Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Zusammenfassung

Eine Sicherheitsanfälligkeit bezüglich der Sicherheitsumgehung liegt in der Art und Weise vor, wie die Drucker-RPC-Bindung (Remote Procedure Call) die Authentifizierung für die Remote-Winspool-Schnittstelle verarbeitet. Das Windows-Update behebt diese Sicherheitsanfälligkeit, indem die RPC-Authentifizierungsebene erhöht wird und eine neue Richtlinie und ein neuer Registrierungsschlüssel eingeführt werden, damit Kunden den Erzwingungsmodus auf serverseitig deaktivieren oder aktivieren können, um die Authentifizierungsebene zu erhöhen.   

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2021-1678| Sicherheitsanfälligkeit im Windows-Druckerspooler bezüglich Spoofing.

Handeln Sie

Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, müssen Sie folgende Schritte ausführen:

  1. Aktualisieren Sie alle Client- und Servergeräte, indem Sie das Windows-Update vom 12. Januar 2021 oder ein späteres Windows-Update installieren. Beachten Sie, dass durch die Installation des Windows-Updates das Risiko aufgrund der Sicherheitsanfälligkeit nicht vollständig beseitigt wird und Ihre aktuelle Druckeinrichtung möglicherweise beeinträchtigt wird. Sie müssen Schritt 2 ausführen.

  2.                 Aktivieren Sie den Erzwingungsmodus auf dem Druckserver.  Der Erzwingungsmodus wird auf allen Windows-Geräten zu einem zukünftigen Zeitpunkt aktiviert.

Zeitplan für die Updates

Diese Windows-Updates werden in zwei Phasen veröffentlicht:

  • Die Phase der Erstbereitstellung umfasst Windows-Updates, die am oder nach dem 12. Januar 2021 veröffentlicht werden.

  • Die Erzwingungsphase für Windows-Aktualisierungen wurde zu einem späteren Datum veröffentlicht.

12. Januar 2021: Phase der Erstbereitstellung

Die erste Bereitstellungsphase beginnt mit dem Windows-Update, das am 12. Januar 2021 veröffentlicht wurde, indem Serverkunden die Möglichkeit gegeben wird, diese erhöhte Sicherheitsstufe auf der Grundlage der Bereitschaft ihrer Umgebung eigenständig zu aktivieren.

Diese Version:

  • Behebt CVE-2021-1678 (im Bereitstellungsmodus, der standardmäßig auf Aus gesetzt ist).

  • Fügt Unterstützung für den Registrierungswert RpcAuthnLevelPrivacyEnabled hinzu, um die Erhöhung der Autorisierungsstufe für den IRemoteWinspool-Schutz des Druckers zu ermöglichen.

Die Risikominderung besteht in der Installation der Windows-Updates auf allen Geräten auf Client- und Serverebene.

14. September 2021: Erzwingungsphase

Die Veröffentlichung geht am 14. September 2021 in die Erzwingungsphase über.                  Mit der Erzwingungsphase werden die Änderungen gemäß CVE-2021-1678 erzwungen, indem die Autorisierungstufe erhöht wird, ohne den Registrierungswert festlegen zu müssen.

Installationsanleitung

Vor der Installation dieses Updates

Sie müssen die folgenden erforderlichen Updates installiert haben, bevor Sie dieses Update anwenden. Wenn Sie Windows Update verwenden, werden diese erforderlichen Updates bei Bedarf automatisch vorgeschlagen.

Wichtig Sie müssen Ihr Gerät neu starten, nachdem Sie diese erforderlichen Updates installiert haben.

Installieren der Anwendung

Um die Sicherheitsanfälligkeit zu beheben, müssen Sie die Windows Updates installieren und den Erzwingungsmodus aktivieren. Führen Sie dazu die folgenden Schritte aus:

  1. Stellen Sie das Update vom 12. Januar 2021 auf allen Client- und Servergeräten bereit.

  2. Nachdem alle Client- und Servergeräte aktualisiert wurden, kann der vollständige Schutz aktiviert werden, indem der Registrierungswert auf 1 gesetzt wird.

Schritt 1: Installieren des Windows-Updates

Installieren Sie das Windows-Update vom 12. Januar 2021 oder ein späteres Windows-Update auf allen Client- und Servergeräten.

Windows Serverprodukt

KB-Nr.

