الملخص
توجد ثغرة أمنية لتجاوز الأمان في الطريقة التي تعالج بها عملية ربط استدعاء الإجراء البعيد للطابعة (RPC) المصادقة لواجهة وينسبوول البعيدة. تعالج Windows التحديث هذه الثغرة من خلال زيادة مستوى مصادقة RPC وإدخال نهج جديد ومفتاح تسجيل للسماح للعملاء بتعطيل وضع "التنفيذ" أو تمكينه على الخادم لزيادة مستوى المصادقة.
لمعرفة المزيد حول الثغرة الأمنية، راجع CVE-2021-1678 | Windows ثغرة اانتحال Spooler للطباعة.
اتخاذ إجراء لحماية بيئتك ومنع انقطاع التيار الكهربائي، يجب عليك القيام بما يلي:
|
توقيت التحديثات
سيتم Windows هذه التحديثات على مرحلتين:
-
مرحلة النشر الأولي لتحديثات Windows التي تم إصدارها في 12 يناير 2021 أو بعده.
-
مرحلة التنفيذ Windows التحديثات التي تم إصدارها في تاريخ مستقبلي.
12 يناير 2021: مرحلة النشر الأولي
تبدأ مرحلة النشر الأولي بتحديث Windows الذي تم إصداره في 12 يناير 2021 من خلال توفير إمكانية عملاء الخادم لتمكين مستوى الأمان المتزايد هذا على أساس جاهزية بيئتهم.
هذا الإصدار:
-
عناوين CVE-2021-1678 (في وضع النشر تم تعيينها إلى إيقاف التشغيل بشكل افتراضي).
-
يضيف الدعم لقيمة السجل RpcAuthnLevelPrivacyEnabled لتمكين زيادة مستوى التخويل للحماية من IRemoteWinspool للطابعة.
تتكون عملية التخفيف من تثبيت Windows على كل الأجهزة على مستوى العميل وعلى الخادم.
14 سبتمبر 2021: مرحلة التنفيذ
يتم نقل الإصدار إلى مرحلة التنفيذ في 14 سبتمبر 2021. تفرض مرحلة التنفيذ التغييرات على عنوان CVE-2021-1678 من خلال زيادة مستوى التفويض دون الحاجة إلى تعيين قيمة السجل.
إرشادات التثبيت
قبل تثبيت هذا التحديث
يجب أن يكون لديك التحديثات المطلوبة التالية مثبتة قبل تطبيق هذا التحديث. إذا كنت تستخدم Windows التحديث، سيتم عرض هذه التحديثات المطلوبة تلقائيا كما تقتضي الحاجة.
-
يجب أن يكون تحديث SHA-2(KB4474419)الذي تم تثبيته بتاريخ 23 سبتمبر 2019 أو تحديث SHA-2 أحدث ثم أعد تشغيل جهازك قبل تطبيق هذا التحديث. لمزيد من المعلومات حول تحديثات SHA-2، راجع متطلبات دعم توقيع التعليمات البرمجية ل SHA-2Windows و WSUS .
-
بالنسبة Windows Server 2008 R2 SP1، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4490628)الذي تم تاريخه في 12 مارس 2019. بعد تثبيت تحديث KB4490628، نوصي بتثبيت آخر تحديث SSU. لمزيد من المعلومات حول آخر تحديث ل SSU، راجع ADV990001 | التحديثات الأخيرة لمكدس الصيانة.
-
بالنسبة Windows Server 2008 SP2، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4493730)الذي تم تاريخه في 9 أبريل 2019. بعد تثبيت تحديث KB4493730، نوصي بتثبيت آخر تحديث SSU. لمزيد من المعلومات حول آخر تحديثات SSU، راجع ADV990001 | التحديثات الأخيرة لمكدس الصيانة.
-
يجب على العملاء شراء تحديث الأمان الموسع (ESU) للإصدارات المحلي من Windows Server 2008 SP2 أو Windows Server 2008 R2 SP1 بعد انتهاء الدعم الموسع في 14 يناير 2020. يجب على العملاء الذين اشتروا ESU اتباع الإجراءات في KB4522133 لمتابعة تلقي تحديثات الأمان. لمزيد من المعلومات حول ESU والطبعات المعتمدة، راجع KB4497181.
هام يجب إعادة تشغيل جهازك بعد تثبيت هذه التحديثات المطلوبة.
تثبيت التحديث
لحل ثغرة الأمان، قم بتثبيت Windows التحديثات وتمكين وضع "التنفيذ" باتباع الخطوات التالية:
-
نشر تحديث 12 يناير 2021 على جميع أجهزة الخادم والعميل.
