Резюме
Актуализациите на защитата, издадени на и след 6 юли 2021 г., съдържат защити за уязвимост при отдалечено изпълнение на код в услугата Windows спулер за печат (spoolsv.exe), известна като "PrintNightmare", документирана в CVE-2021-34527. След инсталирането на актуализациите от юли 2021 г. и по-нови версии не администраторите, включително групите на делегираните администратори, като например операторите на принтери, не могат да инсталират подписани и неподписани драйвери за принтери на сървър за печат. По подразбиране само администраторите могат да инсталират както подписани, така и неподписани драйвери за принтери на сървър за печат.
Забележка Преди да инсталирате "Извън обхват" за юли 2021 г. и по-нови актуализации на Windows, съдържащи защити за CVE-2021-34527, групата за защита на операторите на принтера може да инсталира както подписани, така и неподписани драйвери за принтер на принтерен сървър. Започвайки от актуализацията "Извън обхват" от юли 2021 г., ще са необходими идентификационни данни на администратор, за да инсталирате подписани и неподписани драйвери за принтер на принтерен сървър. По желание, за да заместите всички настройки на груповите правила за ограничения на пункта и печат и да се уверите, че само администраторите могат да инсталират драйвери за принтер на сървър за печат, конфигурирайте стойността в системния регистър RestrictDriverInstallationToAdministrators на 1.
Препоръчваме ви незабавно да инсталирате най-новите актуализации на Windows, издадени на или след 6 юли 2021 г. на всички поддържани операционни системи Windows клиент и сървър, започвайки от устройства, които в момента хостват услугата спулер за печат. След това задайте "При инсталиране на драйвери за нова връзка" и "При актуализиране на драйвери за съществуваща връзка" в настройката Ограничения за точка и печат групови правила на "Показване на подкана за предупреждение и повишаване".
„Разделителна способност”
-
Инсталирайте актуализациите "Извън обхват" за юли 2021 г. или по-нови версии.
-
Проверете дали са изпълнени следните условия:
-
Регистър Настройки: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) или не е дефинирано (настройка по подразбиране)
-
UpdatePromptSettings = 0 (DWORD) или не е дефинирано (настройка по подразбиране)
-
-
Групови правила: Не сте конфигурирали груповите правила за ограничения за пункт и печат.
Ако и двете условия са изпълнени, значи не сте уязвими към CVE-2021-34527 и не са необходими допълнителни действия. Ако едно от двете условия не е вярно, вие сте уязвими. Следвайте стъпките по-долу, за да промените груповите правила за ограничения за пункт и печат на защитена конфигурация.
-
Отворете инструмента за редактор на групови правила и отидете на Компютърна конфигурация > Административни шаблони >Принтери.
-
Конфигуриране на настройката на груповите правила за ограничения за пункт и печат, както следва:
-
Задайте настройката на груповите правила за ограничения за пункт и печат на "Разрешено".
-
"При инсталиране на драйвери за нова връзка": "Показване на подкана за предупреждение и повишаване".
-
"При актуализиране на драйвери за съществуваща връзка": "Показване на подкана за предупреждение и повишаване".
-
Важно Настоятелно ви препоръчваме да приложите тези правила към всички машини, които хостват услугата спулер за печат.
Изисквания за рестартиране: Тази промяна на правилата не изисква рестартиране на устройството или услугата за спулер за печат след прилагането на тези настройки.
3. Използвайте следните ключове от системния регистър, за да потвърдите, че груповите правила са приложени правилно:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Предупреждение Задаването им на стойности, които не са нулеви, прави устройствата, на които сте инсталирали актуализацията CVE-2021-34527, уязвими.
Забележка Конфигурирането на тези настройки не забранява функцията "Точка и печат".
4. [Препоръчва се] Заместващи точки и ограничения за печат, така че само администраторите да могат да инсталират драйвери за печат на сървърите за принтери. Това се прави с помощта на ключа от системния регистър RestrictDriverInstallationToAdministrators. Актуализациите, издадени на 6 юли 2021 г. или по-нова версия, имат по подразбиране 0 (забранено) до актуализациите, издадени на 10 август 2021 г. Актуализациите, издадени на 10 август 2021 г. или по-нова версия, имат стойност по подразбиране 1 (разрешена). За повече информация как да зададете RestrictDriverInstallationToAdministrators и други препоръки, свързани с печат, вижте KB5005652 – Управление на поведението на инсталиране на нов драйвер point and Print (CVE-2021-34481)
Още информация
Корекциите за CVE-2021-34527 оказват ли влияние върху сценария за инсталиране на драйвера point и Print по подразбиране за клиентско устройство, което се свързва към и инсталира драйвер за печат за споделен мрежов принтер?
Не, корекциите за CVE-2021-34527 не засягат директно сценария за инсталиране на драйвера point и Print по подразбиране за клиентско устройство, което се свързва към и инсталира драйвер за печат за споделен мрежов принтер. В този случай клиентско устройство се свързва със сървър за печат и изтегля и инсталира драйверите от този надежден сървър. Този сценарий е различен от уязвим сценарий, при който хакер се опитва да инсталира злонамерен драйвер на самия сървър за печат – локално или отдалечено.