Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Shrnutí

Ve způsobu, jakým vazba RPC (Printer Remote Procedure Call) zpracovává ověřování vzdáleného rozhraní Winspoolu, existuje chyba zabezpečení, která obchází. Aktualizace Windows tuto chybu zabezpečení řeší zvýšením úrovně ověřování RPC a zavedením nového klíče zásad a registru, který zákazníkům umožní zakázat nebo povolit režim vynucení na straně serveru a zvýšit tak úroveň ověřování.   

Další informace o chybě zabezpečení najdete v článku CHYBA-2021-1678 | Windows Chyba zabezpečení spoofingu služby Zařazování tisku

Akce

Abyste chránili prostředí a zabránili výpadkům, musíte udělat toto:

  1. Aktualizujte všechna klientská a serverová zařízení instalací aktualizace Windows 12. ledna 2021 nebo novější Windows aktualizace. Uvědomte si, že instalace aktualizace Windows plně nezmírní chybu zabezpečení a může mít vliv na aktuální nastavení tisku. Musíte provést krok 2.

  2. Povolte režim vynucení na tiskovém serveru. Režim vynucení bude povolený na všech Windows zařízeních k nějakému budoucímu datu.

Časování aktualizací

Tyto Windows se vydaná ve dvou fázích:

  • Fáze příprava nasazení aktualizace Windows vydané 12. ledna 2021 nebo po této fázi.

  • Fáze vynucení pro Windows vydané k nějakému budoucímu datu.

12. ledna 2021: Fáze počátečního nasazení

Fáze příprava nasazení začíná aktualizací Windows vydanou 12. ledna 2021 tím, že poskytuje zákazníkům serveru možnost povolit tuto vyšší úroveň zabezpečení samostatně na základě připravenosti svého prostředí.

Tato verze:

  • Adresy CVE-2021-1678 (v režimu nasazení je ve výchozím nastavení nastaveno vypnuto).

  • Přidá podporu pro hodnotu registru RpcAuthnLevelPrivacyEnabled, aby se zvýšila úroveň autorizace pro ochranu tiskárny IRemoteWinspool.

Zmírnění se skládá z instalace aktualizací Windows na všech klientských a serverových zařízeních.

14. září 2021: Fáze vynucení

Verze se 14. září 2021 přechází do fáze vynucení. Fáze vynucení vynucuje změny adresy CVE-2021-1678 zvýšením úrovně autorizace, aniž byste museli nastavit hodnotu registru.

Pokyny k instalaci

Před instalací této aktualizace

Před použitím této aktualizace musíte mít nainstalované následující požadované aktualizace. Pokud použijete Windows Update, budou tyto požadované aktualizace nabízeny automaticky podle potřeby.

  • Musíte mít nainstalovanou aktualizaci SHA-2(KB4474419)z 23. září 2019 nebo novější aktualizaci SHA-2 a pak před použitím této aktualizace restartujte zařízení. Další informace o aktualizacích SHA-2 najdete v článku Požadavek na podporu podepisování kódu sha-2 2019pro Windows a službu WSUS .

  • Pro Windows Server 2008 R2 SP1 musíte mít nainstalovanou servisní aktualizaci zásobníku (SSU)(KB4490628),která je datovaná 12. března 2019. Po instalaci aktualizace KB4490628 doporučujeme nainstalovat nejnovější aktualizaci SSU. Další informace o nejnovější aktualizaci SSU najdete v článku ADV990001 | Nejnovější aktualizace zásobníku údržby

  • Pro Windows Server 2008 SP2 musíte mít nainstalovanou servisní aktualizaci zásobníku (SSU)(KB4493730),která je vy datovaná 9. dubna 2019. Po instalaci aktualizace KB4493730 doporučujeme nainstalovat nejnovější aktualizaci SSU. Další informace o nejnovějších aktualizacích SSU najdete v článku ADV990001 | Nejnovější aktualizace zásobníku údržby

  • Zákazníci musí zakoupit rozšířenou aktualizaci zabezpečení (ESU) pro místní verze Windows Server 2008 SP2 nebo Windows Server 2008 R2 SP1 po ukončení rozšířené podpory 14. ledna 2020. Zákazníci, kteří si koupili ESU, musí dodržovat postupy uvedené v článku KB4522133, aby mohli dál dostávat aktualizace zabezpečení. Další informace o esu a podporovaných edicích najdete v článku KB4497181.

Důležité Po instalaci těchto požadovaných aktualizací musíte zařízení restartovat.

Instalace aktualizace

Pokud chcete chybu zabezpečení vyřešit, nainstalujte Windows aktualizace a povolte režim vynucení takto:

  1. Nasaďte aktualizaci 12. ledna 2021 na všechna klientská a serverová zařízení.

  2. Po aktualizaci všech klientských a serverových zařízení je možné úplnou ochranu povolit nastavením hodnoty registru na hodnotu 1.

