摘要
打印机远程过程调用 (RPC) 绑定处理远程 Winspool 接口的身份验证的方式,存在安全旁路漏洞。 通过提升 RPC 身份验证级别,并引入新的策略和注册表项,Windows 更新解决了此漏洞,允许客户禁用或启用服务器端的强制模式,以提升身份验证级别。
若要了解有关此漏洞的更多信息,请参阅 CVE-2021-1678 | Windows 打印后台处理程序欺骗漏洞。
|
采取操作 为了保护环境并防止中断,必须执行以下操作:
|
|---|
更新时间
这些 Windows 更新将分两个阶段发布:
- 在 2021 年 1 月 12 日或之后发布的 Windows 更新的初始部署阶段。
- Windows 更新的实施阶段将在将来某个日期发布。
2021 年 1 月 12 日:初始部署阶段
初始部署阶段从 2021 年 1 月 12 日发布的 Windows 更新开始,使服务器客户能够根据其环境的就绪情况,自行启用此升级的安全级别。
该版本:
- 解决了 CVE-2021-1678 漏洞(在“部署”模式下,默认设置为“关闭”)。
- 添加对 RpcAuthnLevelPrivacyEnabled 注册表值的支持,以提高打印机 IRemoteWinspool 保护的授权级别。
解决措施包括在所有客户端和服务器级设备上安装 Windows 更新。
2021 年 9 月 14 日:强制阶段
该发布版本于 2021 年 9 月 14 日过渡到强制阶段。 强制阶段通过提高授权级别(无需设置注册表值)强制执行更改来解决 CVE-2021-1678 漏洞。
安装指南
在安装此更新之前
应用此更新之前,您必须安装以下必需的更新项。 如果您使用 Windows 更新,则会根据需要自动提供这些必需的更新项。
- 在应用此更新之前,必须安装日期为 2019 年 9 月 23 日的 SHA-2 更新 (KB4474419) 或更高版本的 SHA-2 更新,然后重新启动设备。 有关 SHA-2 更新的更多信息,请参阅针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。
- 对于 Windows Server 2008 R2 SP1,你必须已安装日期为 2019 年 3 月 12 日的服务堆栈更新 (SSU) (KB4490628)。 安装更新 KB4490628 后,我们建议你安装最新的 SSU 更新。 有关最新 SSU 更新的详细信息,请参阅 ADV990001 | 最新服务堆栈更新。
- 对于 Windows Server 2008 SP2,你必须安装日期为 2019 年 4 月 9 日的服务堆栈更新 (SSU) (KB4493730)。 安装更新 KB4493730 后,我们建议你安装最新的 SSU 更新。 有关最新 SSU 更新的详细信息,请参阅 ADV990001 | 最新的服务堆栈更新。
- 2020 年 1 月 14 日扩展支持到期后,客户需要购买本地版 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 的扩展安全更新 (ESU)。 购买了 ESU 的客户必须遵循 KB4522133 中的步骤,才能继续接收安全更新。 有关 ESU 以及支持哪些版本的详细信息,请参阅 KB4497181。
重要 安装这些必需的更新后,必须重新启动设备。
安装更新
要解决此安全漏洞,请按照以下步骤安装 Windows 更新并启用强制模式:
- 将 2021 年 1 月 12 日的更新部署到所有客户端和服务器设备。
- 更新所有客户端和服务器设备后,可以通过将注册表值设置为 1 启用完全保护。
步骤 1:安装 Windows 更新
将 2021 年 1 月 12 日的 Windows 更新或更高版本的 Windows 更新安装到所有客户端和服务器设备。
2021 年 1 月 12 日更新
| Windows Server 产品 | KB # | 更新类型 |
|---|---|---|
| Windows Server 版本 20H2(服务器核心安装) | 4598242 | 安全更新 |
| Windows Server 版本 2004(服务器核心安装) | 4598242 | 安全更新 |
| Windows Server 版本 1909(服务器核心安装) | 4598229 | 安全更新 |
| Windows Server 版本 1903(服务器核心安装) | 4598229 | 安全更新 |
| Windows Server 2019 (服务器核心安装) | 4598230 | 安全更新 |
| Windows Server 2019 | 4598230 | 安全更新 |
| Windows Server 2016(服务器核心安装) | 4598243 | 安全更新 |
| Windows Server 2016 | 4598243 | 安全更新 |
| Windows Server 2012 R2(服务器核心安装) | 4598285 | 月度汇总 |
| 4598275 | 仅安全相关 | |
| Windows Server 2012 R2 | 4598285 | 月度汇总 |
| 4598275 | 仅安全相关 | |
| Windows Server 2012(服务器核心安装) | 4598278 | 月度汇总 |
| 4598297 | 仅安全相关 | |
| Windows Server 2012 | 4598278 | 月度汇总 |
| 4598297 | 仅安全相关 | |
| Windows Server 2008 R2 Service Pack 1 | 4598279 | 月度汇总 |
| 4598289 | 仅安全相关 | |
| Windows Server 2008 Service Pack 2 | 4598288 | 月度汇总 |
| 4598287 | 仅安全相关 |
步骤 2:启用强制模式
重要说明:本部分、方法或任务包含有关如何修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请一定严格按照下列步骤操作。 为了获得进一步的保护,请在修改注册表之前对其进行备份。 然后,即可在出现问题时还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表。
更新所有客户端和服务器设备后,可以通过部署强制模式启用完全保护。 请按以下步骤完成此操作:
- 右键单击“开始”,单击“运行”,在“运行”框中键入 cmd,然后按 Ctrl+Shift+Enter。
- 在管理员命令提示符处,键入 regedit,然后按 Enter 键。
- 找到以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
- 右键单击“打印”,选择“新建”,然后单击“DWORD (32-位) 值”。
- 键入 RpcAuthnLevelPrivacyEnabled,然后按 Enter 键。
- 右键单击“RpcAuthnLevelPrivacyEnabled”,然后单击“修改”。
- 在“数值数据”框中,键入 1,然后单击“确定”。
注意,此更新引入了对 RpcAuthnLevelPrivacyEnabled 注册表值的支持,以提高打印机 IRemoteWinspool 的授权级别。
| 注册表子项 | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|---|---|
| 值 | RpcAuthnLevelPrivacyEnabled |
| 数据类型 | REG_DWORD |
| 数据 |
1:启用强制模式。 在为服务器端启用“强制”模式之前,请确保所有客户端设备都安装了 2021 年 1 月 12 日发布的 Windows 更新或以后的 Windows 更新。 此修复程序增加了打印机“IRemoteWinspool” RPC 接口的授权级别,并在服务器端添加了新的策略和注册表值,以强制客户端在应用“强制”模式时使用新的授权级别。 如果客户端设备未应用 2021 年 1 月 12 日的安全更新或以后的 Windows 更新,则当客户端通过“IRemoteWinspool” 接口连接到服务器时,打印体验将中断。 0:不推荐。 禁用打印机“IRemoteWinspool”的增强身份验证级别,则你的设备将不受保护。 |
| 默认 | 未设置注册表项时安装更新后的默认行为:
|
| 是否需要重启? | 是的,需要重新启动设备或重新启动后台打印程序服务。 |