Povzetek

Varnostne posodobitve, izdane 6. julija 2021, vsebujejo zaščito za ranljivost izvajanja oddaljene kode v storitvi Windows Print Spooler (spoolsv.exe), ki se imenuje »PrintNightosti«, ki je zabeležena v  CVE-2021-34527. Po namestitvi posodobitve iz julija 2021 in novejših različicah ne morejo skrbniki, ki niso skrbniki, vključno z pooblaščenimi skrbniškimi skupinami, kot so operatorji tiskalnika, v tiskalniški strežnik namestiti podpisanih in nepodpisanih gonilnikov tiskalnika. Privzeto lahko le skrbniki v tiskalniški strežnik namestijo tako podpisane kot nepodpisirane gonilnike tiskalnika. 

Opomba Pred namestitvijo zunaj traku iz julija 2021 in posodobitev funkcij Windows, ki vsebujejo zaščito za CVE-2021-34527, lahko varnostna skupina tiskalnikov operatorjev tiskalnika v tiskalnik strežnik namesti tako podpisane kot nepodpisirane gonilnike tiskalnika. Od julija 2021 naprej bodo za namestitev podpisanih in nepodpisanih gonilnikov tiskalnika v tiskalniški strežnik potrebne skrbniške poverilnice. Če želite preglasiti vse nastavitve pravilnika skupine za točkovne in omejitve tiskanja in zagotoviti, da lahko samo skrbniki namestijo gonilnike tiskalnika v tiskalniški strežnik, konfigurirajte vrednost registra RestrictDriverInstallationToAdministrators na 1.

Priporočamo, da takoj namestite najnovejše posodobitve storitve Windows, izdane 6. julija 2021, v vse podprte operacijske sisteme za odjemalca in strežnike Windows, in sicer tako, da začnete z napravami, ki trenutno gostijo storitev tiskanja v ozadju. Nato v nastavitvi pravilnika skupine Za točkovne in omejitve tiskanja nastavite možnosti »Pri nameščanju gonilnikov za novo povezavo« in »Pri posodabljanju gonilnikov za obstoječo povezavo« na »Pokaži opozorilo in poziv za dvig«.

Rešitev

  1. Namestite posodobitve out-of-band z julija 2021 ali novejše posodobitve.

  2. Preverite, ali so izpolnjeni ti pogoji:

  • Register Nastavitve: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) ali ni določen (privzeta nastavitev)

    • UpdatePromptSettings = 0 (DWORD) ali ni določena (privzeta nastavitev)

  • Pravilnik skupine: Pravilnika skupine za točkovne omejitve in omejitve tiskanja še niste konfigurirali.

Če sta oba pogoja resnična, niste ranljivi za CVE-2021-34527, zato vam ni treba ukrepati. Če kateri od pogojev ni resničen, ste ranljivi. Upoštevajte spodnja navodila, da spremenite pravilnik skupine Za točkovne in omejitve tiskanja v varno konfiguracijo.

  1. Odprite orodje za urejanje pravilnika skupine in izberite Konfiguracija računalnika > Skrbniške predloge > tiskalniki. 

  2. Konfigurirajte nastavitev pravilnika skupine Za točkovne in omejitve tiskanja tako:

    1. Nastavitev pravilnika skupine Za točkovne in omejitve tiskanja nastavite na »Omogočeno«.

    2. »Pri nameščanju gonilnikov za novo povezavo«: »Pokaži opozorilo in poziv za dvig«.

    3. »Pri posodabljanju gonilnikov za obstoječo povezavo«: »Pokaži opozorilo in poziv za dvig«.

nadomestno besedilo

Pomembno Toplo priporočamo, da ta pravilnik uporabite za vse naprave, ki gostijo storitev tiskanja v ozadju.

Zahteve za vnovični zagon: Ta sprememba pravilnika ne zahteva vnovičnega zagona naprave ali storitve tiskanja v ozadju, ko uporabite te nastavitve. 

