo de Restrições de Ponto e Impressão pode substituir isso para permitir que os não administradores possam instalar drivers de impressão assinados e não assinados em um servidor de impressão.

Definir esse valor como 1 ou qualquer valor que não seja zero substituirá todas as configurações de política do Grupo de Restrições de Impressão e Pontos e garantirá que somente os administradores possam instalar drivers de impressora em um servidor de    impressão.  

Observação: Se esse valor for definido como 0, o valor do Registro será desabilitado (padrão ou não presente).

Requisitos de reinicialização

Nenhuma reinicialização é necessária ao criar ou modificar esse valor do Registro.

Para automatizar a adição do valor do Registro RestrictDriverInstallationToAdministrators, siga estas etapas:

  1. Abra uma janela prompt de comando (cmd.exe) com permissões elevadas.

  2. Digite o seguinte comando e pressione Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Mais informações

As correções do CVE-2021-34527 impactam o cenário padrão de instalação de driver de Ponto e Impressão para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada?

Não, as correções do CVE-2021-34527 não afetam diretamente o cenário padrão de instalação do driver point e print para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada. Nesse caso, um dispositivo cliente se conecta a um servidor de impressão e baixa e instala os drivers desse servidor confiável. Esse cenário é diferente do cenário vulnerável em que um invasor está tentando instalar um driver mal-intencionado no próprio servidor de impressão, local ou remotamente.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?
O que afetou sua experiência?

Obrigado por seus comentários!

×