Hantera distribution av skrivar-bind-ändringar för CVE-2021-1678

Sammanfattning

Ett säkerhets problem med att kringgå säkerhet finns i hur skrivaren Remote Procedure Call (RPC)-bindning hanterar inloggningsautentisering för fjärr Winspool-gränssnittet. Windows Update löser detta problem genom att öka RPC-autentiseringsnivån och introducera en ny princip och register nyckel för att tillåta att kunder inaktiverar eller aktiverar tvingande läge på Server sidan för att öka autentiseringsnivån.

Mer information om problemet finns i CVE-2021-1678 | Säkerhets problem kringgå säkerhets funktionen NTLM-säkerhetsfunktion.

Utför åtgärd

För att skydda din miljö och förhindra avbrott måste du göra följande:

  1. Uppdatera alla klient-och Server enheter genom att installera den 12 januari 2021 Windows Update eller en senare Windows-uppdatering. Observera att installationen av Windows Update inte helt minskar säkerhets problemet och kan påverka din aktuella skrivar inställning. Du måste utföra steg 2.

  2. Aktivera tvingande läge på utskrifts servern. Från och med den 8 juni 2021-uppdateringen aktive ras verk ställande läget på alla Windows-enheter.

Uppdaterings tid

De här Windows-uppdateringarna publiceras i två steg:

  • Den första distributions fasen för Windows-uppdateringar som släpptes den 12 januari 2021 eller senare.

  • Den tvingande fasen för Windows-uppdateringar som släpptes den 8 juni 2021 eller senare.

Den 12 januari 2021: första drift sättnings fasen

Den inledande drift sättnings fasen börjar med Windows-uppdateringen som släpptes den 12 januari 2021 genom att tillhandahålla serverns kunder möjlighet att aktivera denna ökade säkerhets nivå baserat på deras miljö beredskap.

Den här versionen:

  • Adresser CVE-2020-1678 (i distributions läge inställt på som standard ).

  • Lägger till stöd för registervärdet RpcAuthnLevelPrivacyEnabled för att möjliggöra en ökning av behörighets nivån för skrivar IRemoteWinspool skydd.

Minskningen består av installationen av Windows-uppdateringar på alla klient-och server nivå enheter.

Den 8 juni 2021: tvingande fas

Den 8 juni 2021 släpper över gångar i den tvingande fasen. Den tvingande fasen tvingar ändringarna att adressera CVE-2020-1678 genom att öka åtkomst nivån utan att behöva ange registervärdet.

Installations vägledning

Innan du installerar den här uppdateringen

Du måste ha följande obligatoriska uppdateringar installerade innan du installerar den här uppdateringen. Om du använder Windows Update erbjuds dessa uppdateringar automatiskt efter behov.

  • Du måste ha SHA-2-uppdateringen (KB4474419) från den 23 september 2019 eller en senare SHA-2-uppdatering installerad och sedan starta om enheten innan du installerar den här uppdateringen. För mer information om SHA-2-uppdateringar, se stöd för 2019 SHA-2-kod signering för Windows och WSUS.

  • För Windows Server 2008 R2 SP1 måste du ha installerat SSU (KB4490628) som är den 12 mars 2019. När uppdatera KB4490628 är installerat rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om den senaste SSU-uppdateringen finns i ADV990001 | Senaste underhålls stack uppdateringarna.

  • För Windows Server 2008 SP2 måste du ha installerat SSU (KB4493730) som är daterad 9 april 2019. När uppdatera KB4493730 är installerat rekommenderar vi att du installerar den senaste SSU-uppdateringen. Mer information om de senaste uppdateringarna för SSU finns i ADV990001 | Senaste underhålls stack uppdateringarna.

  • Kunder måste köpa den utökade säkerhets uppdateringen (ESU) för lokala versioner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 efter en utökad support på 14 januari 2020. Kunder som har köpt ESU måste följa procedurerna i KB4522133 för att fortsätta att få säkerhets uppdateringar. Mer information om ESU och vilka utgåvor som stöds finns i KB4497181.

ViktigtDu måste starta om enheten när du har installerat de uppdateringar som krävs.

Installera uppdateringen

Lös problemet genom att installera Windows-uppdateringarna och aktivera tvingande läge genom att följa de här stegen:

  1. Distribuera den 12 januari 2021-uppdateringen till alla klient-och Server enheter.

  2. När alla klient-och Server enheter har uppdaterats kan du aktivera fullständigt skydd genom att ange registervärdet till 1.


