Sammanfattning
Ett säkerhetsproblem finns i hur RPC-bindningen (Printer Remote Procedure Call) hanterar autentiseringen för det fjärranslutna Winspool-gränssnittet. Uppdateringen Windows adresserar problemet genom att öka RPC-autentiseringsnivån och introducera en ny princip och registernyckel så att kunder kan inaktivera eller aktivera tillämpningsläge på serversidan för att öka autentiseringsnivån.
Mer information om problemet finns i CVE-2021-1678-| Windows Print Spooler förfalskningshål .
|
Vidta åtgärder För att skydda din miljö och förhindra avbrott måste du göra följande:
|
Tidsinställningar för uppdateringar
Dessa Windows uppdateringar kommer att släppas i två faser:
-
Den första distributionsfasen för Windows uppdateringar som släpptes den 12 januari 2021 eller senare.
-
Tvingande fas för Windows uppdateringar som släpps senare.
12 januari 2021: Den första distributionsfasen
Den första distributionsfasen startar med Windows-uppdateringen som släpptes den 12 januari 2021, genom att serverkunder själva kan aktivera den här ökade säkerhetsnivån baserat på beredskapen i miljön.
Den här versionen:
-
Adresser CVE-2021-1678 (i distributionsläge inställt på Av som standard).
-
Lägger till stöd för registervärdet RpcAuthnLevelPrivacyEnabled för att aktivera ökningen av auktoriseringsnivån för skrivare IRemoteWinspool-skyddet.
Minskningar består av installationen Windows uppdateringar på alla klient- och servernivåenheter.
14 september 2021: Tillämpningsfas
Övergången till tillämpningsfasen den 14 september 2021. Tillämpningsfasen tillämpar ändringarna för CVE-2021-1678 genom att öka auktoriseringsnivån utan att behöva ange registervärdet.
Installationsvägledning
Innan du installerar den här uppdateringen
Du måste ha följande uppdateringar installerade innan du kan installera den här uppdateringen. Om du använder Windows- eller uppdatering erbjuds dessa nödvändiga uppdateringar automatiskt vid behov.
-
Du måste ha SHA-2-uppdateringen (KB4474419)från den 23 september 2019 eller en senare SHA-2-uppdatering installerad och starta sedan om enheten innan du använder den här uppdateringen. Mer information om SHA-2-uppdateringar finns i 2019 krav på stöd för SHA-2-kodsignering för Windows och WSUS.
-
För Windows Server 2008 R2 SP1 måste du ha installerat servicestackuppdateringen (SSU) (KB4490628)som är daterad den 12 mars 2019. När uppdateringen KB4490628 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om den senaste SSU-uppdateringen finns i ADV990001 | Senaste Service Stack-uppdateringar.
-
För Windows Server 2008 SP2 måste du ha installerat servicestackuppdateringen (SSU) (KB4493730)som är daterad den 9 april 2019. När uppdateringen KB4493730 är installerad rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om de senaste SSU-uppdateringarna finns i ADV990001 | Senaste Service Stack-uppdateringar.
-
Kunder måste köpa den utökade säkerhetsuppdateringen (ESU) för lokala versioner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 efter att utökad support upphörde den 14 januari 2020. Kunder som har köpt ESU måste följa procedurerna i KB4522133 för att fortsätta ta emot säkerhetsuppdateringar. Mer information om ESU och vilka versioner som stöds finns i KB4497181.
ViktigtDu måste starta om enheten när du har installerat de här nödvändiga uppdateringarna.
Installera uppdateringen
Du kan lösa säkerhetsproblemet genom att installera Windows och aktivera tvingande läge genom att följa de här stegen:
-
Distribuera uppdateringen från 12 januari 2021 till alla klient- och serverenheter.
-
När alla klient- och serverenheter har uppdaterats kan fullständigt skydd aktiveras genom att registervärdet är 1.
