Povzetek
Varnostne posodobitve, izdane 6. julija 2021, vsebujejo zaščito za ranljivost izvajanja oddaljene kode v storitvi Windows Print Spooler (spoolsv.exe), ki se imenuje »PrintNightosti«, ki je zabeležena v CVE-2021-34527. Po namestitvi posodobitev iz julija 2021 in novejših različicah ne morejo skrbniki, ki niso skrbniki, vključno z pooblaščenimi skrbniškimi skupinami, kot so operatorji tiskalnika, v tiskalniški strežnik namestiti podpisanih in nepodpisanih gonilnikov tiskalnika. Privzeto lahko le skrbniki v tiskalniški strežnik namestijo tako podpisane kot nepodpisirane gonilnike tiskalnika.
Opomba Pred namestitvijo dodatka Out-of-band iz julija 2021 in posodobitev Windows, ki vsebujejo zaščito za CVE-2021-34527, lahko varnostna skupina operaterjev tiskalnikov v tiskalnik strežnik namesti tako podpisane kot nepodpisirane gonilnike tiskalnika. Od julija 2021 naprej bodo za namestitev podpisanih in nepodpisanih gonilnikov tiskalnika v tiskalniški strežnik potrebne skrbniške poverilnice. Če želite preglasiti vse nastavitve pravilnika skupine za točkovne in omejitve tiskanja in zagotoviti, da lahko samo skrbniki namestijo gonilnike tiskalnika v tiskalniški strežnik, konfigurirajte vrednost registra RestrictDriverInstallationToAdministrators na 1.
Priporočamo, da takoj namestite najnovejše posodobitve storitve Windows, izdane 6. julija 2021, v vse podprte operacijske sisteme za odjemalca in strežnike Windows, in sicer tako, da začnete z napravami, ki trenutno gostijo storitev tiskanja v ozadju. Nato v nastavitvi pravilnika skupine Za točkovne in omejitve tiskanja nastavite možnosti »Pri nameščanju gonilnikov za novo povezavo« in »Pri posodabljanju gonilnikov za obstoječo povezavo« na »Pokaži opozorilo in poziv za dvig«.
Rešitev
-
Namestite posodobitve out-of-band z julija 2021 ali novejše posodobitve.
-
Preverite, ali so izpolnjeni ti pogoji:
-
Register Nastavitve: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) ali ni določen (privzeta nastavitev)
-
UpdatePromptSettings = 0 (DWORD) ali ni določena (privzeta nastavitev)
-
-
Pravilnik skupine: Pravilnika skupine za točkovne omejitve in omejitve tiskanja še niste konfigurirali.
Če sta oba pogoja resnična, niste ranljivi za CVE-2021-34527, zato vam ni treba ukrepati. Če kateri od pogojev ni resničen, ste ranljivi. Upoštevajte spodnja navodila, da spremenite pravilnik skupine Za točkovne in omejitve tiskanja v varno konfiguracijo.
-
Odprite orodje za urejanje pravilnika skupine in izberite Konfiguracija računalnika >Skrbniške predloge > tiskalniki.
-
Konfigurirajte nastavitev pravilnika skupine Za točkovne in omejitve tiskanja tako:
-
Nastavitev pravilnika skupine Za točkovne in omejitve tiskanja nastavite na »Omogočeno«.
-
»Pri nameščanju gonilnikov za novo povezavo«: »Pokaži opozorilo in poziv za dvig«.
-
»Pri posodabljanju gonilnikov za obstoječo povezavo«: »Pokaži opozorilo in poziv za dvig«.
-
Pomembno Toplo priporočamo, da ta pravilnik uporabite za vse naprave, ki gostijo storitev tiskanja v ozadju.
Zahteve za vnovični zagon: Ta sprememba pravilnika ne zahteva vnovičnega zagona naprave ali storitve tiskanja v ozadju, ko uporabite te nastavitve.
3. S spodnjimi registrskmi ključi preverite, ali je bil pravilnik skupine pravilno uporabljen:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Opozorilo Če nastavite te vrednosti na vrednosti, ki niso ničelne, so naprave, v katere ste namestili posodobitev CVE-2021-34527, ranljive.
Opomba S konfiguracijo teh nastavitev ne onemogočite funkcije »Točka« in »Natisni«.
4. [Priporočeno] Omejitve preglasitve in tiskanja, tako da lahko le skrbniki namestijo gonilnike za tiskanje v strežnike tiskalnika. To se naredi z registrskem ključem RestrictDriverInstallationToAdministrators. Posodobitve, izdane 6. julija 2021 ali novejše, imajo privzeto vrednost 0 (onemogočene), dokler niso izdane posodobitve 10. avgusta 2021. Posodobitve, izdane 10. avgusta 2021 ali novejše, imajo privzeto 1 (omogočeno). Če želite več informacij o tem, kako nastaviti RestrictDriverInstallationToAdministrators in druga priporočila, povezana s tiskanjem, glejte KB5005652 – upravljanje novih točkov in tiskanje privzetega delovanja namestitve gonilnika (CVE-2021-34481)
Več informacij
Ali popravki za CVE-2021-34527 vplivajo na privzeti scenarij namestitve gonilnika za točko in tiskanje za odjemalsko napravo, ki vzpostavlja povezavo z omrežnim tiskalnikom v skupni rabi in ga namešča?
Ne, popravki za CVE-2021-34527 ne vplivajo neposredno na privzeti scenarij namestitve gonilnika Point and Print za odjemalsko napravo, ki vzpostavlja povezavo z omrežnim tiskalnikom v skupni rabi in ga namešča. V tem primeru odjemalska naprava vzpostavi povezavo s strežnikom za tiskanje ter prenese in namesti gonilnike iz tega zaupanja vrednega strežnika. Ta scenarij se razlikuje od ranljivega scenarija, pri katerem napadalec poskuša namestiti zlonamerni gonilnik v sam tiskalni strežnik lokalno ali oddaljeno.
