摘要
印表機遠端程序呼叫 (RPC) 繫結處理遠端 Winspool 介面的驗證方式存在安全性略過弱點。 Windows 更新透過增加 RPC 驗證等級,並引進新的原則與註冊機碼以允許客戶在伺服器端停用或啟用 Enforcement 模式以增加驗證等級,藉此解決此弱點。
要深入了解此弱點,請參閱 CVE-2021-1678 | Windows 列印多工緩衝處理器詐騙弱點。
|
採取行動 為了保護您的環境和避免運作中斷,您必須執行下列各項:
|
更新時間
這些 Windows 更新會分成兩階段發行:
-
於 2021 年 1 月 12 日或之後發行的 Windows 更新,均屬於初始部署階段。
-
Windows 更新強制執行於日後發行。
2021 年 1 月 12 日:初始部署階段
初始部署階段從 2021 年 1 月 12 日發佈的 Windows 更新開始,讓伺服器客戶能夠根據其環境的整備程度自行啟用此增高的安全性等級。
此版本:
-
解決 CVE-2021-1678 (預設會將 [部署] 模式設定為 [關閉])。
-
新增支援 RpcAuthnLevelPrivacyEnabled 登錄機碼值,而能增加印表機 IRemoteWinspool 保護的授權層級。
緩解措施包括在所有用戶端和伺服器層級裝置中安裝 Windows 更新。
2021 年 9 月 14 日:強制階段
該發行版本於 2021 年 9 月 14 日進入強制階段。 Enforcement 階段使用不需要設定登錄機碼值的方式來增加授權層級,強制變更以解決 CVE-2021-1678 問題。
安裝指引
安裝此更新之前
您必須先安裝下列必要更新,才能套用此更新。 如果使用 Windows Update,將會視需要自動提供這些必要更新。
-
必須安裝 2019 年 9 月 23 日發行的 SHA-2 更新 (KB4474419) 或更新版本的 SHA-2 更新,然後重新啟動您的裝置,然後再套用此更新。 如需有關 SHA-2 更新的詳細資訊,請參閱 2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求。
-
對於 Windows Server 2008 R2 SP1,必須安裝 2019 年 3 月 12 日發行的服務堆疊更新 (SSU) (KB4490628)。 安裝更新 KB4490628 後,建議您安裝最新的SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新服務堆疊更新。
-
對於 Windows Server 2008 SP2,必須安裝 2019 年 4 月 9 日發行的服務堆疊更新 (SSU) (KB4493730)。 安裝更新 KB4493730 後,建議您安裝最新的 SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新的服務堆疊更新。
-
在延伸支援於 2020 年 1 月 14 日終止後,客戶必須購買適用於 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 內部部署版本的延伸安全性更新 (ESU)。 已購買 ESU 的客戶必須遵循 KB4522133 中的程序,才能繼續收到安全性更新。 如需 ESU 與支援哪些版本的詳細資訊,請參閱 KB4497181。
重要:安裝這些必要更新後,必須重新啟動您的裝置。
安裝更新
若要解決安全性弱點,請按照下列步驟安裝 Windows 更新,並啟用強制模式:
-
將 2021 年 1 月 12 日的更新部署到所有用戶端和伺服器裝置。
-
更新所有用戶端與伺服器裝置後,將登錄值設定為 1,即可啟用全面保護。
步驟 1:安裝 Windows 更新
將 2021 年 1 月 12 日的 Windows 更新或以後的 Windows 更新安裝到所有用戶端和伺服器設備。
|
Windows Server 產品 |
KB # |
更新類型 |
|
Windows Server 20H2 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2004 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 1909 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 1903 版 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2019 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2019 |
安全性更新 |
|
|
Windows Server 2016 (Server Core 安裝) |
安全性更新 |
|
|
Windows Server 2016 |
安全性更新 |
|
|
Windows Server 2012 R2 (Server Core 安裝) |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2012 R2 |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2012 (Server Core 安裝) |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2012 |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2008 R2 Service Pack 1 |
每月彙總套件 |
|
|
僅限安全性 |
||
|
Windows Server 2008 Service Pack 2 |
每月彙總套件 |
|
|
僅限安全性 |
步驟 2:啟用 Enforcement 模式
重要: 這部分、方法或工作包含如何變更登錄的步驟。 然而,不當修改登錄可能會發生嚴重問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄。
更新所有用戶端和伺服器裝置後,可以透過部署 [Enforcement] 模式啟用完全保護。 若要執行這項動作,請依照下列步驟執行:
-
以右鍵按一下[開始] 、[執行],在 [開啟] 方塊中輸入 cmd,然後按一下 Ctrl+Shift+Enter。
-
在管理人員命令提示字元後輸入 regedit.exe,然後按下 Enter。
-
找出下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
在 [附件] 上按一下右鍵,選取 [新增],然後按一下 [DWORD (32-位元) 值]。
-
輸入 sysdm.cpl,然後按下 Enter。
-
右鍵按一下 [RpcAuthnLevelPrivacyEnabled],然後按一下 [修改]。
-
在 [數值資料] 方塊中輸入 1,然後按一下 [確定]。
附註: 此更新引進對 RpcAuthnLevelPrivacyEnabled 登錄值的支援 ,以提高印表機 IRemoteWinspool 的授權等級。
|
登錄子機碼 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
值 |
RpcAuthnLevelPrivacyEnabled |
|
資料類型 |
REG_DWORD |
|
資料 |
1:啟用 [Enforcement] 模式。 在伺服器端啟用 Enforcement 模式前,請確保所有用戶端裝置都安裝了 2021 年 1 月 12 日發佈的 Windows 更新或之後的 Windows 更新。 此修復程式增加了印表機 IRemoteWinspool RPC 介面的授權等級,並在伺服器端添加了新的策略和登錄值,以強制用戶端在應用 Enforcement 模式時使用新的授權等級。 如果用戶端裝置未使用 2021 年 1 月 12 日的安全性更新或之後的 Windows 更新,則當用戶端透過 IRemoteWinspool 介面連接到伺服器時,將會中斷列印體驗。 0:不建議使用。 停用印表機 IRemoteWinspool 的加強身分驗證等級,且您的裝置不受保護。 |
|
預設值 |
未設定登錄機碼時,安裝更新後的預設行為:
|
|
是否需要重新開機? |
是,需要重新啟動裝置,或重新啟動多工緩衝處理器服務。 |