Krok 1: Instalace Windows aktualizace

Nainstalujte aktualizaci 12. ledna 2021 Windows nebo novější aktualizaci Windows na všechna klientská a serverová zařízení.

Windows Serverový produkt

KB #

Typ aktualizace

Windows Server, verze 20H2 (instalace Server Core)

4598242

Aktualizace zabezpečení

Windows Server, verze 2004 (instalace Server Core)

4598242

Aktualizace zabezpečení

Windows Server, verze 1909 (instalace Server Core)

4598229

Aktualizace zabezpečení

Windows Server, verze 1903 (instalace Server Core)

4598229

Aktualizace zabezpečení

Windows Server 2019 (instalace Server Core)

4598230

Aktualizace zabezpečení

Windows Server 2019

4598230

Aktualizace zabezpečení

Windows Server 2016 (instalace Server Core)

4598243

Aktualizace zabezpečení

Windows Server 2016

4598243

Aktualizace zabezpečení

Windows Server 2012 R2 (instalace Server Core)

4598285

Měsíční kumulativní aktualizace

4598275

Pouze zabezpečení

Windows Server 2012 R2

4598285

Měsíční kumulativní aktualizace

4598275

Pouze zabezpečení

Windows Server 2012 (instalace Server Core)

4598278

Měsíční kumulativní aktualizace

4598297

Pouze zabezpečení

Windows Server 2012

4598278

Měsíční kumulativní aktualizace

4598297

Pouze zabezpečení

Windows Server 2008 R2 Service Pack 1

4598279

Měsíční kumulativní aktualizace

4598289

Pouze zabezpečení

Windows Server 2008 Service Pack 2

4598288

Měsíční kumulativní aktualizace

4598287

Pouze zabezpečení

Krok 2: Povolení režimu vynucení

Důležité Tato část, metoda nebo úkol obsahuje kroky, které vám poví, jak změnit registr. Pokud ale registr změníte nesprávně, může dojít k vážným problémům. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Pokud chcete přidat ochranu, zálohujte registr před jeho změnou. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru najdete v tématu Zálohování a obnovení registru v Windows.

Po aktualizaci všech klientských a serverových zařízení můžete povolit úplnou ochranu nasazením režimu vynucení. Postupujte takto:

  1. Klikněte pravým tlačítkem myši na Start,klikněte na Spustit,do pole Spustit zadejte cmd a stiskněte Ctrl+Shift+Enter.

  2. Na příkazovém řádku Správce zadejte regedit a stiskněte Enter.

  3. Vyhledejte následující podklíč registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Klikněte pravým tlačítkem myši na Tisk,zvolte Novýa potom klikněte na hodnota DWORD (32bitová) hodnota.

  2. Zadejte RpcAuthnLevelPrivacyEnabled a stiskněte Enter.

  3. Klikněte pravým tlačítkem na RpcAuthnLevelPrivacyEnabled a potom klikněte na Změnit.

  4. Do pole Údaj hodnoty zadejte 1 a potom klikněte na Ok.

Poznámka Tato aktualizace zavádí podporu pro hodnotu registru RpcAuthnLevelPrivacyEnabled, aby se zvýšila úroveň autorizace tiskárny IRemoteWinspool.

Podklíč registru

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Hodnota

RpcAuthnLevelPrivacyEnabled

Datový typ

REG_DWORD

Data

1:Povolí režim vynucení. Než povolíte režim vynucení na straně serveru, ujistěte se, že všechna klientská zařízení nainstalovala aktualizaci Windows vydanou 12. ledna 2021 nebo novější Windows aktualizaci. Tato oprava zvyšuje úroveň autorizace pro rozhraní RPC tiskárny IRemoteWinspool a přidá novou hodnotu zásad a registru na straně serveru, aby klient při použití režimu vynucení vynucuje použití nové úrovně autorizace. Pokud klientské zařízení nemá použitou aktualizaci zabezpečení z 12. ledna 2021 nebo novější aktualizaci Windows, dojde při připojení klienta k serveru přes rozhraní IRemoteWinspool k nefunkční možnosti tisku.

0:Nedoporučuje se. Zakáže zvýšení úrovně ověřování tiskárny IRemoteWinspool avaše zařízení nejsou chráněná.

Výchozí hodnota

Výchozí chování po instalaci aktualizací v případě, že klíč registru není nastavený:

  • 12. ledna 2021 nebo novější aktualizace mají výchozí chování 0 (nula), pokud nejsou nastavené.

  • 14. září 2021 nebo novější aktualizace mají výchozí chování 1 (jedna), pokud nejsou nastavené.

Je potřeba restartovat počítač?

Ano, vyžaduje se restartování zařízení nebo restartování služby zařazování.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.