Steg 1: installera Windows Update

Installera den 12 januari 2021 Windows Update eller en senare Windows-uppdatering till alla klient-och Server enheter.

Windows Server-produkt

KBIT #

Uppdaterings typ

Windows Server, version 20H2 (Server Core-installation)

4598242

Säkerhets uppdatering

Windows Server, version 2004 (Server Core-installation)

4598242

Säkerhets uppdatering

Windows Server, version 1909 (Server Core-installation)

4598229

Säkerhets uppdatering

Windows Server, version 1903 (Server Core-installation)

4598229

Säkerhets uppdatering

Windows Server 2019 (Server Core-installation)

4598230

Säkerhets uppdatering

Windows Server 2019

4598230

Säkerhets uppdatering

Windows Server 2016 (Server Core-installation)

4598243

Säkerhets uppdatering

Windows Server 2016

4598243

Säkerhets uppdatering

Windows Server 2012 R2 (Server Core-installation)

4598285

Månatlig upplyft

4598275

Endast säkerhet

Windows Server 2012 R2

4598285

Månatlig upplyft

4598275

Endast säkerhet

Windows Server 2012 (Server Core-installation)

4598278

Månatlig upplyft

4598297

Endast säkerhet

Windows Server 2012

4598278

Månatlig upplyft

4598297

Endast säkerhet

Windows Server 2008 R2 Service Pack 1

4598279

Månatlig upplyft

4598289

Endast säkerhet

Windows Server 2008 service pack 2

4598288

Månatlig upplyft

4598287

Endast säkerhet

Steg 2: aktivera tvingande läge

Viktigt! Det här avsnittet eller den här aktiviteten innehåller instruktioner för hur du ändrar registret. Men allvarliga problem kan uppstå om du ändrar registret felaktigt. Se därför till att du följer de här anvisningarna noggrant. Säkerhetskopiera registret innan du ändrar det för att skydda det. Sedan kan du återställa registret om det uppstår ett problem. Mer information om hur du säkerhetskopierar och återställer registret finns i säkerhetskopiera och återställa registret i Windows.

När alla klient-och Server enheter har uppdaterats kan du Aktivera fullständig säkerhet genom att distribuera tillämpnings läget. Gör så här:

  1. Högerklicka på Start, klicka på Kör, Skriv cmd i rutan Kör och tryck sedan på CTRL+SKIFT+RETUR.

  2. I administratörs kommando tolken skriver du regedit och trycker sedan på RETUR.

  3. Leta upp följande register under nyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Högerklicka på Skriv ut, Välj nyttoch klicka sedan på DWORD-värde (32-bitars).

  2. Skriv RpcAuthnLevelPrivacyEnabled och tryck på RETUR.

  3. Högerklicka på RpcAuthnLevelPrivacyEnabled och klicka sedan på ändra.

  4. I rutan Värde data skriver du 1 och klickar sedan på OK.

Obs! Den här uppdateringen introducerar stöd för registervärdet RpcAuthnLevelPrivacyEnabled för att öka verifierings nivån för skrivaren IRemoteWinspool.

Register under nyckel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Värdepar

RpcAuthnLevelPrivacyEnabled

Datatyp

REG_DWORD

Data

1: aktiverar tvingande läge. Innan du aktiverar tvingande läge för Server sidan bör du kontrol lera att alla klient enheter har installerat Windows-uppdateringen som släpptes den 12 januari 2021 eller en senare Windows-uppdatering. Denna korrigering ökar verifierings nivån för Printer IRemoteWinspool RPC Interface och lägger till en ny princip och ett nytt register värde på Server sidan för att tvinga klienten att använda den nya verifierings nivån om tvingande läge tillämpas. Om klient enheten inte har den 12 januari 2021-säkerhets uppdateringen eller senare Windows-uppdateringen avbryts utskrifts upplevelsen när klienten ansluter till servern via IRemoteWinspool -gränssnittet.

0: rekommenderas inte. Inaktiverar öknings autentiseringsnivån för IRemoteWinspooloch dina enheter är inte skyddade.

Vis

0 (när register nyckel inte är aktive rad)

Krävs en omstart?

Ja, en enhet måste startas om eller så krävs en omstart av utskrifts tjänsten.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×