MS16-087: Компоненты диспетчера очереди печати обновления для системы безопасности для Windows: 12 июля 2016 г.

Применимо к: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

Уведомление


Это обновление было выпущено повторно 12 сентября 2017 г., для устранения известных проблем обновления 3170455 для CVE-2016-3238.

Корпорация Майкрософт выпустила следующие обновления для версий Microsoft Windows в настоящее время поддерживается. Дополнительные сведения перейдите к следующей статье Microsoft Knowledge Base:

  • Повторно выпущенное обновление 3170455 для Windows Server 2008
  • Ежемесячный накопительный пакет 4038777 и обновление безопасности 4038779 для Windows 7 и Windows Server 2008 R2
  • Ежемесячный накопительный пакет 4038799 и обновление безопасности 4038786 для Windows Server 2012
  • Ежемесячный накопительный пакет 4038792 и обновление безопасности 4038793 для Windows 8.1 и Windows Server 2012 R2
  • Накопительное обновление 4038781 для Windows 10
  • Накопительное обновление 4038781 для Windows 1511 версии 10
  • Накопительного обновления 4038782 для 1607 10 версию Windows и Windows Server 2016

Корпорация Майкрософт рекомендует переустановить заказчиков, использующих Windows Server 2008 обновление 3170455. Майкрософт рекомендует пользователям других поддерживаемых версий Windows установить соответствующее обновление. Для получения дополнительных сведений перейдите к статье базы знаний Майкрософт 3170455.


Другие изменения, включенные в повторном выпуске MS16 087

  • Добавленные события ведения журнала для определения причины возникновения ошибки установки драйвера принтера

Ранее единственным способом для клиента знать причину сбоя драйвера новые проверки ограничения которых, реализованный как часть MS16 087 собирать журналы etw печати, затем отправить в корпорацию Майкрософт для анализа.

Добавлена возможность входа причины сбоев средство ведения журнала событий, чтобы клиенты можно исследовать причину неполадки драйверов сами.

Сведения, которые будут входить:

1. Если драйвер не поддерживающие пакеты или подписан неправильно, регистрируется следующее сообщение:

MSG_CSRSPL_UNTRUSTED_DRIVER: «диспетчер очереди печати не удалось загрузить пакет драйвера <имя_драйвера>. Код ошибки = <errorCodeFromListBelow>. Блокирование драйвер, не может быть вероятность потенциальных фальсификации.»

2. Если драйвер не проходит проверку подписи с помощью предоставленного каталога, регистрируется следующее сообщение:

VALIDATEDRVINFO_FAILED : «В VALIDATINGDRVINFO, Добавление драйвера принтера <имя_драйвера> сбой <errorCodeFromListBelow>.

Возможные коды ошибок:

Код

Значение

0x800F0243L

Не доверенным издателем

0x800F024BL

Хэширование не в каталоге

0x800F022FL

Отсутствует каталог для OEM INF

0x800F023FL

Каталог не authenticode

0x800F0240L

Authenticode не разрешено

0x800F0249L

Универсальный «Установка драйвера заблокирован»

 

Обзор


Это обновление для системы безопасности устраняет уязвимости в Microsoft Windows. Более серьезная уязвимость делает возможным удаленное выполнение кода если злоумышленник сможет выполнять атаки (MiTM) в середине на рабочей станции или сервера печати или настроить сервер печати rogue конечной сети.

Бюллетень корпорации Майкрософт по безопасности MS16-087Дополнительные сведения о данной уязвимости см.

Дополнительные сведения


Важно:
 
  • После установки этого обновления безопасности для развертывания точки и драйверы печати из серверов для клиентов печати, необходимо применить следующий накопительный пакет обновления Windows на сервере печати Windows 8.1 или Windows Server 2012 R2:
    3000850 ноябрь 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
  • Все будущие обновления , относящиеся и не относящегося к безопасности для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 требуют установленного обновления 2919355 . Корпорация Майкрософт рекомендует установить обновление 2919355 на компьютеры: на базе Windows RT 8.1, на основе Windows 8.1 или под управлением Windows Server 2012 R2, чтобы получать последующие обновления.
  • При установке языкового пакета после установки этого обновления, необходимо переустановить это обновление. Таким образом, рекомендуется установить все языковые пакеты, которые вам нужны, прежде чем установить данное обновление. Дополнительные сведения содержатся в статье Установка языковых пакетов для Windows.

Дополнительные сведения об этом обновлении безопасности


Следующие статьи содержат дополнительные сведения об этом обновлении для системы безопасности по отношению к версии конкретного продукта. В них могут быть сведения об известных проблемах.
 
  • 3170455 MS16-087: Описание обновления безопасности для Windows компоненты диспетчера очереди печати: 12 июля 2016 г.
  • Накопительное обновление 3163912 для Windows 10: 12 июля 2016 г.
  • Накопительное обновление 3172985 для 1511 10 версию Windows и Windows Server 2016 технические Предварительный просмотр 4: 12 июля 2016 г.
 

Известные проблемы

Если вы используете сетевой печати в среде, возможно возникновение следующих проблем:
 
  • Вы может появиться предупреждение об установке драйвера принтера или драйвера не сможет установить без уведомления после применения MS16 087. Проблема здесь зависит от конкретного сценария.
     

    Сценарий 1

    Для драйверов принтеров не поддерживающими пакет v3 следующее предупреждающее сообщение может появиться при попытке подключения к принтерам указания и печати:

    Do you trust this printer?
     

