Sammanfattning
Säkerhetsuppdateringar som släpptes den 6 juli 2021 innehåller skydd för ett problem med fjärrkodskörning i tjänsten Windows Print Spooler (spoolsv.exe) som kallas "PrintNightmare", dokumenterat i CVE-2021-34527. När uppdateringar från juli 2021 och senare har installerats kan icke-administratörer, inklusive delegerade administratörsgrupper som skrivaroperatorer, inte installera signerade och osignerade skrivardrivrutiner på en utskriftsserver. Som standard kan endast administratörer installera både signerade och osignerade skrivardrivrutiner på en utskriftsserver.
Obs! Innan du installerar uppdateringarna från juli 2021 och senare Windows som innehåller skydd för CVE-2021-34527 kan säkerhetsgruppen för skrivaroperatorer installera både signerade och osignerade skrivardrivrutiner på en skrivarserver. Från och med juli 2021 krävs administratörsautentiseringsuppgifter för att installera signerade och osignerade skrivardrivrutiner på en skrivarserver. Om du vill åsidosätta alla grupprincipinställningar för punkt- och utskriftsbegränsningar och se till att endast administratörer kan installera skrivardrivrutiner på en utskriftsserver konfigurerar du registervärdet RestrictDriverInstallationToAdministrators till 1.
Vi rekommenderar att du omedelbart installerar de senaste Windows-uppdateringarna som släppts den 6 juli 2021 eller på alla Windows-klient- och serveroperativsystemet som stöds, med början på enheter som för närvarande är värd för tjänsten för utskriftshanteraren. Ange sedan grupprincipinställningen "När du installerar drivrutiner för en ny anslutning" och "När du uppdaterar drivrutiner för en befintlig anslutning" i grupprincipinställningen Punkt- och utskriftsbegränsningar till "Visa uppmaning om varning och höjd".
Lösning
-
Installera uppdateringarna för juli 2021 eller senare.
-
Kontrollera om följande villkor är sanna:
-
Register Inställningar: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) eller inte definierat (standardinställning)
-
UpdatePromptSettings = 0 (DWORD) eller inte definierat (standardinställning)
-
-
Grupprincip: Du har inte konfigurerat grupprinciperna för punkt- och utskriftsbegränsningar.
Om båda villkoren är sanna är du inte sårbar för CVE-2021-34527 och inga ytterligare åtgärder krävs. Om något av villkoren inte är sant är du sårbar. Följ stegen nedan för att ändra grupprincipen för punkt- och utskriftsbegränsningar till en säker konfiguration.
-
Öppna grupprincipredigeringsverktyget och gå till Datorkonfiguration eller > administrationsmallar >Skrivare.
-
Konfigurera grupprincipinställningen för punkt- och utskriftsbegränsningar på följande sätt:
-
Ställ in grupprincipinställningen Punktbegränsningar och Utskriftsbegränsningar på "Aktiverad".
-
"När du installerar drivrutiner för en ny anslutning": "Visa varning och höjd-fråga".
-
"När du uppdaterar drivrutiner för en befintlig anslutning": "Visa varnings- och höjdfråga".
-
Viktigt Vi rekommenderar starkt att du tillämpar den här principen på alla datorer som är värd för tjänsten för utskriftshanteraren.
Krav för omstart: Den här principändringen kräver inte en omstart av enheten eller tjänsten för utskriftshanteraren när du har tillämpat de här inställningarna.
3. Använd följande registernycklar för att bekräfta att grupprincipen har tillämpats på rätt sätt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Varning Om du anger de här värdena som icke-nollvärden blir enheterna där du har installerat uppdateringen CVE-2021-34527 sårbar.
Obs! När du konfigurerar de här inställningarna inaktiveras inte punkt- och utskriftsfunktionen.
4. [Rekommenderas] Begränsningar för att åsidosätta punkt och utskrift så att endast administratörer kan installera skrivardrivrutiner på skrivarservrarna. Detta görs med registernyckeln RestrictDriverInstallationToAdministrators. Uppdateringar som släpptes den 6 juli 2021 eller senare har som standard 0 (inaktiverade) tills uppdateringarna släpptes den 10 augusti 2021. Uppdateringar som släpptes den 10 augusti 2021 eller senare har standardvärdet 1 (aktiverat). Mer information om hur du anger RestrictDriverInstallationToAdministrators och andra utskriftsrelaterade rekommendationer finns i KB5005652 – Hantera installation av nya punkt- och standarddrivrutinsbeteenden (CVE-2021-34481)
Mer information
Påverkar korrigeringarna för CVE-2021-34527 standardkonfigurationen för punkt- och skrivardrivrutinsinstallation för en klientenhet som ansluter till och installerar en skrivardrivrutin för en delad nätverksskrivare?
Nej, korrigeringarna för CVE-2021-34527 påverkar inte direkt standardkonfigurationen för punkt- och skrivardrivrutinsinstallationen för en klientenhet som ansluter till och installerar en skrivardrivrutin för en delad nätverksskrivare. I så fall ansluter en klientenhet till en utskriftsserver och laddar ned och installerar drivrutinerna från den betrodda servern. Det här scenariot skiljer sig från det sårbara scenariot där en attackerare försöker installera en skadlig drivrutin på själva utskriftsservern, antingen lokalt eller via fjärrstyrd anslutning.