3. S spodnjimi registrskmi ključi preverite, ali je bil pravilnik skupine pravilno uporabljen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Opozorilo Če nastavite te vrednosti na vrednosti, ki niso ničelne, so naprave, v katere ste namestili posodobitev CVE-2021-34527, ranljive.

Opomba S konfiguracijo teh nastavitev ne onemogočite funkcije »Točka« in »Natisni«.

4. [Izbirno] Omejitve preglasitve in tiskanja, tako da lahko samo skrbniki namestijo gonilnike za tiskanje v strežnike tiskalnika 

Na voljo je možnost preglasitve vseh nastavitev pravilnika skupine za točkovne omejitve in omejitve tiskanja ter zagotavljanje, da lahko samo skrbniki namestijo gonilnike tiskalnika v tiskalniški strežnik tako, da vrednost registra RestrictDriverInstallationToAdministrators konfigurirajo na 1.

Če želite omejiti namestitev novih gonilnikov tiskalnika, ročno nastavite vrednost registra RestrictDriverInstallationToAdministrators tako:

Opomba Za to omejitev nastavitev pravilnika skupine ni na voljo.

Mesto registra

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

OpombaNastavitev registra RestrictDriverInstallationToAdministrators je na mestu registra PointAndPrint, vendar je specifična za zaščito za CVE-2021-34527, vendar ni povezana s točkovnim in tiskanjem.

Ime za DWord

RestrictDriverInstallationToAdministrators

Podatki o vrednosti

Če vrednost nastavite na 0 ali če vrednost ni nedoločena, lahko skrbniki, ki niso skrbniki, namestijo podpisane in nepodpisirane gonilnike v tiskalni strežnik, vendar ne preglasijo nastavitev pravilnika skupine za točko in    tiskanje. To je privzeta vrednost. Zato lahko nastavitev pravilnika skupine za točke in omejitve tiskanja to preglasi, da ne skrbnikom omogoči namestitev podpisanih in nepodpisanih gonilnikov za tiskanje v tiskalni strežnik.

Če to vrednost nastavite na 1 ali na katero koli vrednost, ki ni nič, preglasite vse nastavitve pravilnika skupine Point and Print Restrictions in zagotovite, da lahko v tiskalniški strežnik namestijo gonilnike tiskalnika le    skrbniki.  

Opomba: Če je ta vrednost nastavljena na 0,je vrednost registra onemogočena (privzeto ali ni na voljo).

Zahteve za vnovični zagon

Pri ustvarjanju ali spreminjanju te vrednosti registra vam ni treba znova zagnati računalnika.

Če želite avtomatizirati dodajanje vrednosti registra RestrictDriverInstallationToAdministrators, upoštevajte te korake:

  1. Odprite okno ukaznega poziva (cmd.exe) z povečanimi dovoljenji.

  2. Vnesite ta ukaz in pritisnite tipko Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Več informacij

Ali popravki za CVE-2021-34527 vplivajo na privzeti scenarij namestitve gonilnika za točko in tiskanje za odjemalsko napravo, ki vzpostavlja povezavo z omrežnim tiskalnikom v skupni rabi in ga namešča?

Ne, popravki za CVE-2021-34527 ne vplivajo neposredno na privzeti scenarij namestitve gonilnika Point and Print za odjemalsko napravo, ki vzpostavlja povezavo z omrežnim tiskalnikom v skupni rabi in ga namešča. V tem primeru odjemalska naprava vzpostavi povezavo s strežnikom za tiskanje ter prenese in namesti gonilnike iz tega zaupanja vrednega strežnika. Ta scenarij se razlikuje od ranljivega scenarija, pri katerem napadalec poskuša namestiti zlonamerni gonilnik v sam tiskalni strežnik lokalno ali oddaljeno.

Ali potrebujete dodatno pomoč?

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridruži se Microsoftu programa Insider

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo prevoda?
Kaj je vplivalo na vašo izkušnjo?

Zahvaljujemo se vam za povratne informacije.

×