管理 CVE-2021-1678 打印机 RPC 绑定更改的部署

摘要

打印机远程过程调用 (RPC) 绑定处理远程 Winspool 接口的身份验证的方式,存在安全旁路漏洞。 通过提升 RPC 身份验证级别,并引入新的策略和注册表项,Windows 更新解决了此漏洞,允许客户禁用或启用服务器端的强制模式,以提升身份验证级别。

若要详细了解漏洞,请参阅 CVE-2021-1678 | NTLM 安全功能绕过漏洞

采取操作

为了保护环境并防止中断,必须执行以下操作:

  1. 通过安装 2021 年 1 月 12 日或以后的 Windows 更新,来更新所有客户端和服务器设备。 请注意,安装 Windows 更新并不能完全解决该安全漏洞,并且可能会影响当前的打印设置。 您必须执行步骤 2。

  2. 在打印机服务器上启用“强制”模式。 从 2021 年 6 月 8 日的更新开始,将在所有 Windows 设备上启用强制模式。

更新时间

这些 Windows 更新将分两个阶段发布:

  • 在 2021 年 1 月 12 日或之后发布的 Windows 更新的初始部署阶段。

  • 在 2021 年 6 月 8 日或之后发布的 Windows 更新的强制阶段。

2021 年 1 月 12 日:初始部署阶段

初始部署阶段从 2021 年 1 月 12 日发布的 Windows 更新开始,使服务器客户能够根据其环境的就绪情况,自行启用此升级的安全级别。

该版本:

  • 解决 CVE-2020-1678 漏洞(在部署模式下,默认设置为关闭)。

  • 添加对 RpcAuthnLevelPrivacyEnabled 注册表值的支持,以提高打印机 IRemoteWinspool 保护的授权级别。

解决措施包括在所有客户端和服务器级设备上安装 Windows 更新。

2021 年 6 月 8 日:强制执行阶段

2021 年 6 月 8 日版本将过渡到强制阶段。 强制阶段通过提高授权级别(无需设置注册表值)强制执行更改,来解决 CVE-2020-1678 漏洞。

安装指南

安装此更新前

应用此更新之前,您必须安装以下必需的更新项。 如果您使用 Windows Update,则会根据需要自动提供这些必需的更新项。

  • 在应用此更新之前,必须安装日期为 2019 年 9 月 23 日的 SHA-2 更新 (KB4474419) 或更高版本的 SHA-2 更新,然后重新启动设备。 有关 SHA-2 更新的更多信息,请参阅针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求

  • 对于 Windows Server 2008 R2 SP1,必须安装日期为 2019 年 3 月 12 日的服务堆栈更新 (SSU) (KB4490628)。 更新 KB4490628 安装完成后,我们建议安装最新的 SSU 更新。 有关最新 SSU 更新的更多信息,请参阅 ADV990001 | 最新服务堆栈更新

  • 对于 Windows Server 2008 SP2,必须安装日期为 2019 年 4 月 9 日的服务堆栈更新 (SSU) (KB4493730)。 更新 KB4493730 安装完成后,我们建议安装最新的 SSU 更新。 有关最新 SSU 更新的详细信息,请参阅 ADV990001 | 最新的服务堆栈更新

  • 2020 年 1 月 14 日扩展支持到期后,客户需要购买本地版 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 的扩展安全更新 (ESU)。 购买了 ESU 的客户必须遵循 KB4522133 中的步骤,才能继续接收安全更新。 有关 ESU 及受支持版本的更多信息,请参阅 KB4497181

重要说明安装这些必需的更新后,必须重启系统。

安装更新

要解决此安全漏洞,请按照以下步骤安装 Windows 更新并启用强制模式:

  1. 将 2021 年 1 月 12 日的更新部署到所有客户端和服务器设备。

  2. 更新所有客户端和服务器设备后,可以通过将注册表值设置为 1 启用完全保护。


步骤 1:安装 Windows 更新

将 2021 年 1 月 12 日的 Windows 更新或更高版本的 Windows 更新安装到所有客户端和服务器设备。

Windows Server 产品

KB #

更新类型

Windows Server 版本 20H2(服务器核心安装)

4598242

安全更新

Windows Server 版本 2004(服务器核心安装)

4598242

安全更新

Windows Server 版本 1909(服务器核心安装)

4598229

安全更新

Windows Server 版本 1903(服务器核心安装)

4598229

安全更新

Windows Server 2019 (服务器核心安装)

4598230

安全更新

Windows Server 2019

4598230

安全更新

Windows Server 2016(服务器核心安装)

4598243

安全更新

Windows Server 2016

4598243

安全更新

Windows Server 2012 R2(服务器核心安装)

4598285

月度汇总

4598275

仅安全相关

Windows Server 2012 R2

4598285

月度汇总

4598275

仅安全相关

Windows Server 2012(服务器核心安装)

4598278

月度汇总

4598297

仅安全相关

Windows Server 2012

4598278

月度汇总

4598297

仅安全相关

Windows Server 2008 R2 Service Pack 1

4598279

月度汇总

4598289

仅安全相关

Windows Server 2008 Service Pack 2

4598288

月度汇总

4598287

仅安全相关

步骤 2:启用强制模式

重要说明 此部分(方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请一定严格按照下列步骤操作。 为了获得进一步的保护,请在修改注册表之前对其进行备份。 这样就可以在出现问题时还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表

更新所有客户端和服务器设备后,可以通过部署强制模式启用完全保护。 为此,请按照下列步骤操作:

  1. 右键单击“开始”,然后单击“运行”,在“运行”框中键入 cmd,然后按 Ctrl+Shift+Enter 组合键。

  2. 在管理员命令提示符处,键入 regedit,然后按 Enter 键。

  3. 找到以下注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. 右键单击“打印”,选择“新建”,然后单击“DWORD (32-位) 值”。

  2. 键入 RpcAuthnLevelPrivacyEnabled,然后按 Enter 键。

  3. 右键单击“RpcAuthnLevelPrivacyEnabled”,然后单击“修改”。

  4. 在“数值数据”框中,键入 1,然后单击“确定”。

备注 此更新引入了对 RpcAuthnLevelPrivacyEnabled 注册表值的支持,以提高打印机 IRemoteWinspool 的授权级别。

注册表子项

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

RpcAuthnLevelPrivacyEnabled

数据类型

REG_DWORD

数据

1:启用强制模式。 在为服务器端启用“强制”模式之前,请确保所有客户端设备都安装了 2021 年 1 月 12 日发布的 Windows 更新或以后的 Windows 更新。 此修复程序增加了打印机“IRemoteWinspool” RPC 接口的授权级别,并在服务器端添加了新的策略和注册表值,以强制客户端在应用“强制”模式时使用新的授权级别。 如果客户端设备未应用 2021 年 1 月 12 日的安全更新或以后的 Windows 更新,则当客户端通过“IRemoteWinspool” 接口连接到服务器时,打印体验将中断。

0:不推荐。 禁用打印机“IRemoteWinspool”的增强身份验证级别,则你的设备将不受保护。

默认为

            0(未设置注册表项时)

是否需要重启?

是的,需要重新启动设备或重新启动后台打印程序服务。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×