Oversigt
Der er en sikkerhedsrisiko på samme måde, som RPC-bindingen (Printer Remote Procedure Call) håndterer godkendelse for remote Winspool-grænsefladen. Opdateringen Windows sikkerhedsrisikoen ved at øge RPC-godkendelsesniveauet og introducere en ny politik og registreringsdatabasenøgle for at give kunderne mulighed for at deaktivere eller aktivere aktiveringstilstand på serversiden for at øge godkendelsesniveauet.
Du kan få mere at vide om sikkerhedsrisikoen under CVE-2021-1678 | Windows Print Spooler Spoofing Vulnerability.
|
Gør noget For at beskytte dit miljø og forhindre strømsvigt skal du gøre følgende:
|
Tidsindstilling for opdateringer
Disse Windows opdateringer frigives i to faser:
-
Fasen installationsstart for de Windows der blev udgivet den 12. januar 2021 eller senere.
-
Håndhævelsesfasen for de Windows udgivet på et senere tidspunkt.
12. januar 2021: Indledende installationsfase
Fasen installationsstart starter med Windows-opdateringen, der blev udgivet den 12. januar 2021, ved at give serverkunder mulighed for at aktivere dette øgede sikkerhedsniveau selv baseret på deres miljøs parathed.
Denne version:
-
Adresser CVE-2021-1678 (i installationstilstand indstillet til Fra som standard).
-
Tilføjer understøttelse af RpcAuthnLevelPrivacyEnabled-registreringsdatabaseværdien for at aktivere et større godkendelsesniveau for printer IRemoteWinspool-beskyttelse.
Afhjælpning består af installation af opdateringer til Windows på alle enheder på klient- og serverniveau.
14. september 2021: Håndhævelsesfase
Udgivelsen overgange til håndhævelsesfasen d. 14. september 2021. Håndhævelsesfasen gennemtvinger ændringerne i adresse-CVE-2021-1678 ved at øge godkendelsesniveauet uden at skulle angive registreringsdatabaseværdien.
Installationsvejledning
Før du installerer denne opdatering
Du skal have følgende nødvendige opdateringer installeret, før du anvender denne opdatering. Hvis du bruger Windows opdatering, tilbydes disse nødvendige opdateringer automatisk efter behov.
-
Du skal have SHA-2-opdateringen(KB4474419),der er dateret d. 23. september 2019 eller en nyere SHA-2-opdatering, installeret, og derefter genstarte enheden, før du anvender denne opdatering. Du kan finde flere oplysninger om SHA-2-opdateringer i 2019 SHA-2 kravtil understøttelse af signering af kode for Windows og WSUS.
-
For Windows Server 2008 R2 SP1 skal du have installeret SSU (Servicing Stack Update) (KB4490628),der er dateret d. 12. marts 2019. Når opdateringen KB4490628 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om den seneste SSU-opdatering under ADV990001 | Seneste opdateringer til servicing-stakken.
-
Til Windows Server 2008 SP2 skal du have installeret SSU (Servicing Stack Update) (KB4493730),der er dateret d. 9. april 2019. Når opdateringen KB4493730 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om de seneste SSU-opdateringer under ADV990001 | Seneste opdateringer til servicing-stakken.
-
Kunder skal købe den udvidede sikkerhedsopdatering (ESU) til lokale versioner af Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1, efter udvidet support ophørte d. 14. januar 2020. Kunder, der har købt ESU, skal følge procedurerne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer. Du kan finde flere oplysninger om ESU, og hvilke versioner der understøttes, under KB4497181.
Vigtigt! Du skal genstarte enheden, når du har installeret disse nødvendige opdateringer.
Installér opdateringen
For at løse sikkerhedsrisikoen skal du installere opdateringerne Windows aktivere aktiveringstilstand ved at følge disse trin:
-
Installér opdateringen for 12. januar 2021 på alle klient- og serverenheder.
-
Når alle klient- og serverenheder er blevet opdateret, kan fuld beskyttelse aktiveres ved at indstille registreringsdatabaseværdien til 1.
