Перейти до основного
Підтримка
Вхід

Керування розгортанням змін у надбудові RPC для принтера в службі "2021-1678"

Загальні відомості

Уразливість функції обходу системи безпеки існує в тому випадку, якщо в разі підключення до віддаленого інтерфейсу Winspool є автентифікація за допомогою віддаленого виклику процедур. Служба Windows Update звертається до цієї вразливості, збільшивши рівень автентифікації RPC і впроваджує нову політику та розділ реєстру, щоб клієнти могли вимкнути або ввімкнути режим примусового виконання на сервері, щоб збільшити рівень автентифікації.

Щоб дізнатися більше про вразливість, перегляньте статтю c -2021-1678 | Дефект функції безпеки NTLM.

Вжити заходів

Щоб захистити навколишнє середовище та запобігти відключень, необхідно виконати наведені нижче дії.

  1. Оновіть всі клієнтські та серверні пристрої, інсталювавши його 12, 2021 або пізнішу версію Windows Update. Зауважте, що інсталяція оновлень Windows не повністю пом'якшують вразливість системи безпеки та може вплинути на поточну настройку друку. Потрібно виконати крок 2.

  2. Увімкнення режиму примусового виконання на сервері друку. Починаючи з 8 червня 2021 оновлення, режим примусового виконання буде активовано на всіх пристроях із Windows.

Хронометраж оновлень

Ці оновлення Windows буде випущено на двох етапах:

  • Початкова фаза розгортання для оновлень Windows випущено або після 12 січня 2021.

  • Фаза виконання для оновлень Windows випущено або після 8 червня 2021.

12 січня 2021 р.: початкова фаза розгортання

Початкова фаза розгортання починає роботу з Windows Update, випущеною 12 січня 2021, надаючи можливість клієнтам сервера використовувати цей підвищений рівень безпеки на основі готовності свого середовища.

Цей випуск:

  • Адреси у службі "c-2020-1678" (у режимі розгортання настроєно на вимкнення за замовчуванням).

  • Додає підтримку для Rpcauthnвирівняного значення реєстру, що дає змогу збільшити рівень авторизації для пристрою захисту від принтера IRemoteWinspool.

Пом'якшення складається з інсталяції оновлень Windows для всіх пристроїв клієнта та сервера.

8 червня 2021: виконання фази

8 червня 2021 випуск переходів у фазу виконання. Фаза виконання забезпечує зміни до адреси CVE-2020-1678, збільшивши рівень авторизації без встановлення значення реєстру.

Інструкції з інсталяції

Перед інсталяцією цього оновлення

Перш ніж використовувати це оновлення, потрібно інсталювати наведені нижче потрібні оновлення. Якщо ви використовуєте Windows Update, ці необхідні оновлення пропонуватимуться автоматично за потреби.

  • Ви повинні мати оновлення SHA-2 (KB4474419), яке датовано 23 вересня 2019 або ПІЗНІШОЇ інсталяції SHA-2, а потім перезавантажте пристрій, перш ніж використовувати це оновлення. Щоб отримати докладні відомості про оновлення SHA-2, ознайомтеся з вимогами до служби підтримки, що стосуються 2019 SHA-2 для Windows і WSUS.

  • Для Windows Server 2008 R2 SP1, потрібно інсталювати оновлення стека (СБУ) (KB4490628), який датований 12 березня 2019. Після інсталяції оновлення KB4490628 радимо інсталювати найновішу ОНОВЛЕНУ версію СБУ. Докладні відомості про найновішу оновлену версію служби СБУ наведено в статті ADV990001 | Нещодавні обслуговування стек оновлень.

  • Для Windows Server 2008 із пакетом оновлень 2 (SP2) потрібно інсталювати поновлення стека обслуговування (ДСТУ) (KB4493730), який датований 9 квітня 2019. Після інсталяції оновлення KB4493730 радимо інсталювати найновішу ОНОВЛЕНУ версію СБУ. Докладні відомості про найновіші оновлення СБУ наведено в статті ADV990001 | Нещодавні обслуговування стек оновлень.

  • Клієнти зобов'язані придбати розширене оновлення системи безпеки (ESU) для локальних версій Windows Server 2008 SP2 або Windows Server 2008 R2 SP1 після подовженої підтримки, що завершується 14 січня 2020. Клієнти, які придбали ESU, повинні стежити за процедурами в KB4522133 , щоб продовжити отримувати оновлення системи безпеки. Щоб отримати докладніші відомості про ESU і про те, які випуски підтримуються, ознайомтеся з KB4497181.

Важливо! Після інсталяції цих оновлень потрібно перезавантажити пристрій.

Інсталяція оновлення

Щоб вирішити вразливість системи безпеки, інсталюйте оновлення Windows і ввімкніть режим виконання , виконавши наведені нижче дії.

  1. Розгорнути 12 січня 2021 оновлення для всіх клієнтських і серверних пристроїв.

  2. Після оновлення всіх клієнтських і серверних пристроїв повний захист можна ввімкнути, встановивши значення реєстру на 1.


