Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Oversigt

Der er en sikkerhedsrisiko på samme måde, som RPC-bindingen (Printer Remote Procedure Call) håndterer godkendelse for remote Winspool-grænsefladen. Opdateringen Windows sikkerhedsrisikoen ved at øge RPC-godkendelsesniveauet og introducere en ny politik og registreringsdatabasenøgle for at give kunderne mulighed for at deaktivere eller aktivere aktiveringstilstand på serversiden for at øge godkendelsesniveauet.   

Du kan få mere at vide om sikkerhedsrisikoen under CVE-2021-1678 | Windows Print Spooler Spoofing Vulnerability.

Gør noget

For at beskytte dit miljø og forhindre strømsvigt skal du gøre følgende:

  1. Opdater alle klient- og serverenheder ved at installere opdateringen for 12. januar 2021 Windows en nyere Windows opdatering. Vær opmærksom på, at installation af Windows ikke fuldt ud afhjælper sikkerhedssikkerhedsrisikoen og kan påvirke din aktuelle udskrivningskonfiguration. Du skal udføre trin 2.

  2. Aktivér aktiveringstilstand på udskriftsserveren. Håndhævelsestilstand aktiveres på alle Windows enheder på et senere tidspunkt.

Tidsindstilling for opdateringer

Disse Windows opdateringer frigives i to faser:

  • Fasen installationsstart for de Windows der blev udgivet den 12. januar 2021 eller senere.

  • Håndhævelsesfasen for de Windows udgivet på et senere tidspunkt.

12. januar 2021: Indledende installationsfase

Fasen installationsstart starter med Windows-opdateringen, der blev udgivet den 12. januar 2021, ved at give serverkunder mulighed for at aktivere dette øgede sikkerhedsniveau selv baseret på deres miljøs parathed.

Denne version:

  • Adresser CVE-2021-1678 (i installationstilstand indstillet til Fra som standard).

  • Tilføjer understøttelse af RpcAuthnLevelPrivacyEnabled-registreringsdatabaseværdien for at aktivere et større godkendelsesniveau for printer IRemoteWinspool-beskyttelse.

Afhjælpning består af installation af opdateringer til Windows på alle enheder på klient- og serverniveau.

14. september 2021: Håndhævelsesfase

Udgivelsen overgange til håndhævelsesfasen d. 14. september 2021. Håndhævelsesfasen gennemtvinger ændringerne i adresse-CVE-2021-1678 ved at øge godkendelsesniveauet uden at skulle angive registreringsdatabaseværdien.

Installationsvejledning

Før du installerer denne opdatering

Du skal have følgende nødvendige opdateringer installeret, før du anvender denne opdatering. Hvis du bruger Windows opdatering, tilbydes disse nødvendige opdateringer automatisk efter behov.

  • Du skal have SHA-2-opdateringen(KB4474419),der er dateret d. 23. september 2019 eller en nyere SHA-2-opdatering, installeret, og derefter genstarte enheden, før du anvender denne opdatering. Du kan finde flere oplysninger om SHA-2-opdateringer i 2019 SHA-2 kravtil understøttelse af signering af kode for Windows og WSUS.

  • For Windows Server 2008 R2 SP1 skal du have installeret SSU (Servicing Stack Update) (KB4490628),der er dateret d. 12. marts 2019. Når opdateringen KB4490628 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om den seneste SSU-opdatering under ADV990001 | Seneste opdateringer til servicing-stakken.

  • Til Windows Server 2008 SP2 skal du have installeret SSU (Servicing Stack Update) (KB4493730),der er dateret d. 9. april 2019. Når opdateringen KB4493730 er installeret, anbefaler vi, at du installerer den seneste SSU-opdatering. Du kan finde flere oplysninger om de seneste SSU-opdateringer under ADV990001 | Seneste opdateringer til servicing-stakken.

  • Kunder skal købe den udvidede sikkerhedsopdatering (ESU) til lokale versioner af Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1, efter udvidet support ophørte d. 14. januar 2020. Kunder, der har købt ESU, skal følge procedurerne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer. Du kan finde flere oplysninger om ESU, og hvilke versioner der understøttes, under KB4497181.

Vigtigt! Du skal genstarte enheden, når du har installeret disse nødvendige opdateringer.

Installér opdateringen

For at løse sikkerhedsrisikoen skal du installere opdateringerne Windows aktivere aktiveringstilstand ved at følge disse trin:

  1. Installér opdateringen for 12. januar 2021 på alle klient- og serverenheder.

  2. Når alle klient- og serverenheder er blevet opdateret, kan fuld beskyttelse aktiveres ved at indstille registreringsdatabaseværdien til 1.

Trin 1: Installer Windows opdatering

Installér opdateringen fra den 12. januar 2021 Windows eller en nyere Windows på alle klient- og serverenheder.