Steg 1: Installera Windows uppdatering
Installera uppdateringen från Windows 12 januari 2021 eller en Windows till alla klient- och serverenheter.
|
Windows Serverprodukt |
KB # |
Typ av uppdatering |
|
Windows Server, version 20H2 (Grundläggande installation av server) |
Säkerhetsuppdatering |
|
|
Windows Server, version 2004 (Core-installation av server) |
Säkerhetsuppdatering |
|
|
Windows Server, version 1909 (Core-installation av server) |
Säkerhetsuppdatering |
|
|
Windows Server, version 1903 (Core-installation av server) |
Säkerhetsuppdatering |
|
|
Windows Server 2019 (coreinstallation av server) |
Säkerhetsuppdatering |
|
|
Windows Server 2019 |
Säkerhetsuppdatering |
|
|
Windows Server 2016 (Core-installation av server) |
Säkerhetsuppdatering |
|
|
Windows Server 2016 |
Säkerhetsuppdatering |
|
|
Windows Server 2012 R2 (Grundläggande installation av server) |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2012 R2 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2012 (Core-installation av server) |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2012 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2008 R2 Service Pack 1 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
||
|
Windows Server 2008 service pack 2 |
Månatlig samlad uppdatering |
|
|
Endast säkerhet |
Steg 2: Aktivera tillämpningsläge
Viktigt Det här avsnittet, metoden eller uppgiften innehåller anvisningar om hur du ändrar registret. Men om du ändrar registret på fel sätt kan det orsaka allvarliga problem. Se därför till att du följer de här stegen noggrant. För ytterligare skydd bör du sskydda registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Mer information om hur du ska bakåt i och återställa registret finns i Backa upp och återställa registret i Windows.
När alla klient- och serverenheter har uppdaterats kan du aktivera fullständigt skydd genom att distribuera tillämpningsläget. Gör så här:
-
Högerklicka på Start,klicka på Kör,skriv cmdi rutan Kör och tryck sedan på Ctrl+Skift+Retur.
-
Skriv regedit i kommandotolken för administratör och tryck sedan på Retur.
-
Leta upp följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Högerklicka på Skriv ut, välj Nyttoch klicka sedan på 32-bitars DWORD-värde (32-bitars).
-
Skriv RpcAuthnLevelPrivacyEnabled och tryck sedan på Retur.
-
Högerklicka på RpcAuthnLevelPrivacyEnabled och klicka sedan på Ändra.
-
I rutan Värdedata skriver du 1 och klickar sedan på OK.
Obs! Den här uppdateringen introducerar stöd för registervärdet RpcAuthnLevelPrivacyEnabled för att öka auktoriseringsnivån för skrivaren IRemoteWinspool.
|
Registerundernyckel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Värde |
RpcAuthnLevelPrivacyEnabled |
|
Datatyp |
REG_DWORD |
|
Data |
1:Aktiverar tillämpningsläge. Innan du aktiverar tillämpningsläget för serversidan kontrollerar du att alla klientenheter har installerat Windows-uppdateringen som släpptes den 12 januari 2021 eller senare Windows uppdateringen. Den här korrigeringen ökar auktoriseringsnivån för skrivarenSRemoteWinspool RPC-gränssnitt och lägger till en ny princip och ett registervärde på serversidan för att tillämpa klienten så att den nya auktoriseringsnivån används vid tillämpningsläge. Om klientenheten inte har säkerhetsuppdateringen från 12 januari 2021 eller en senare Windows-uppdatering som används bryts utskriftsupplevelsen när klienten ansluter till servern via IRemoteWinspool-gränssnittet. 0: Rekommenderas inte. Inaktiverar autentiseringsnivån för skrivaren IRemoteWinspool,och dina enheter är inte skyddade. |
|
Standard |
Standardbeteendet när du har installerat uppdateringar när registernyckeln inte har angetts:
|
|
Krävs en omstart? |
Ja, en omstart av enheten eller en omstart av tjänsten för utskriftshanteraren krävs. |