Trin 1: Installer Windows opdatering
Installér opdateringen fra den 12. januar 2021 Windows eller en nyere Windows på alle klient- og serverenheder.
|
Windows Serverprodukt |
KB # |
Opdateringstype |
|
Windows Server, version 20H2 (Server Core Installation) |
Sikkerhedsopdatering |
|
|
Windows Server, version 2004 (Server Core-installation) |
Sikkerhedsopdatering |
|
|
Windows Server, version 1909 (Server Core-installation) |
Sikkerhedsopdatering |
|
|
Windows Server, version 1903 (Server Core-installation) |
Sikkerhedsopdatering |
|
|
Windows Server 2019 (Server Core-installation) |
Sikkerhedsopdatering |
|
|
Windows Server 2019 |
Sikkerhedsopdatering |
|
|
Windows Server 2016 (Server Core-installation) |
Sikkerhedsopdatering |
|
|
Windows Server 2016 |
Sikkerhedsopdatering |
|
|
Windows Server 2012 R2 (Server Core-installation) |
Månedlig opsnulning |
|
|
Kun sikkerhed |
||
|
Windows Server 2012 R2 |
Månedlig opsnulning |
|
|
Kun sikkerhed |
||
|
Windows Server 2012 (Server Core-installation) |
Månedlig opsnulning |
|
|
Kun sikkerhed |
||
|
Windows Server 2012 |
Månedlig opsnulning |
|
|
Kun sikkerhed |
||
|
Windows Server 2008 R2 Service Pack 1 |
Månedlig opsnulning |
|
|
Kun sikkerhed |
||
|
Windows Server 2008 Service Pack 2 |
Månedlig opsnulning |
|
|
Kun sikkerhed |
Trin 2: Aktivér aktiveringstilstand
Vigtigt Denne sektion, metode eller opgave indeholder trin, der fortæller dig, hvordan du ændrer registreringsdatabasen. Der kan opstå alvorlige problemer, hvis du ændrer registreringsdatabasen forkert. Derfor skal du kontrollere, at du følger disse trin nøje. For yderligere beskyttelse skal du sikkerhedskopie registreringsdatabasen, før du ændrer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, under Sådan sikkerhedskopiering og gendannelse af registreringsdatabasen Windows.
Når alle klient- og serverenheder er blevet opdateret, kan du aktivere fuld beskyttelse ved at implementere aktiveringstilstand. Det kan du gøre ved at følge disse trin:
-
Højreklik på Start,klik på Kør,skriv cmd i feltet Kør, og tryk derefter på Ctrl+Skift+Enter.
-
Skriv regedit i kommandoprompten administrator, og tryk derefter på Enter.
-
Find følgende undernøgler i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Højreklik på Udskriv, vælg Ny, og klik derefter på DWORD VALUE (32-bit) Værdi.
-
Skriv RpcAuthnLevelPrivacyEnabled, og tryk derefter på Enter.
-
Højreklik på RpcAuthnLevelPrivacyEnabled, og klik derefter på Rediger.
-
Skriv 1i feltet Værdidata, og klik derefter på OK.
Bemærk Denne opdatering introducerer understøttelse af RpcAuthnLevelPrivacyEnabled-registreringsdatabaseværdien for at øge godkendelsesniveauet for printeren IRemoteWinspool.
|
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Værdi |
RpcAuthnLevelPrivacyEnabled |
|
Datatype |
REG_DWORD |
|
Data |
1:Aktiverer håndhævelsestilstand. Før du aktiverer aktiveringstilstand for serverside, skal du kontrollere, at alle klientenheder har installeret den Windows-opdatering, der blev udgivet den 12. januar 2021 eller en Windows opdatering. Denne programrettelse øger godkendelsesniveauet for printeren IRemoteWinspool RPC-grænsefladen og tilføjer en ny politik og registreringsdatabaseværdi på serversiden for at gennemtvinge klientens brug af det nye godkendelsesniveau, hvis gennemtvingelsestilstand anvendes. Hvis klientenheden ikke har sikkerhedsopdateringen fra den 12. januar 2021 eller en nyere Windows-opdatering anvendt, vil udskrivningsoplevelsen blive ødelagt, når klienten opretter forbindelse til serveren via IRemoteWinspool-grænsefladen. 0:Anbefales ikke. Deaktiverer niveauet for øget godkendelse for printeren IRemoteWinspool, og dine enheder er ikke beskyttet. |
|
Standard |
Standardfunktionsmåden efter installation af opdateringer, når registreringsdatabasenøgle ikke er angivet:
|
|
Er en genstart påkrævet? |
Ja, en enhed genstartes, eller en genstart af spoolertjenesten er påkrævet. |
