管理針對 CVE-2021-1678 所做之印表機 RPC 繫結變更的部署

摘要

印表機遠端程序呼叫 (RPC) 繫結處理遠端 Winspool 介面的驗證方式存在安全性略過弱點。 Windows 更新透過增加 RPC 驗證等級,並引進新的原則與註冊機碼以允許客戶在伺服器端停用或啟用 Enforcement 模式以增加驗證等級,藉此解決此弱點。

要深入了解此弱點,請參閱 CVE-2021-1678 | NTLM 安全性功能略過弱點

採取行動

為了保護您的環境和避免運作中斷,您必須執行下列各項:

  1. 安裝 2021 年 1 月 12 日的 Windows 更新或以後的 Windows 更新,以更新所有用戶端和伺服器裝置。 請注意,安裝 Windows 更新無法完全避免安全性弱點遭到利用,並可能會影響您目前的印表機設定。 您必須執行步驟 2。

  2. 在印表機伺服器中啟用 [Enforcement] 模式。 自 2021 年 6 月 8 日更新開始,可以在所有 Windows 裝置上啟用 [Enforcement] 模式。

更新時間

這些 Windows 更新會分成兩階段發行:

  • 於 2021 年 1 月 12 日或之後發行的 Windows 更新,均屬於初始部署階段。

  • 於 2021 年 6 月 8 日或之後發行的 Windows 更新,則屬於強制階段。

2021 年 1 月 12 日:初始部署階段

初始部署階段從 2021 年 1 月 12 日發佈的 Windows 更新開始,讓伺服器客戶能夠根據其環境的整備程度自行啟用此增高的安全性等級。

此版本:

  • 解決 CVE-2020-1678 (預設會將 [部署] 模式設定為 [關閉])。

  • 新增支援 RpcAuthnLevelPrivacyEnabled 登錄機碼值,而能增加印表機 IRemoteWinspool 保護的授權層級。

緩解措施包括在所有用戶端和伺服器層級裝置中安裝 Windows 更新。

2021 年 6 月 8 日:Enforcement 階段

2021 年 6 月 8 日版本轉換為強制階段。 Enforcement 階段使用不需要設定登錄機碼值的方式來增加授權層級,強制變更以解決 CVE-2020-1678 問題。

安裝指引

安裝此更新之前

您必須先安裝下列必要更新,才能套用此更新。 如果使用 Windows Update,將會視需要自動提供這些必要更新。

  • 必須安裝 2019 年 9 月 23 日發行的 SHA-2 更新 (KB4474419) 或更新版本的 SHA-2 更新,然後重新啟動您的裝置,然後再套用此更新。 如需有關 SHA-2 更新的詳細資訊,請參閱 2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求

  • 對於 Windows Server 2008 R2 SP1,必須安裝 2019 年 3 月 12 日發行的服務堆疊更新 (SSU) (KB4490628)。 安裝更新 KB4490628 後,建議您安裝最新的SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新服務堆疊更新

  • 對於 Windows Server 2008 SP2,必須安裝 2019 年 4 月 9 日發行的服務堆疊更新 (SSU) (KB4493730)。 安裝更新 KB4493730 後,建議您安裝最新的 SSU 更新。 如需有關最新 SSU 更新的詳細資訊,請參閱 ADV990001 | 最新的服務堆疊更新

  • 在延伸支援於 2020 年 1 月 14 日終止後,客戶必須購買適用於 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 內部部署版本的延伸安全性更新 (ESU)。 已購買 ESU 的客戶必須遵循 KB4522133 中的程序,才能繼續收到安全性更新。 如需 ESU 與支援哪些版本的詳細資訊,請參閱 KB4497181

重要:安裝這些必要更新後,必須重新啟動您的裝置。

安裝更新

若要解決安全性弱點,請按照下列步驟安裝 Windows 更新,並啟用強制模式:

  1. 將 2021 年 1 月 12 日的更新部署到所有用戶端和伺服器裝置。

  2. 更新所有用戶端與伺服器裝置後,將登錄值設定為 1,即可啟用全面保護。


步驟 1:安裝 Windows 更新

將 2021 年 1 月 12 日的 Windows 更新或以後的 Windows 更新安裝到所有用戶端和伺服器設備。

Windows Server 產品

KB #

更新類型

Windows Server 20H2 版 (Server Core 安裝)

4598242

安全性更新

Windows Server 2004 版 (Server Core 安裝)

4598242

安全性更新

Windows Server 1909 版 (Server Core 安裝)

4598229

安全性更新

Windows Server 1903 版 (Server Core 安裝)

4598229

安全性更新

Windows Server 2019 (Server Core 安裝)

4598230

安全性更新

Windows Server 2019

4598230

安全性更新

Windows Server 2016 (Server Core 安裝)

4598243

安全性更新

Windows Server 2016

4598243

安全性更新

Windows Server 2012 R2 (Server Core 安裝)

4598285

每月彙總套件

4598275

僅限安全性

Windows Server 2012 R2

4598285

每月彙總套件

4598275

僅限安全性

Windows Server 2012 (Server Core 安裝)

4598278

每月彙總套件

4598297

僅限安全性

Windows Server 2012

4598278

每月彙總套件

4598297

僅限安全性

Windows Server 2008 R2 Service Pack 1

4598279

每月彙總套件

4598289

僅限安全性

Windows Server 2008 Service Pack 2

4598288

每月彙總套件

4598287

僅限安全性

步驟 2:啟用 Enforcement 模式

重要: 這部分、方法或工作包含如何變更登錄的步驟。 然而,不當修改登錄可能會發生嚴重問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄

更新所有用戶端和伺服器裝置後,可以透過部署 [Enforcement] 模式啟用完全保護。 如果要執行這項操作,請依照下列步驟執行:

  1. 以右鍵按一下[開始] 、[執行],在 [開啟] 方塊中輸入 cmd,然後按一下 Ctrl+Shift+Enter

  2. 在管理人員命令提示字元後輸入 regedit.exe,然後按下 Enter

  3. 找出下列登錄子機碼:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. 在 [附件] 上按一下右鍵,選取 [新增],然後按一下 [DWORD (32-位元) 值]。

  2. 輸入 sysdm.cpl,然後按下 Enter

  3. 右鍵按一下 [RpcAuthnLevelPrivacyEnabled],然後按一下 [修改]。

  4. 在 [數值資料] 方塊中輸入 1,然後按一下 [確定]。

附註: 此更新引進對 RpcAuthnLevelPrivacyEnabled 登錄值的支援 ,以提高印表機 IRemoteWinspool 的授權等級。

登錄子機碼

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

RpcAuthnLevelPrivacyEnabled

資料類型

REG_DWORD

資料

1:啟用 [Enforcement] 模式。 在伺服器端啟用 Enforcement 模式前,請確保所有用戶端裝置都安裝了 2021 年 1 月 12 日發佈的 Windows 更新或之後的 Windows 更新。 此修復程式增加了印表機 IRemoteWinspool RPC 介面的授權等級,並在伺服器端添加了新的策略和登錄值,以強制用戶端在應用 Enforcement 模式時使用新的授權等級。 如果用戶端裝置未使用 2021 年 1 月 12 日的安全性更新或之後的 Windows 更新,則當用戶端透過 IRemoteWinspool 介面連接到伺服器時,將會中斷列印體驗。

0:不建議使用。 停用印表機 IRemoteWinspool 的加強身分驗證等級,且您的裝置不受保護。

預設值

0 (未設定登錄機碼時)

是否需要重新開機?

是,需要重新啟動裝置,或重新啟動多工緩衝處理器服務。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×