الملخص

تحتوي تحديثات الأمان التي تم إصدارها في 6 يوليو 2021 وبعده على حماية ثغرة في تنفيذ التعليمات البرمجية عن بعد في خدمة "مجموعة صور الطباعة" في Windows (spoolsv.exe) المعروفة باسم   "PrintNightmare"، الموثقة في CVE-2021-34527. بعد تثبيت تحديثات يوليو 2021 واللاحقة، يتعذر على غير المسؤولين، بما في ذلك مجموعات المسؤولين المفوضين مثل عوامل تشغيل الطابعات، تثبيت برامج تشغيل الطابعات الموقعة وغير الموقعة إلى خادم طباعة. بشكل افتراضي، يمكن للمسؤولين فقط تثبيت كل من برامج تشغيل الطابعات الموقعة وغير الموقعة إلى خادم طباعة. 

ملاحظة قبل تثبيت تحديثات "خارج النطاق" في يوليو 2021 واللاحقة Windows التي تحتوي على حماية CVE-2021-34527، يمكن لمجموعة أمان مشغلي الطابعات تثبيت كل من برامج تشغيل الطابعات الموقعة وغير الموقعة على خادم الطابعة. بدءا من تحديث "خارج النطاق" ل يوليو 2021، ستكون بيانات اعتماد المسؤول مطلوبة لتثبيت برامج تشغيل الطابعات الموقعة وغير الموقعة على خادم طابعة. بشكل اختياري، لتجاوز كل إعدادات نهج مجموعة تقييدات النقاط والطباعة والتأكد من أنه يمكن للمسؤولين فقط تثبيت برامج تشغيل الطابعات على خادم طباعة، قم بتكوين قيمة السجل RestrictDriverInstallationToAdministrators إلى 1.

نوصي بتثبيت آخر تحديثات Windows التي تم إصدارها في 6 يوليو 2021 أو بعده على كل أنظمة تشغيل عميل وخادم Windows المعتمدة، بدءا من الأجهزة التي تستضيف حاليا خدمة التخزين التخزيني للطباعة. بعد ذلك، قم بتعيين "عند تثبيت برامج التشغيل لاتصال جديد" و"عند تحديث برامج التشغيل لاتصال موجود" في إعداد نهج مجموعة قيود الطباعة والنقطة إلى "إظهار موجه التحذير والرفع".

الدقة

  1. قم بتثبيت التحديثات "خارج النطاق" في يوليو 2021 أو التحديثات اللاحقة.

  2. تحقق مما إذا كانت الشروط التالية صحيحة:

  • سجل الإعدادات: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) أو غير معرف (إعداد افتراضي)

    • UpdatePromptSettings = 0 (DWORD) أو غير معرف (إعداد افتراضي)

  • نهج المجموعة: لم تكن قد قمت بتكوين نهج المجموعة "نقاط" و"قيود الطباعة".

إذا كان كلا الشروط صحيحا، فلا تكون عرضة ل CVE-2021-34527 ولا حاجة إلى اتخاذ أي إجراء آخر. إذا لم يكن أي من الشرطين صحيحا، تكون عرضة للتأثر. اتبع الخطوات أدناه لتغيير نهج مجموعة قيود النقاط والطباعة إلى تكوين آمن.

  1. افتح أداة محرر نهج المجموعة واذهب إلى تكوين الكمبيوتر > قوالب إدارية >الطابعات. 

  2. قم بتكوين إعداد نهج المجموعة "نقاط" و"قيود الطباعة" كما يلي:

    1. تعيين إعداد نهج المجموعة "نقاط" و"قيود الطباعة" إلى "ممكن".

    2. "عند تثبيت برامج التشغيل لاتصال جديد": "إظهار موجه التحذير والرفع".

    3. "عند تحديث برامج التشغيل لاتصال موجود": "إظهار موجه التحذير والرفع".

نص بديل

هام نوصي بشدة بتطبيق هذا النهج على جميع الأجهزة التي تستضيف خدمة "مجموعة مباعد الطباعة".

متطلبات إعادة التشغيل: لا يتطلب تغيير النهج هذا إعادة تشغيل الجهاز أو خدمة مجموعة الطباعة بعد تطبيق هذه الإعدادات. 

3. استخدم مفاتيح التسجيل التالية لتأكيد تطبيق نهج المجموعة بشكل صحيح:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

تحذير إن تعيين هذه القيم إلى قيم غير صفرية يجعل الأجهزة التي قمت بتثبيت تحديث CVE-2021-34527 عليها عرضة للتأثر.

ملاحظة لا يعمل تكوين هذه الإعدادات على تعطيل الميزة "نقطة" و"طباعة".

4. [مستحسن] تجاوز قيود الطباعة ونقطة التجاوز بحيث يمكن للمسؤولين فقط تثبيت برامج تشغيل الطباعة على خوادم الطابعات. يتم ذلك باستخدام مفتاح التسجيل RestrictDriverInstallationToAdministrators. التحديثات التي تم إصدارها في 6 يوليو 2021 أو إصدار لاحق يكون افتراضيا 0 (معطل) حتى يتم إصدار التحديثات في 10 أغسطس 2021.  التحديثات التي تم إصدارها في 10 أغسطس 2021 أو إصدار أحدث لها القيمة الافتراضية 1 (تم التمكين).  لمزيد من المعلومات حول كيفية تعيين RestrictDriverInstallationToAdministrators والتوصيات الأخرى ذات الصلة بالطباعة، راجع KB5005652—إدارة سلوك تثبيت برنامج التشغيل الافتراضي للنقطة والطباعة الجديد (CVE-2021-34481)

مزيد من المعلومات

هل تؤثر تصحيحات CVE-2021-34527 على سيناريو تثبيت برنامج تشغيل النقطة والطباعة الافتراضي لجهاز عميل يتصل بتثبيت برنامج تشغيل طباعة لطابعة شبكة مشتركة وتثبيته؟

لا، لا تؤثر إصلاحات CVE-2021-34527 بشكل مباشر على سيناريو تثبيت برنامج تشغيل النقطة والطباعة الافتراضي لجهاز عميل يتصل ب طابعة شبكة مشتركة ويثبتها. في هذه الحالة، يتصل جهاز عميل بخادم طباعة ويزيل برامج التشغيل ويثبتها من ذلك الخادم الموثوق به. يختلف هذا السيناريو عن السيناريو المعرض للخطر حيث يحاول مهاجم تثبيت برنامج تشغيل ضار على خادم الطباعة نفسه، إما محليا أو عن بعد.

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.