Обобщена информация
Уязвимостта при заобикаляне на защитата съществува по начина, по който обвързването на разговора с отдалечена процедура на принтера (RPC) обработва удостоверяването за отдалечения интерфейс на Winspool. Актуализацията Windows отстранява тази уязвимост, като увеличава нивото на RPC удостоверяване и въвежда нови правила и ключ от системния регистър, за да позволи на клиентите да забраняват или разрешават режима на изпълнение от страна на сървъра, за да се увеличи нивото на удостоверяване.
За да научите повече за уязвимостта, вижте CVE-2021-1678 | Windows Уязвимост при изливане на спулера за печат.
Предприемане на действия За да защитите вашата среда и да предотвратите изтощаване, трябва да направите следното:
|
Време на актуализациите
Тези Windows актуализации ще бъдат издадени на две фази:
-
Фазата на първоначално разполагане за Windows актуализации, издадени на или след 12 януари 2021 г.
-
Фазата на прилагане за Windows актуализации, издадени на някаква бъдеща дата.
12 януари 2021 г.: първоначална фаза на разполагане
Първоначалната фаза на разполагане започва с актуализацията на Windows, издадена на 12 януари 2021 г., като предоставя възможност на клиентите на сървъра да позволяват това по-високо ниво на защита сами въз основа на готовността на тяхната среда.
Това издание:
-
Адресира CVE-2021-1678 (в режим на разполагане е зададено на Изкл. по подразбиране).
-
Добавя поддръжка за стойността в системния регистър RpcAuthnLevelPrivacyEnabled, за да позволи увеличаването на нивото на удостоверяване за принтер iRemoteWinspool защита.
Смекчаването се състои от инсталирането на Windows актуализации на всички устройства на ниво клиент и сървър.
14 септември 2021 г.: Етап на изпълнение
Изданието преминава във фазата на прилагане на 14 септември 2021 г. Фазата на изпълнение налага промените в адрес CVE-2021-1678, като увеличава нивото на удостоверяване, без да се налага да задава стойността в системния регистър.
Указания за инсталиране
Преди да инсталирате тази актуализация
Трябва да имате инсталирани следните задължителни актуализации, преди да приложите тази актуализация. Ако използвате актуализацията Windows, тези задължителни актуализации ще се предлагат автоматично, ако е необходимо.
-
Трябва да имате инсталирана актуализация SHA-2 (KB4474419), която е от 23 септември 2019 г. или по-нова sha-2 актуализация и след това рестартирайте устройството, преди да приложите тази актуализация. За повече информация относно sha-2 актуализациите вижте 2019 SHA-2 Code Signing Support requirement for Windows и WSUS.
-
За Windows Server 2008 R2 SP1 трябва да сте инсталирали актуализацията на стека за обслужване (SSU) (KB4490628),която е от 12 март 2019 г. След инсталирането на актуализацията KB4490628 ви препоръчваме да инсталирате най-новата актуализация на SSU. За повече информация относно най-новата актуализация на SSU вижте ADV990001 | Най-новите актуализации на стека на обслужването.
-
За Windows Server 2008 SP2 трябва да сте инсталирали актуализацията на стека за обслужване (SSU) (KB4493730),която е от 9 април 2019 г. След инсталирането на актуализацията KB4493730 ви препоръчваме да инсталирате най-новата актуализация на SSU. За повече информация относно най-новите актуализации на SSU вж. ADV990001 | Най-новите актуализации на стека на обслужването.
-
Клиентите са задължени да закупят разширена актуализация на защитата (ESU) за локални версии на Windows Server 2008 SP2 или Windows Server 2008 R2 SP1, след като разширената поддръжка приключи на 14 януари 2020 г. Клиентите, които са закупили ESU, трябва да следват процедурите в KB4522133, за да продължат да получават актуализации на защитата. За повече информация относно ESU и кои издания се поддържат, вж. KB4497181.
Важно Трябва да рестартирате устройството си, след като инсталирате тези задължителни актуализации.
Инсталиране на актуализацията
За да отстраните уязвимостта на защитата, инсталирайте Windows и разрешете режима на изпълнение, като изпълните следните стъпки:
-
Разполагане на актуализацията от 12 януари 2021 г. на всички клиентски и сървърни устройства.
