Súhrn
Riziko nedostatočného obídenie zabezpečenia existuje v spôsobe, akým väzba vzdialeného volania procedúr (RPC) v tlačiarni spracováva overovanie pre vzdialené rozhranie zaraďovačov. Aktualizácia Windows rieši túto chybu nedostatočného zabezpečenia zvýšením úrovne overovania RPC a zavedení novej politiky a kľúča databázy Registry, čím umožníte zákazníkom zakázať alebo povoliť režim vynútenia na strane servera a zvýšiť tak úroveň overovania.
Ďalšie informácie o nedostatočného zabezpečenia nájdete v téme CVE-2021-1678 | Windows Predstieranie nedostatočného zabezpečenia zaraďovača tlače.
|
Take Action Ak chcete chrániť svoje prostredie a zabrániť výpadkom, musíte vykonať nasledujúce kroky:
|
Časovanie aktualizácií
Tieto Windows aktualizácie budú vydané v dvoch fázach:
-
Počiatočná fáza nasadenia pre Windows vydané 12. januára 2021 alebo po tomto dátume.
-
Fáza vynútenia pre Windows vydané v určitý dátum v budúcnosti.
12. januára 2021: Fáza úvodného nasadenia
Počiatočná fáza nasadenia sa začína aktualizáciou balíka Windows vydanou 12. januára 2021, a to poskytnutím možnosti zákazníkom servera povoliť túto zvýšenú úroveň zabezpečenia samostatne na základe pripravenosti ich prostredia.
Toto vydanie:
-
Adresy CVE-2021-1678 (v režime nasadenia, ktorý je predvolene nastavený na možnosť Vypnuté).
-
Pridá podporu pre hodnotu RpcAuthnLevelPrivacyEnabled databázy Registry, aby sa zvýšila úroveň oprávnenia pre ochranu tlačiarne IRemoteWinspool.
Obmedzenie sa skladá z inštalácie Windows všetkých klientskych a serverových zariadení.
14. septembra 2021: Fáza vynútenia
Vydanie sa premení do fázy presadzovania 14. septembra 2021. Fáza presadzovania vynucuje zmeny adresy CVE-2021-1678 zvýšením úrovne oprávnenia bez toho, aby bolo potrebné nastaviť hodnotu databázy Registry.
Pokyny na inštaláciu
Pred inštaláciou tejto aktualizácie
Pred použitím tejto aktualizácie musíte mať nainštalované nasledujúce požadované aktualizácie. Ak používate aktualizáciu Windows, tieto povinné aktualizácie sa budú automaticky ponúkať podľa potreby.
-
Musíte mať nainštalovanú aktualizáciu SHA-2(KB4474419),ktorá je pred použitím tejto aktualizácie nainštalovaná 23. septembra 2019 alebo novšia aktualizácia SHA-2. Následne zariadenie reštartujte. Ďalšie informácie o aktualizáciách SHA-2 nájdete v téme Požiadavky podpory podpisovania kódov SHA-2 na rok 2019 pre Windows a WSUS.
-
Pre Windows Server 2008 R2 SP1 je potrebné mať nainštalovanú aktualizáciu zásobníka údržby (SSU)(KB4490628),ktorá je dátumom 12. marca 2019. Po nainštalovaní aktualizácie KB4490628 odporúčame nainštalovať najnovšiu aktualizáciu SSU. Ďalšie informácie o najnovšej aktualizácii SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníka údržby.
-
Pre Windows Server 2008 SP2 je potrebné mať nainštalovanú aktualizáciu zásobníka údržby (SSU)(KB4493730),ktorá je dátumom 9. apríla 2019. Po nainštalovaní aktualizácie KB4493730 odporúčame nainštalovať najnovšiu aktualizáciu SSU. Ďalšie informácie o najnovších aktualizáciách SSU nájdete v téme ADV990001 | Najnovšie aktualizácie zásobníka údržby.
-
Zákazníci si musia zakúpiť rozšírenú aktualizáciu zabezpečenia (ESU) pre lokálne verzie Windows Server 2008 SP2 alebo Windows Server 2008 R2 SP1 po ukončení rozšírenej podpory 14. januára 2020. Zákazníci, ktorí si zakúpili ESU, musia postupovať podľa postupu v článku KB4522133, aby aj naďalej dostávali aktualizácie zabezpečenia. Ďalšie informácie o ESU a vydaniach, ktoré sú podporované, nájdete v článku KB4497181.
Dôležité upozorneniePo inštalácii týchto požadovaných aktualizácií je potrebné reštartovať zariadenie.
Inštalácia aktualizácie
Na vyriešenie nedostatočného zabezpečenia nainštalujte Windows a povoľte režim vynútenia pomocou týchto krokov:
-
Nasadiť aktualizáciu z 12. januára 2021 vo všetkých klientskych a serverových zariadeniach.