Updatetyp

Windows Server, Version 20H2 (Server-Core-Installation)

4598242

Sicherheitsupdate

Windows Server, Version 2004 (Server-Core-Installation)

4598242

Sicherheitsupdate

Windows Server, Version 1909 (Server Core-Installation)

4598229

Sicherheitsupdate

Windows Server, Version 1903 (Server-Core-Installation)

4598229

Sicherheitsupdate

Windows Server 2019 (Server Core-Installation)

4598230

Sicherheitsupdate

Windows Server 2019

4598230

Sicherheitsupdate

Windows Server 2016 (Server-Core-Installation)

4598243

Sicherheitsupdate

Windows Server 2016

4598243

Sicherheitsupdate

Windows Server 2012 R2 (Server-Core-Installation)

4598285

Monatlicher Rollup

4598275

Nur Sicherheit

Windows Server 2012 R2

4598285

Monatlicher Rollup

4598275

Nur Sicherheit

Windows Server 2012 (Server-Core-Installation)

4598278

Monatlicher Rollup

4598297

Nur Sicherheit

Windows Server 2012

4598278

Monatlicher Rollup

4598297

Nur Sicherheit

Windows Server 2008 R2 Service Pack 1

4598279

Monatlicher Rollup

4598289

Nur Sicherheit

Windows Server 2008 Service Pack 2

4598288

Monatlicher Rollup

4598287

Nur Sicherheit

Schritt 2: Aktivieren des Erzwingungsmodus

Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält Schritte zum Ändern der Registrierung. Durch Fehler beim Ändern der Registrierung können jedoch schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie daher vor dem Ändern der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Nachdem alle Client- und Servergeräte aktualisiert wurden, können Sie den vollständigen Schutz aktivieren, indem Sie den Erzwingungsmodus bereitstellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie mit der rechten Maustaste auf Start und dann auf Ausführen, geben Sie cmd in das Feld Ausführen ein, und drücken Sie anschließend gleichzeitig auf Strg+Umschalt+Eingabe.

  2. Geben Sie an der Administratoreingabeaufforderung regedit ein, und drücken Sie dann die Eingabetaste.

  3. Suchen Sie den folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Klicken Sie mit der rechten Maustaste auf Print, wählen Sie Neu aus, und klicken Sie dann auf DWORD-Wert (32-Bit).

  2. Geben Sie RpcAuthnLevelPrivacyEnabled ein, und drücken Sie anschließend die Eingabetaste.

  3. Klicken Sie mit der rechten Maustaste auf RpcAuthnLevelPrivacyEnabled, und klicken Sie dann auf Ändern.

  4. Geben Sie im Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.

Hinweis Dieses Update führt Unterstützung für den Registrierungswert RpcAuthnLevelPrivacyEnabled ein, um die Autorisierungsstufe für den Drucker IRemoteWinspool zu erhöhen.

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Wert

RpcAuthnLevelPrivacyEnabled

Datentyp

REG_DWORD

Daten

1: Aktiviert den Erzwingungsmodus. Bevor Sie den Erzwingungsmodus serverseitig aktivieren, stellen Sie sicher, dass alle Clientgeräte das am 12. Januar 2021 veröffentlichte Windows-Update oder ein späteres Windows-Update installiert haben. Dieser Fix erhöht die Autorisierungsstufe für die RPC-Schnittstelle IRemoteWinspool des Druckers und fügt serverseitig einen neuen Richtlinien- und Registrierungswert hinzu, um für den Client die Verwendung der neuen Autorisierungsstufe zu erzwingen, wenn der Erzwingungsmodus angewendet wird. Wenn auf dem Clientgerät nicht das Sicherheitsupdate vom 12. Januar 2021 oder ein späteres Windows-Update angewendet wurde, wird der Druckvorgang unterbrochen, sobald der Client über die IRemoteWinspool-Schnittstelle eine Verbindung mit dem Server herstellt.

0: Nicht empfohlen. Deaktiviert die Erhöhung der Authentifizierungsebene für den Drucker IRemoteWinspool, und Ihre Geräte sind nicht geschützt.

Standard

Standardverhalten nach der Installation von Updates, wenn der Registrierungsschlüssel nicht festgelegt ist:

  • Updates vom 12. Januar 2021 oder später haben das Standardverhalten von 0 (Null), wenn sie nicht festgelegt sind.

  • Updates vom 14. September 2021 oder höher haben das Standardverhalten von 1 (eins), wenn sie nicht festgelegt werden.

Ist ein Neustart erforderlich?

Ja, ein Geräteneustart oder ein Neustart des Spoolerdiensts ist erforderlich.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.