-
بعد تحديث جميع أجهزة الخادم والعميل، يمكن تمكين الحماية الكاملة من خلال تعيين قيمة السجل إلى 1.
الخطوة 1: تثبيت Windows التحديث
قم بتثبيت تحديث 12 يناير 2021 Windows أو تحديث Windows الأخير لجميع أجهزة العميل الخادم.
Windows منتج الخادم |
KB # |
نوع التحديث |
Windows Server، الإصدار 20H2 (التثبيت الأساسي للخادم) |
تحديث الأمان |
|
Windows Server، الإصدار 2004 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server، الإصدار 1909 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server، الإصدار 1903 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server 2019 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server 2019 |
تحديث الأمان |
|
Windows Server 2016 (تثبيت Server Core) |
تحديث الأمان |
|
Windows Server 2016 |
تحديث الأمان |
|
Windows Server 2012 R2 (تثبيت Server Core) |
عملية الالتفاف الشهرية |
|
الأمان فقط |
||
Windows Server 2012 R2 |
عملية الالتفاف الشهرية |
|
الأمان فقط |
||
Windows Server 2012 (تثبيت Server Core) |
عملية الالتفاف الشهرية |
|
الأمان فقط |
||
Windows Server 2012 |
عملية الالتفاف الشهرية |
|
الأمان فقط |
||
Windows Server 2008 R2 Service Pack 1 |
عملية الالتفاف الشهرية |
|
الأمان فقط |
||
Windows Server 2008 Service Pack 2 |
عملية الالتفاف الشهرية |
|
الأمان فقط |
الخطوة 2: تمكين وضع التنفيذ
هام يحتوي هذا المقطع أو الأسلوب أو المهمة على خطوات تعلمك بكيفية تغيير السجل. ومع ذلك، قد تحدث مشاكل خطيرة إذا قمت بتغيير السجل بشكل غير صحيح. ولذلك، يجب التأكد من اتباع الخطوات التالية بعناية. لمزيد من الحماية، ارجع إلى السجل قبل تغييره. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل تغييرات على السجل واستعادته، راجع كيفية عمل عملية تحرير السجل واستعادته في Windows.
بعد تحديث جميع أجهزة العميل وخادم الكمبيوتر، يمكنك تمكين الحماية الكاملة من خلال نشر وضع "التنفيذ". للقيام بذلك، اتبع الخطوات التالية:
-
انقر ب الماوسالأيمن فوق ابدأ، وانقر فوق تشغيل،وا اكتب cmd في المربع تشغيل، ثم اضغط على Ctrl+Shift+Enter.
-
في موجه أوامر المسؤول، اكتب regedit ثم اضغط على Enter.
-
حدد موقع مفتاح السجل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
انقر ب زر الماوس الأيمن فوق طباعة، واختر جديد، ثم انقر فوق قيمة DWORD VALUE (32 بت).
-
اكتب RpcAuthnLevelPrivacyEnabled ثم اضغط على Enter.
-
انقر بضغطة زر الماوس الأيمن فوق RpcAuthnLevelPrivacyEnabled ثم انقر فوق تعديل.
-
في المربع بيانات القيمة، اكتب 1 ثم انقر فوق موافق.
ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.. يقدم هذا التحديث الدعم لقيمة السجل RpcAuthnLevelPrivacyEnabled لزيادة مستوى التخويل للطابعة IRemoteWinspool.
مفتاح السجل الفرعي |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
القيمة |
RpcAuthnLevelPrivacyEnabled |
نوع البيانات |
REG_DWORD |
بيانات |
1: تمكين وضع التنفيذ. قبل تمكين وضع "التنفيذ" من جانب الخادم، تأكد من تثبيت تحديث Windows العميل الذي تم إصداره في 12 يناير 2021 أو تحديث Windows لاحق. يزيد هذا الإصلاح مستوى التخويل لواجهة IRemoteWinspool RPC للطابعة ويضيف قيمة سجل ونهج جديدين على الخادم لفرض العميل لاستخدام مستوى التفويض الجديد إذا تم تطبيق وضع "التنفيذ". إذا لم يتم تطبيق تحديث الأمان 12 يناير 2021 أو تحديث Windows اللاحق على جهاز العميل، سيتم قطع تجربة الطباعة عند اتصال العميل للخادم من خلال واجهة IRemoteWinspool. 0: غير مستحسن. تعطيل مستوى مصادقة زيادة الطابعة IRemoteWinspool، ولا تكون أجهزتك محمية. |
افتراضي |
السلوك الافتراضي بعد تثبيت التحديثات عند عدم تعيين مفتاح التسجيل:
|
هل إعادة التشغيل مطلوبة؟ |
نعم، هناك حاجة إلى إعادة تشغيل جهاز أو إعادة تشغيل خدمة spooler. |