Крок 1: інсталяція оновлення Windows

Інсталюйте 12 січня 2021 Windows Update або пізнішу версію Windows Update на всі пристрої клієнта та сервера.

Продукт Windows Server

KB #

Тип оновлення

Windows Server, версія 20H2 (інсталяція серверного сервера)

4598242

Оновлення системи безпеки

Windows Server, версія 2004 (інсталяція сервера Server)

4598242

Оновлення системи безпеки

Windows Server, версія 1909 (інсталяція сервера Server)

4598229

Оновлення системи безпеки

Windows Server, версія 1903 (інсталяція сервера Server)

4598229

Оновлення системи безпеки

Windows Server 2019 (інсталяція серверного сервера)

4598230

Оновлення системи безпеки

Windows Server 2019

4598230

Оновлення системи безпеки

Windows Server 2016 (інсталяція серверного сервера)

4598243

Оновлення системи безпеки

Windows Server 2016

4598243

Оновлення системи безпеки

Windows Server 2012 R2 (інсталяція серверного сервера)

4598285

Щомісячне зведення

4598275

Лише безпека

Windows Server 2012 R2

4598285

Щомісячне зведення

4598275

Лише безпека

Windows Server 2012 (інсталяція серверного сервера)

4598278

Щомісячне зведення

4598297

Лише безпека

Windows Server 2012

4598278

Щомісячне зведення

4598297

Лише безпека

Windows Server 2008 R2 з пакетом оновлень 1

4598279

Щомісячне зведення

4598289

Лише безпека

Windows Server 2008 з пакетом оновлень 2

4598288

Щомісячне зведення

4598287

Лише безпека

Крок 2: Увімкнення режиму примусового виконання

Важливо! Цей розділ, метод або завдання містить кроки, які вказують, як змінити реєстр. Однак, якщо змінити реєстр неправильно, можуть виникнути серйозні проблеми. Тому будьте уважні, виконуючи ці кроки. Щоб отримати додатковий захист, потрібно створити резервну копію реєстру, перш ніж змінити його. Якщо виникне проблема, реєстр можна буде відновити. Щоб отримати докладні відомості про те, як створити резервну копію та відновити реєстр, Дізнайтеся, як створити резервну копію та відновити реєстр у Windows.

Після оновлення всіх клієнтських і серверних пристроїв можна ввімкнути повний захист, розгорнувши режим виконання . Для цього виконайте описані нижче дії.

  1. Клацніть правою кнопкою миші кнопку Пуск, виберіть команду виконати, введіть CMD у поле виконати , а потім натисніть сполучення клавіш CTRL+Shift+ввід.

  2. У командному рядку адміністратора введіть Regedit , а потім натисніть клавішу ввід.

  3. Знайдіть наведений нижче підрозділ реєстру.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Клацніть правою кнопкою миші елемент Друк, виберіть створити, а потім виберіть значення DWORD (32-розрядна).

  2. Введіть Rpcauthnвирівняним увімкнено , а потім натисніть клавішу ввід.

  3. Клацніть правою кнопкою миші елемент Rpcauthnвирівняний , а потім натисніть кнопку змінити.

  4. У полі Value Data (значення ) введіть 1 , а потім натисніть кнопку OK.

Примітка. Це оновлення впроваджує підтримку значення реєстру Rpcauthnвирівняного параметра, щоб збільшити рівень авторизації для принтера IRemoteWinspool.

Підрозділ реєстру

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Значення

Функція Rpcauthnвирівняна

Тип даних

REG_DWORD

Даних

1: Увімкнення режиму виконання . Перш ніж ввімкнути режим примусового виконання на стороні сервера, переконайтеся, що в усіх клієнтських пристроях інстальовано Windows Update, випущеній 12 січня 2021 або пізнішої версії Windows Update. Це виправлення збільшує рівень авторизації для інтерфейсу принтера IRemoteWinspool RPC і додає нову політику і значення реєстру на стороні сервера, щоб застосувати клієнта до використання нового рівня авторизації, якщо застосовано режим примусового застосування. Якщо клієнтський пристрій не має 12 січня 2021 оновлення системи безпеки або пізнішу версію Windows Update, час друку буде пошкоджено, коли клієнт підключається до сервера через інтерфейс IRemoteWinspool .

0: не рекомендовано. Вимикає збільшення рівня автентифікації для принтера IRemoteWinspool, а ваші пристрої не захищені.

За промовчанням

0 (якщо ключ реєстру не задано)

Чи потрібен перезапуск?

Так, необхідно перезапустити пристрій або перезапустити службу спулера.

Потрібна додаткова довідка?

Отримуйте нові функції раніше за інших
Приєднатися до Microsoft оцінювачів

Чи були ці відомості корисні?

Дякуємо за ваш відгук!

Дякуємо, що знайшли час і надіслали нам відгук! Можливо, у нас не буде часу відповісти на кожен коментар, але докладемо максимум зусиль, щоб переглянути їх усі. Вас цікавить, як ми використовуємо ваші відгуки?

×