    Сценарий 2

    Драйверы, поддерживающие пакеты должны быть подписаны доверенным сертификатом. Процесс проверки проверяет ли все файлы, включенные в драйвере хэшируются в каталоге. В случае сбоя проверки, драйвер считается ненадежным. В этом случае установка драйвера заблокирован, и отображается сообщение об ошибке:

    Add printer
     

    Сценарий 3

    Для неинтерактивного сценариев (например, принтер устанавливается с помощью автоматизированных сценариев), когда принтер соответствует критериям, которое описано в сценарии 1 или 2 сценарий, происходит сбой установки принтера и не появляется никакого предупреждения.

    В таких случаях обратитесь к администратору сети, чтобы получить обновленный драйвер у изготовителя принтера.

    Руководство для администраторов сети:
     
    • Обновите уязвимый драйвер принтера. Драйверы принтера, поддерживающие пакет V3 были введены в Windows Vista. Установка драйвера принтера с поддержкой пакета решит проблему.
    • Если на отдельном устаревшем принтере нет соответствующего драйвера принтера, проблему решит предварительная установка проблемного драйвера на клиентской системе.
    Дополнительные сведения об этих сценариях см корпорации Майкрософт:
     
  • После установки обновления безопасности MS16-087 (KB 3170455 ) и попытаться подключиться к доверенным поддерживающие пакеты принтера, установленного на компьютере под управлением Windows Server 2012 R2 или Windows 8.1, не удается подключиться к принтеру.

    Чтобы устранить эту проблему, применяются следующие накопительные пакеты обновления Windows на сервере печати Windows 8.1 или Windows Server 2012 R2:
    3000850 ноябрь 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2

Обновление октября 2016: Способ устранения известных проблем

Корпорация Майкрософт выпустила обновление для октября 2016, позволяет администраторам настроить политики, которые разрешают установку драйверов принтера, которые они считают безопасны. Это обновление также позволяет сетевым администраторам развертывать их безопасные подключения принтеров.

Обновления, содержатся в следующих пакетах исправлений.

 
RTM Windows 10 3192440 КБ
Windows 10 1511 3192441 КБ
Windows 10 1607 3194798 КБ
Windows 7 и Windows Server 2008 R2 3192403 КБ
Windows Server 2012 3192406 КБ
Windows 8.1 и Windows Server 2012 R2 3192404 КБ

Настройка групповой политики для добавления серверов печати в список разрешенных

  1. Нажмите кнопку Пуск и выберите команду Выполнить.
  2. Введите команду gpedit.msc и нажмите кнопку ОК.
  3. Разверните узлы Конфигурация компьютера, Административныешаблоны.
  4. Выберите пункт Принтеры.
  5. Дважды щелкните Ограничения указания и печати, а затем выберите вариант « Включить ».
  6. В группе Параметрыустановите флажок Пользователи могут указывать и печатать только на следующих серверах , а затем введите полные имена серверов в текстовом поле, разделяя их точкой с запятой.
  7. В группе Безопасности предлагаетвыберите не показывать предупреждение или запрос на повышение запрос в списки при установке драйверов для нового подключения и при обновлении драйверов для нового подключения .
  8. Нажмите кнопку Применить, а затем OK.
  9. На странице политики Принтеры дважды щелкните пакет указания и печати – серверы утверждено.
  10. Выберите вариант « Включить ».
  11. В группе Параметрынажмите кнопку Показать.
  12. Одного сервера полное имя типа в каждой строке.
  13. Нажмите кнопку ОК.
  14. Нажмите кнопку Применить и нажмите кнопку ОК.
  15. При использовании автономного клиента, перезагрузите клиентский компьютер и убедитесь, что эти политики вступают в силу.
  16. При использовании политик домена принудительные политики для клиентов домена и убедитесь, что эти политики вступают в силу.
Примечание После включения этих групповых политик, необходимо добавить все серверы печати и Ограничения указания и печати списков и пакет указания и печати – сервер утверждено . Это справедливо независимо от того, поддержка пакета.
 

Обновление октября 2016 часто задаваемые вопросы

  • Вопрос мы следует удалить предыдущее обновление?
    A: Но. Предыдущее обновление устраняет эту уязвимость. Обновление октября 2016 обеспечивает защиту, чтобы дать администраторам возможность устанавливать драйверы, которые они считают безопасным.
  • Даже вопрос с установленным обновлением октября 2016 и настройки групповой политики, сообщение «вы доверяете принтеру» по-прежнему отображается при попытке установить локальный принтер. Почему так?
    A: такой защиты предназначен сетевыми принтерами и не является локальным, так что это нормально.

    Примечание. Если появляется сообщение «вы доверяете принтеру» заменить текущий драйвер с помощью надежных виду пакет драйвера или перед установкой локального принтера установить файлы драйвера в хранилище драйверов на локальном. Дополнительные сведения см в разделе руководство для администраторов сети .

Как получить и установить обновление


Метод 1. Центр обновления Windows

Это обновление доступно через Центр обновления Windows. При включении автоматического обновления, обновления будут загружаться и устанавливаться автоматически. Дополнительные сведения о том, как включить автоматическое обновление автоматически получать обновления для системы безопасностисм.

Примечание. Для Windows RT 8.1 это обновление доступно только в Центре обновления Windows.

Дополнительные сведения