Sammanfattning

Säkerhetsuppdateringar som släpptes den 6 juli 2021 innehåller skydd för ett problem med fjärrkodskörning i tjänsten Windows Print Spooler (spoolsv.exe) som kallas   "PrintNightmare", dokumenterat i CVE-2021-34527. När uppdateringar från juli 2021 och senare installerats kan icke-administratörer, inklusive delegerade administratörsgrupper som skrivaroperatorer, inte installera signerade och osignerade skrivardrivrutiner på en utskriftsserver. Som standard kan endast administratörer installera både signerade och osignerade skrivardrivrutiner på en utskriftsserver. 

Obs! Innan du installerar uppdateringarna från juli 2021 och senare Windows som innehåller skydd för CVE-2021-34527 kan skrivaroperatorerna installera både signerade och osignerade skrivardrivrutiner på en skrivarserver. Från och med juli 2021 krävs administratörsautentiseringsuppgifter för att installera signerade och osignerade skrivardrivrutiner på en skrivarserver. Om du vill åsidosätta alla principinställningar för punkt- och utskriftsbegränsningar och se till att endast administratörer kan installera skrivardrivrutiner på en utskriftsserver konfigurerar du registervärdet RestrictDriverInstallationToAdministrators till 1.

Vi rekommenderar att du omedelbart installerar de senaste Windows-uppdateringarna som släpptes den 6 juli 2021 eller på alla Windows-klient- och serveroperativsystemet som stöds, med början på enheter som för närvarande är värd för tjänsten för utskriftshanteraren. Ange sedan grupprincipinställningen "När du installerar drivrutiner för en ny anslutning" och "När du uppdaterar drivrutiner för en befintlig anslutning" i grupprincipinställningen Punkt- och utskriftsbegränsningar till "Visa uppmaning om varning och höjd".

Lösning

  1. Installera uppdateringarna för juli 2021 eller senare.

  2. Kontrollera om följande villkor är sanna:

  • Register Inställningar: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) eller inte definierat (standardinställning)

    • UpdatePromptSettings = 0 (DWORD) eller inte definierat (standardinställning)

  • Grupprincip: Du har inte konfigurerat grupprinciperna för punkt- och utskriftsbegränsningar.

Om båda villkoren är sanna är du inte sårbar för CVE-2021-34527 och inga ytterligare åtgärder krävs. Om något av villkoren inte är sant är du sårbar. Följ stegen nedan för att ändra grupprincipen för punkt- och utskriftsbegränsningar till en säker konfiguration.

  1. Öppna grupprincipredigeringsverktyget och gå till Datorkonfiguration eller > administrationsmallar >Skrivare. 

  2. Konfigurera grupprincipinställningen för punkt- och utskriftsbegränsningar på följande sätt:

    1. Ställ in grupprincipinställningen Punktbegränsningar och Utskriftsbegränsningar på "Aktiverad".

    2. "När du installerar drivrutiner för en ny anslutning": "Visa varning och höjd-fråga".

    3. "När du uppdaterar drivrutiner för en befintlig anslutning": "Visa varnings- och höjdfråga".

Alternativ text

Viktigt Vi rekommenderar starkt att du tillämpar den här principen på alla datorer som är värd för tjänsten för utskriftshanteraren.

Krav för omstart: Den här principändringen kräver inte en omstart av enheten eller tjänsten för utskriftshanteraren när du har tillämpat de här inställningarna. 

3. Använd följande registernycklar för att bekräfta att grupprincipen har tillämpats på rätt sätt:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Varning Om du anger de här värdena som icke-nollvärden blir enheterna där du har installerat uppdateringen CVE-2021-34527 sårbar.

Obs! När du konfigurerar de här inställningarna inaktiveras inte punkt- och utskriftsfunktionen.

4. [Valfritt] Begränsningar för åsidosättningspunkt och utskrift så att endast administratörer kan installera skrivardrivrutiner på skrivarservrarna 

Du kan åsidosätta alla grupprincipinställningar för punkt- och utskriftsbegränsningar och se till att endast administratörer kan installera skrivardrivrutiner på en utskriftsserver genom att konfigurera registervärdet RestrictDriverInstallationToAdministrators till 1.

Om du vill begränsa installationen av nya skrivardrivrutiner anger du manuellt registervärdet för RestrictDriverInstallationToAdministrators enligt följande:

Obs! Det finns ingen grupprincipinställning för den här begränsningen.

Registerplats

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Obs!Registerinställningen RestrictDriverInstallationToAdministrators finns under registerplatsen för PointAndPrint, men är specifik för skydd för CVE-2021-34527 men är inte relaterat till punkt- och utskriftsbeteende.

DWord-namn

RestrictDriverInstallationToAdministrators

Värdedata

Om du anger värdet till 0 , eller lämnar värdet odefinierat, kan icke-administratörer installera signerade och osignerade drivrutiner till en utskriftsserver, men åsidosätter inte inställningarna för Point och  Print   Group Policy. Detta är standardinställningen. Därför kan grupprincipinställningen Punkt- och utskriftsbegränsningar åsidosätta den så att icke-administratörer kan installera signerade och osignerade skrivardrivrutiner på en utskriftsserver.

Om du anger det här värdet till 1 eller ett värde som inte är noll åsidosätter du alla grupprincipinställningar för punkt- och utskriftsbegränsningar och ser till att endast administratörer kan installera skrivardrivrutiner på    en utskriftsserver.  

Obs!: Om värdet är 0 ärregistervärdet inaktiverat (standard eller inte).

Krav för omstart

Ingen omstart krävs när du skapar eller ändrar det här registervärdet.

Följ de här stegen för att automatisera tillägget av registervärdet RestrictDriverInstallationToAdministrators:

  1. Öppna kommandotolken (cmd.exe) med förhöjd behörighet.

  2. Skriv in följande kommando och tryck sedan på Retur:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Mer information

Påverkar korrigeringarna för CVE-2021-34527 standardkonfigurationen för punkt- och skrivardrivrutinsinstallation för en klientenhet som ansluter till och installerar en skrivardrivrutin för en delad nätverksskrivare?

Nej, korrigeringarna för CVE-2021-34527 påverkar inte direkt standardkonfigurationen för punkt- och skrivardrivrutinsinstallation för en klientenhet som ansluter till och installerar en skrivardrivrutin för en delad nätverksskrivare. I så fall ansluter en klientenhet till en utskriftsserver och laddar ned och installerar drivrutinerna från den betrodda servern. Det här scenariot skiljer sig från det sårbara scenariot där en attack försöker installera en skadlig drivrutin på själva utskriftsservern, antingen lokalt eller via fjärrstyrd anslutning.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med översättningskvaliteten?
Vad påverkade din upplevelse?

Tack för din feedback!

×