-
Po dokončení aktualizácie všetkých klientskych a serverových zariadení možno úplnú ochranu zapnúť nastavením hodnoty databázy Registry na hodnotu 1.
Krok 1: Inštalácia Windows aktualizácie
Nainštalujte aktualizáciu aktualizácií z 12. Windows 2021 alebo novšiu Windows na všetky klientske a serverové zariadenia.
|
Windows Serverový produkt |
kB # |
Typ aktualizácie |
|
Windows Server, verzia 20H2 (Základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
|
Windows Server, verzia 2004 (Základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
|
Windows Server, verzia 1909 (Základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
|
Windows Server, verzia 1903 (Základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
|
Windows Server 2019 (Základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
|
Windows Server 2019 |
Aktualizácia zabezpečenia |
|
|
Windows Server 2016 (základná inštalácia servera) |
Aktualizácia zabezpečenia |
|
|
Windows Server 2016 |
Aktualizácia zabezpečenia |
|
|
Windows Server 2012 R2 (základná inštalácia servera) |
Mesačná súhrnná |
|
|
Iba zabezpečenie |
||
|
Windows Server 2012 R2 |
Mesačná súhrnná |
|
|
Iba zabezpečenie |
||
|
Windows Server 2012 (základná inštalácia servera) |
Mesačná súhrnná |
|
|
Iba zabezpečenie |
||
|
Windows Server 2012 |
Mesačná súhrnná |
|
|
Iba zabezpečenie |
||
|
Windows Server 2008 R2 Service Pack 1 |
Mesačná súhrnná |
|
|
Iba zabezpečenie |
||
|
Windows Server 2008 Service Pack 2 |
Mesačná súhrnná |
|
|
Iba zabezpečenie |
Krok 2: Zapnutie režimu vynútenia
Dôležité Táto časť, metóda alebo úloha obsahuje kroky na zmenu databázy Registry. V prípade nesprávneho nastavenia databázy Registry sa však môžu vyskytnúť vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na ešte pridanú ochranu si databázu Registry pred zmenou zálohte. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v téme Zálohovanie a obnovovanie databázy Registry v Windows.
Po aktualizovaní všetkých klientskych a serverových zariadení môžete zapnúť úplnú ochranu nasadením režimu vynútenia. Postupujte podľa nasledujúcich krokov:
-
Kliknite pravým tlačidlom myši na tlačidloŠtart, kliknite napoložku Spustiť, zadajte príkaz cmddo poľa Spustiť a potom stlačte kombináciu klávesov Ctrl+Shift+Enter.
-
Do príkazového riadka Správca zadajte príkaz regedit a stlačte kláves Enter.
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Kliknite pravým tlačidlom myši napoložku Tlačiť , vybertepoložku Nové a potom kliknite na položku Hodnota DWORD (32-bitová).
-
Zadajte rpcAuthnLevelPrivacyEnabled a potom stlačte kláves Enter.
-
Kliknite pravým tlačidlom myši na položku RpcAuthnLevelPrivacyEnabled a potom kliknite na položku Upraviť.
-
Do poľa Údaje hodnôt zadajte hodnotu 1 a potom kliknite na tlačidlo OK.
Poznámka: Táto aktualizácia predstavuje podporu pre hodnotu rpcAuthnLevelPrivacyEnabled databázy Registry, ktorá zvyšuje úroveň oprávnení pre tlačiareň IRemoteWinspool.
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Hodnota |
RpcAuthnLevelPrivacyEnabled |
|
Typ údajov |
REG_DWORD |
|
Údaje |
1:Zapne režim vynútenia. Pred zapnutím režimu vynútenia na strane servera sa uistite, že všetky klientske zariadenia majú nainštalovanú aktualizáciu balíka Windows vydanú 12. januára 2021 alebo novšiu Windows aktualizáciu. Táto oprava zvyšuje úroveň oprávnení pre tlačiareň rozhrania IRemoteWinspool RPC a pridá na strane servera novú politiku a hodnotu databázy Registry na vynútenie použitia novej úrovne oprávnení klienta pri použití režimu vynútenia. Ak klientske zariadenie nemá aktualizáciu zabezpečenia 12. januára 2021 alebo novšiu aktualizáciu Windows, tlač bude po pripojení klienta k serveru prostredníctvom rozhrania IRemoteWinspool nefunkčná. 0:Neodporúča sa. Vypne úroveň zvýšenia overovania pre tlačiareň IRemoteWinspoola vaše zariadenia nie sú chránené. |
|
Predvolené |
Predvolené správanie po inštalácii aktualizácií, keď nie je nastavený kľúč databázy Registry:
|
|
Vyžaduje sa reštartovanie? |
Áno, vyžaduje sa reštartovanie zariadenia alebo reštartovanie služby zaraďovača. |