Windows Serverprodukt

KB #

Opdateringstype

Windows Server, version 20H2 (Server Core Installation)

4598242

Sikkerhedsopdatering

Windows Server, version 2004 (Server Core-installation)

4598242

Sikkerhedsopdatering

Windows Server, version 1909 (Server Core-installation)

4598229

Sikkerhedsopdatering

Windows Server, version 1903 (Server Core-installation)

4598229

Sikkerhedsopdatering

Windows Server 2019 (Server Core-installation)

4598230

Sikkerhedsopdatering

Windows Server 2019

4598230

Sikkerhedsopdatering

Windows Server 2016 (Server Core-installation)

4598243

Sikkerhedsopdatering

Windows Server 2016

4598243

Sikkerhedsopdatering

Windows Server 2012 R2 (Server Core-installation)

4598285

Månedlig opsnulning

4598275

Kun sikkerhed

Windows Server 2012 R2

4598285

Månedlig opsnulning

4598275

Kun sikkerhed

Windows Server 2012 (Server Core-installation)

4598278

Månedlig opsnulning

4598297

Kun sikkerhed

Windows Server 2012

4598278

Månedlig opsnulning

4598297

Kun sikkerhed

Windows Server 2008 R2 Service Pack 1

4598279

Månedlig opsnulning

4598289

Kun sikkerhed

Windows Server 2008 Service Pack 2

4598288

Månedlig opsnulning

4598287

Kun sikkerhed

Trin 2: Aktivér aktiveringstilstand

Vigtigt Denne sektion, metode eller opgave indeholder trin, der fortæller dig, hvordan du ændrer registreringsdatabasen. Der kan opstå alvorlige problemer, hvis du ændrer registreringsdatabasen forkert. Derfor skal du kontrollere, at du følger disse trin nøje. For yderligere beskyttelse skal du sikkerhedskopie registreringsdatabasen, før du ændrer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, under Sådan sikkerhedskopiering og gendannelse af registreringsdatabasen Windows.

Når alle klient- og serverenheder er blevet opdateret, kan du aktivere fuld beskyttelse ved at implementere aktiveringstilstand. Det kan du gøre ved at følge disse trin:

  1. Højreklik på Start,klik på Kør,skriv cmd i feltet Kør, og tryk derefter på Ctrl+Skift+Enter.

  2. Skriv regedit i kommandoprompten administrator, og tryk derefter på Enter.

  3. Find følgende undernøgler i registreringsdatabasen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Højreklik på Udskriv, vælg Ny, og klik derefter på DWORD VALUE (32-bit) Værdi.

  2. Skriv RpcAuthnLevelPrivacyEnabled, og tryk derefter på Enter.

  3. Højreklik på RpcAuthnLevelPrivacyEnabled, og klik derefter på Rediger.

  4. Skriv 1i feltet Værdidata, og klik derefter på OK.

Bemærk Denne opdatering introducerer understøttelse af RpcAuthnLevelPrivacyEnabled-registreringsdatabaseværdien for at øge godkendelsesniveauet for printeren IRemoteWinspool.

Undernøgle i registreringsdatabasen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Værdi

RpcAuthnLevelPrivacyEnabled

Datatype

REG_DWORD

Data

1:Aktiverer håndhævelsestilstand. Før du aktiverer aktiveringstilstand for serverside, skal du kontrollere, at alle klientenheder har installeret den Windows-opdatering, der blev udgivet den 12. januar 2021 eller en Windows opdatering. Denne programrettelse øger godkendelsesniveauet for printeren IRemoteWinspool RPC-grænsefladen og tilføjer en ny politik og registreringsdatabaseværdi på serversiden for at gennemtvinge klientens brug af det nye godkendelsesniveau, hvis gennemtvingelsestilstand anvendes. Hvis klientenheden ikke har sikkerhedsopdateringen fra den 12. januar 2021 eller en nyere Windows-opdatering anvendt, vil udskrivningsoplevelsen blive ødelagt, når klienten opretter forbindelse til serveren via IRemoteWinspool-grænsefladen.

0:Anbefales ikke. Deaktiverer niveauet for øget godkendelse for printeren IRemoteWinspool, og dine enheder er ikke beskyttet.

Standard

Standardfunktionsmåden efter installation af opdateringer, når registreringsdatabasenøgle ikke er angivet:

  • Opdateringer for 12. januar 2021 eller nyere har standardfunktionsmåden 0 (nul), når den ikke er angivet.

  • Opdateringer for 14. september 2021 eller nyere har standardfunktionsmåden 1 (én), når den ikke er angivet.

Er en genstart påkrævet?

Ja, en enhed genstartes, eller en genstart af spoolertjenesten er påkrævet.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.