Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Обобщена информация

Уязвимостта при заобикаляне на защитата съществува по начина, по който обвързването на разговора с отдалечена процедура на принтера (RPC) обработва удостоверяването за отдалечения интерфейс на Winspool. Актуализацията Windows отстранява тази уязвимост, като увеличава нивото на RPC удостоверяване и въвежда нови правила и ключ от системния регистър, за да позволи на клиентите да забраняват или разрешават режима на изпълнение от страна на сървъра, за да се увеличи нивото на удостоверяване.   

За да научите повече за уязвимостта, вижте CVE-2021-1678 | Windows Уязвимост при изливане на спулера за печат.

Предприемане на действия

За да защитите вашата среда и да предотвратите изтощаване, трябва да направите следното:

  1. Актуализирайте всички клиентски и сървърни устройства, като инсталирате актуализацията от 12 януари 2021 Windows или по-нова Windows актуализация. Имайте предвид, че инсталирането на Windows не намалява напълно уязвимостта на защитата и може да повлияе на текущата настройка за печат. Трябва да изпълните стъпка 2.

  2. Разрешаване на режима на изпълнение на сървъра за печат. Режимът на прилагане ще бъде разрешен на всички Windows устройства в някоя бъдеща дата.

Време на актуализациите

Тези Windows актуализации ще бъдат издадени на две фази:

  • Фазата на първоначално разполагане за Windows актуализации, издадени на или след 12 януари 2021 г.

  • Фазата на прилагане за Windows актуализации, издадени на някаква бъдеща дата.

12 януари 2021 г.: първоначална фаза на разполагане

Първоначалната фаза на разполагане започва с актуализацията на Windows, издадена на 12 януари 2021 г., като предоставя възможност на клиентите на сървъра да позволяват това по-високо ниво на защита сами въз основа на готовността на тяхната среда.

Това издание:

  • Адресира CVE-2021-1678 (в режим на разполагане е зададено на Изкл. по подразбиране).

  • Добавя поддръжка за стойността в системния регистър RpcAuthnLevelPrivacyEnabled, за да позволи увеличаването на нивото на удостоверяване за принтер iRemoteWinspool защита.

Смекчаването се състои от инсталирането на Windows актуализации на всички устройства на ниво клиент и сървър.

14 септември 2021 г.: Етап на изпълнение

Изданието преминава във фазата на прилагане на 14 септември 2021 г. Фазата на изпълнение налага промените в адрес CVE-2021-1678, като увеличава нивото на удостоверяване, без да се налага да задава стойността в системния регистър.

Указания за инсталиране

Преди да инсталирате тази актуализация

Трябва да имате инсталирани следните задължителни актуализации, преди да приложите тази актуализация. Ако използвате актуализацията Windows, тези задължителни актуализации ще се предлагат автоматично, ако е необходимо.

  • Трябва да имате инсталирана актуализация SHA-2 (KB4474419), която е от 23 септември 2019 г. или по-нова sha-2 актуализация и след това рестартирайте устройството, преди да приложите тази актуализация. За повече информация относно sha-2 актуализациите вижте 2019 SHA-2 Code Signing Support requirement for Windows и WSUS.

  • За Windows Server 2008 R2 SP1 трябва да сте инсталирали актуализацията на стека за обслужване (SSU) (KB4490628),която е от 12 март 2019 г. След инсталирането на актуализацията KB4490628 ви препоръчваме да инсталирате най-новата актуализация на SSU. За повече информация относно най-новата актуализация на SSU вижте ADV990001 | Най-новите актуализации на стека на обслужването.

  • За Windows Server 2008 SP2 трябва да сте инсталирали актуализацията на стека за обслужване (SSU) (KB4493730),която е от 9 април 2019 г. След инсталирането на актуализацията KB4493730 ви препоръчваме да инсталирате най-новата актуализация на SSU. За повече информация относно най-новите актуализации на SSU вж. ADV990001 | Най-новите актуализации на стека на обслужването.

  • Клиентите са задължени да закупят разширена актуализация на защитата (ESU) за локални версии на Windows Server 2008 SP2 или Windows Server 2008 R2 SP1, след като разширената поддръжка приключи на 14 януари 2020 г. Клиентите, които са закупили ESU, трябва да следват процедурите в KB4522133, за да продължат да получават актуализации на защитата. За повече информация относно ESU и кои издания се поддържат, вж. KB4497181.

Важно Трябва да рестартирате устройството си, след като инсталирате тези задължителни актуализации.

Инсталиране на актуализацията

За да отстраните уязвимостта на защитата, инсталирайте Windows и разрешете режима на изпълнение, като изпълните следните стъпки:

  1. Разполагане на актуализацията от 12 януари 2021 г. на всички клиентски и сървърни устройства.

  2. След като всички клиентски и сървърни устройства са актуализирани, пълната защита може да бъде разрешена чрез задаване на стойността в системния регистър на 1.