-
След като всички клиентски и сървърни устройства са актуализирани, пълната защита може да бъде разрешена чрез задаване на стойността в системния регистър на 1.
Стъпка 1: Инсталиране на Windows актуализация
Инсталирайте актуализацията от 12 януари 2021 Windows или по-нова Windows актуализация на всички клиентски и сървърни устройства.
Windows Сървърен продукт |
КБ # |
Тип актуализация |
Windows Сървър, версия 20H2 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
Windows Сървър, версия 2004 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
Windows Сървър, версия 1909 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
Windows Сървър, версия 1903 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
Windows Сървър 2019 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
Windows Сървър 2019 |
Актуализация на защитата |
|
Windows Сървър 2016 (инсталация на ядрото на сървъра) |
Актуализация на защитата |
|
Windows Server 2016 |
Актуализация на защитата |
|
Windows Server 2012 R2 (инсталация на ядрото на сървъра) |
Месечен сборен пакет за актуализация |
|
Само защита |
||
Windows Server 2012 R2 |
Месечен сборен пакет за актуализация |
|
Само защита |
||
Windows Сървър 2012 (инсталация на ядрото на сървъра) |
Месечен сборен пакет за актуализация |
|
Само защита |
||
Windows Server 2012 |
Месечен сборен пакет за актуализация |
|
Само защита |
||
Windows Server 2008 R2 Service Pack 1 |
Месечен сборен пакет за актуализация |
|
Само защита |
||
Windows Server 2008 Service Pack 2 |
Месечен сборен пакет за актуализация |
|
Само защита |
Стъпка 2: Разрешаване на режима на изпълнение
Важно Този раздел, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Може обаче да възникнат сериозни проблеми, ако промените системния регистър неправилно. Затова се уверете, че следвате тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това, ако възникне проблем, можете да възстановите регистъра. За повече информация как да архивирате и възстановявате системния регистър, вижте Как да архивирате и възстановявате системния регистър в Windows.
След като всички клиентски и сървърни устройства са актуализирани, можете да разрешите пълната защита, като разположите режима на изпълнение. За да направите това, изпълнете следните стъпки:
-
Щракнете с десния бутон върхуСтарт , щракнете върхуИзпълнение , въведете cmd в полето Изпълнение и след това натиснете Ctrl+Shift+Enter.
-
В командния прозорец администратор въведете regedit и след това натиснете Enter.
-
Намерете следния подключ на системния регистър:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Щракнете с десния бутон върхуПечат , изберете Нови след това щракнете върху DWORD VALUE (32-битова) стойност.
-
Въведете RpcAuthnLevelPrivacyEnabled и след това натиснете Enter.
-
Щракнете с десния бутон върху RpcAuthnLevelPrivacyEnabled и след това щракнете върху Промяна.
-
В полето Данни за стойност въведете 1 и след това щракнете върху Ok.
Забележка Тази актуализация въвежда поддръжка за стойността в системния регистър RpcAuthnLevelPrivacyEnabled, за да се увеличи нивото на удостоверяване за принтер iRemoteWinspool.
Подключ на системния регистър |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Стойност |
RpcAuthnLevelPrivacyEnabled |
Тип данни |
REG_DWORD |
Данни |
1: Разрешава режима на изпълнение. Преди да разрешите режима на изпълнение за сървъра, уверете се, че всички клиентски устройства са инсталирали актуализацията на Windows, издадена на 12 януари 2021 г. или по-нова Windows актуализация. Тази корекция увеличава нивото на удостоверяване за RPC интерфейса на принтера IRemoteWinspool и добавя нова стойност на правилата и системния регистър в сървъра, за да наложи на клиента да използва новото ниво на удостоверяване, ако се прилага режим на изпълнение. Ако на клиентското устройство няма приложена актуализация на защитата от 12 януари 2021 г. или по-нова актуализация на Windows, работата при печат ще бъде прекъсната, когато клиентът се свърже със сървъра чрез интерфейса на IRemoteWinspool. 0: Не се препоръчва. Забранява нивото на удостоверяване за принтер iRemoteWinspoolи устройствата ви не са защитени. |
По подразбиране |
Поведение по подразбиране след инсталиране на актуализации, когато не е зададен ключ от системния регистър:
|
Изисква ли се рестартиране? |
Да, изисква се рестартиране на устройство или рестартиране на услугата спулер. |