Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

الملخص

توجد ثغرة أمنية لتجاوز الأمان في الطريقة التي تعالج بها عملية ربط استدعاء الإجراء البعيد للطابعة (RPC) المصادقة لواجهة وينسبوول البعيدة. تعالج Windows التحديث هذه الثغرة من خلال زيادة مستوى مصادقة RPC وإدخال نهج جديد ومفتاح تسجيل للسماح للعملاء بتعطيل وضع "التنفيذ" أو تمكينه على الخادم لزيادة مستوى المصادقة.    

لمعرفة المزيد حول الثغرة الأمنية، راجع CVE-2021-1678 | Windows ثغرة اانتحال Spooler للطباعة.

اتخاذ إجراء

لحماية بيئتك ومنع انقطاع التيار الكهربائي، يجب عليك القيام بما يلي:

  1. قم بتحديث جميع أجهزة الخادم والعميل عن طريق تثبيت تحديث 12 يناير 2021 Windows أو تحديث Windows لاحق. يجب أن تدرك أن Windows التحديث لا يخفف من ثغرة الأمان بشكل كامل وقد يؤثر على إعداد الطباعة الحالي. يجب تنفيذ الخطوة 2.

  2. تمكين وضع التنفيذ على خادم الطباعة. سيتم تمكين وضع التنفيذ على جميع الأجهزة Windows في وقت لاحق.

توقيت التحديثات

سيتم Windows هذه التحديثات على مرحلتين:

  • مرحلة النشر الأولي لتحديثات Windows التي تم إصدارها في 12 يناير 2021 أو بعده.

  • مرحلة التنفيذ Windows التحديثات التي تم إصدارها في تاريخ مستقبلي.

12 يناير 2021: مرحلة النشر الأولي

تبدأ مرحلة النشر الأولي بتحديث Windows الذي تم إصداره في 12 يناير 2021 من خلال توفير إمكانية عملاء الخادم لتمكين مستوى الأمان المتزايد هذا على أساس جاهزية بيئتهم.

هذا الإصدار:

  • عناوين CVE-2021-1678 (في وضع النشر تم تعيينها إلى إيقاف التشغيل بشكل افتراضي).

  • يضيف الدعم لقيمة السجل RpcAuthnLevelPrivacyEnabled لتمكين زيادة مستوى التخويل للحماية من IRemoteWinspool للطابعة.

تتكون عملية التخفيف من تثبيت Windows على كل الأجهزة على مستوى العميل وعلى الخادم.

14 سبتمبر 2021: مرحلة التنفيذ

يتم نقل الإصدار إلى مرحلة التنفيذ في 14 سبتمبر 2021. تفرض مرحلة التنفيذ التغييرات على عنوان CVE-2021-1678 من خلال زيادة مستوى التفويض دون الحاجة إلى تعيين قيمة السجل.

إرشادات التثبيت

قبل تثبيت هذا التحديث

يجب أن يكون لديك التحديثات المطلوبة التالية مثبتة قبل تطبيق هذا التحديث. إذا كنت تستخدم Windows التحديث، سيتم عرض هذه التحديثات المطلوبة تلقائيا كما تقتضي الحاجة.

  • يجب أن يكون تحديث SHA-2(KB4474419)الذي تم تثبيته بتاريخ 23 سبتمبر 2019 أو تحديث SHA-2 أحدث ثم أعد تشغيل جهازك قبل تطبيق هذا التحديث. لمزيد من المعلومات حول تحديثات SHA-2، راجع متطلبات دعم توقيع التعليمات البرمجية ل SHA-2Windows و WSUS .

  • بالنسبة Windows Server 2008 R2 SP1، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4490628)الذي تم تاريخه في 12 مارس 2019. بعد تثبيت تحديث KB4490628، نوصي بتثبيت آخر تحديث SSU. لمزيد من المعلومات حول آخر تحديث ل SSU، راجع ADV990001 | التحديثات الأخيرة لمكدس الصيانة.

  • بالنسبة Windows Server 2008 SP2، يجب أن تكون قد قمت بتثبيت تحديث مكدس الخدمة (SSU)(KB4493730)الذي تم تاريخه في 9 أبريل 2019. بعد تثبيت تحديث KB4493730، نوصي بتثبيت آخر تحديث SSU. لمزيد من المعلومات حول آخر تحديثات SSU، راجع ADV990001 | التحديثات الأخيرة لمكدس الصيانة.

  • يجب على العملاء شراء تحديث الأمان الموسع (ESU) للإصدارات المحلي من Windows Server 2008 SP2 أو Windows Server 2008 R2 SP1 بعد انتهاء الدعم الموسع في 14 يناير 2020. يجب على العملاء الذين اشتروا ESU اتباع الإجراءات في KB4522133 لمتابعة تلقي تحديثات الأمان. لمزيد من المعلومات حول ESU والطبعات المعتمدة، راجع KB4497181.

هام يجب إعادة تشغيل جهازك بعد تثبيت هذه التحديثات المطلوبة.

تثبيت التحديث

لحل ثغرة الأمان، قم بتثبيت Windows التحديثات وتمكين وضع "التنفيذ" باتباع الخطوات التالية:

  1. نشر تحديث 12 يناير 2021 على جميع أجهزة الخادم والعميل.