Стъпка 1: Инсталиране на Windows актуализация

Инсталирайте актуализацията от 12 януари 2021 Windows или по-нова Windows актуализация на всички клиентски и сървърни устройства.

Windows Сървърен продукт

КБ #

Тип актуализация

Windows Сървър, версия 20H2 (инсталация на ядрото на сървъра)

4598242

Актуализация на защитата

Windows Сървър, версия 2004 (инсталация на ядрото на сървъра)

4598242

Актуализация на защитата

Windows Сървър, версия 1909 (инсталация на ядрото на сървъра)

4598229

Актуализация на защитата

Windows Сървър, версия 1903 (инсталация на ядрото на сървъра)

4598229

Актуализация на защитата

Windows Сървър 2019 (инсталация на ядрото на сървъра)

4598230

Актуализация на защитата

Windows Сървър 2019

4598230

Актуализация на защитата

Windows Сървър 2016 (инсталация на ядрото на сървъра)

4598243

Актуализация на защитата

Windows Server 2016

4598243

Актуализация на защитата

Windows Server 2012 R2 (инсталация на ядрото на сървъра)

4598285

Месечен сборен пакет за актуализация

4598275

Само защита

Windows Server 2012 R2

4598285

Месечен сборен пакет за актуализация

4598275

Само защита

Windows Сървър 2012 (инсталация на ядрото на сървъра)

4598278

Месечен сборен пакет за актуализация

4598297

Само защита

Windows Server 2012

4598278

Месечен сборен пакет за актуализация

4598297

Само защита

Windows Server 2008 R2 Service Pack 1

4598279

Месечен сборен пакет за актуализация

4598289

Само защита

Windows Server 2008 Service Pack 2

4598288

Месечен сборен пакет за актуализация

4598287

Само защита

Стъпка 2: Разрешаване на режима на изпълнение

                Важно Този раздел, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Може обаче да възникнат сериозни проблеми, ако промените системния регистър неправилно. Затова се уверете, че следвате тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това, ако възникне проблем, можете да възстановите регистъра. За повече информация как да архивирате и възстановявате системния регистър, вижте Как да архивирате и възстановявате системния регистър в Windows.

След като всички клиентски и сървърни устройства са актуализирани, можете да разрешите пълната защита, като разположите режима на изпълнение. За да направите това, изпълнете следните стъпки:

  1. Щракнете с десния бутон върхуСтарт , щракнете върхуИзпълнение , въведете cmd в полето Изпълнение и след това натиснете Ctrl+Shift+Enter.

  2. В командния прозорец администратор въведете regedit и след това натиснете Enter.

  3. Намерете следния подключ на системния регистър:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Щракнете с десния бутон върхуПечат , изберете Нови след това щракнете върху DWORD VALUE (32-битова) стойност.

  2. Въведете RpcAuthnLevelPrivacyEnabled и след това натиснете Enter.

  3. Щракнете с десния бутон върху RpcAuthnLevelPrivacyEnabled и след това щракнете върху Промяна.

  4. В полето Данни за стойност въведете 1 и след това щракнете върху Ok.

Забележка Тази актуализация въвежда поддръжка за стойността в системния регистър RpcAuthnLevelPrivacyEnabled, за да се увеличи нивото на удостоверяване за принтер iRemoteWinspool.

Подключ на системния регистър

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Стойност

RpcAuthnLevelPrivacyEnabled

Тип данни

REG_DWORD

Данни

1: Разрешава режима на изпълнение. Преди да разрешите режима на изпълнение за сървъра, уверете се, че всички клиентски устройства са инсталирали актуализацията на Windows, издадена на 12 януари 2021 г. или по-нова Windows актуализация. Тази корекция увеличава нивото на удостоверяване за RPC интерфейса на принтера IRemoteWinspool и добавя нова стойност на правилата и системния регистър в сървъра, за да наложи на клиента да използва новото ниво на удостоверяване, ако се прилага режим на изпълнение. Ако на клиентското устройство няма приложена актуализация на защитата от 12 януари 2021 г. или по-нова актуализация на Windows, работата при печат ще бъде прекъсната, когато клиентът се свърже със сървъра чрез интерфейса на IRemoteWinspool.

0: Не се препоръчва. Забранява нивото на удостоверяване за принтер iRemoteWinspoolи устройствата ви не са защитени.

По подразбиране

Поведение по подразбиране след инсталиране на актуализации, когато не е зададен ключ от системния регистър:

  • 12 януари 2021 г. или по-нови актуализации имат поведението по подразбиране 0 (нула), когато не е зададено.

  • 14 септември 2021 г. или по-нови актуализации имат поведението по подразбиране на 1 (едно), когато не е зададено.

Изисква ли се рестартиране?

Да, изисква се рестартиране на устройство или рестартиране на услугата спулер.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.