  2. بعد تحديث جميع أجهزة الخادم والعميل، يمكن تمكين الحماية الكاملة من خلال تعيين قيمة السجل إلى 1.

الخطوة 1: تثبيت Windows التحديث

قم بتثبيت تحديث 12 يناير 2021 Windows أو تحديث Windows الأخير لجميع أجهزة العميل الخادم.

Windows منتج الخادم

KB #

نوع التحديث

Windows Server، الإصدار 20H2 (التثبيت الأساسي للخادم)

4598242

تحديث الأمان

Windows Server، الإصدار 2004 (تثبيت Server Core)

4598242

تحديث الأمان

Windows Server، الإصدار 1909 (تثبيت Server Core)

4598229

تحديث الأمان

Windows Server، الإصدار 1903 (تثبيت Server Core)

4598229

تحديث الأمان

Windows Server 2019 (تثبيت Server Core)

4598230

تحديث الأمان

Windows Server 2019

4598230

تحديث الأمان

Windows Server 2016 (تثبيت Server Core)

4598243

تحديث الأمان

Windows Server 2016

4598243

تحديث الأمان

Windows Server 2012 R2 (تثبيت Server Core)

4598285

عملية الالتفاف الشهرية

4598275

الأمان فقط

Windows Server 2012 R2

4598285

عملية الالتفاف الشهرية

4598275

الأمان فقط

Windows Server 2012 (تثبيت Server Core)

4598278

عملية الالتفاف الشهرية

4598297

الأمان فقط

Windows Server 2012

4598278

عملية الالتفاف الشهرية

4598297

الأمان فقط

Windows Server 2008 R2 Service Pack 1

4598279

عملية الالتفاف الشهرية

4598289

الأمان فقط

Windows Server 2008 Service Pack 2

4598288

عملية الالتفاف الشهرية

4598287

الأمان فقط

الخطوة 2: تمكين وضع التنفيذ

هام يحتوي هذا المقطع أو الأسلوب أو المهمة على خطوات تعلمك بكيفية تغيير السجل. ومع ذلك، قد تحدث مشاكل خطيرة إذا قمت بتغيير السجل بشكل غير صحيح. ولذلك، يجب التأكد من اتباع الخطوات التالية بعناية. لمزيد من الحماية، ارجع إلى السجل قبل تغييره. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل تغييرات على السجل واستعادته، راجع كيفية عمل عملية تحرير السجل واستعادته في Windows.

بعد تحديث جميع أجهزة العميل وخادم الكمبيوتر، يمكنك تمكين الحماية الكاملة من خلال نشر وضع "التنفيذ". للقيام بذلك، اتبع الخطوات التالية:

  1. انقر ب الماوسالأيمن فوق ابدأ، وانقر فوق تشغيل،وا اكتب cmd في المربع تشغيل، ثم اضغط على Ctrl+Shift+Enter.

  2. في موجه أوامر المسؤول، اكتب regedit ثم اضغط على Enter.

  3. حدد موقع مفتاح السجل الفرعي التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. انقر ب زر الماوس الأيمن فوق طباعة، واختر جديد، ثم انقر فوق قيمة DWORD VALUE (32 بت).

  2. اكتب RpcAuthnLevelPrivacyEnabled ثم اضغط على Enter.

  3. انقر بضغطة زر الماوس الأيمن فوق RpcAuthnLevelPrivacyEnabled ثم انقر فوق تعديل.

  4. في المربع بيانات القيمة، اكتب 1 ثم انقر فوق موافق.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يقدم هذا التحديث الدعم لقيمة السجل RpcAuthnLevelPrivacyEnabled لزيادة مستوى التخويل للطابعة IRemoteWinspool.

مفتاح السجل الفرعي

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

القيمة

RpcAuthnLevelPrivacyEnabled

نوع البيانات

REG_DWORD

بيانات

1: تمكين وضع التنفيذ. قبل تمكين وضع "التنفيذ" من جانب الخادم، تأكد من تثبيت تحديث Windows العميل الذي تم إصداره في 12 يناير 2021 أو تحديث Windows لاحق. يزيد هذا الإصلاح مستوى التخويل لواجهة IRemoteWinspool RPC للطابعة ويضيف قيمة سجل ونهج جديدين على الخادم لفرض العميل لاستخدام مستوى التفويض الجديد إذا تم تطبيق وضع "التنفيذ". إذا لم يتم تطبيق تحديث الأمان 12 يناير 2021 أو تحديث Windows اللاحق على جهاز العميل، سيتم قطع تجربة الطباعة عند اتصال العميل للخادم من خلال واجهة IRemoteWinspool.

0: غير مستحسن. تعطيل مستوى مصادقة زيادة الطابعة IRemoteWinspool، ولا تكون أجهزتك محمية.

افتراضي

السلوك الافتراضي بعد تثبيت التحديثات عند عدم تعيين مفتاح التسجيل:

  • في 12 يناير 2021 أو التحديثات اللاحقة، يكون السلوك الافتراضي 0 (صفر) عند عدم تعيينه.

  • في 14 سبتمبر 2021 أو التحديثات اللاحقة، يكون السلوك الافتراضي هو 1 (واحد) عند عدم تعيينه.

هل إعادة التشغيل مطلوبة؟

نعم، هناك حاجة إلى إعادة تشغيل جهاز أو إعادة تشغيل خدمة spooler.

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.