Zusammenfassung
Eine Sicherheitsanfälligkeit bezüglich der Sicherheitsumgehung liegt in der Art und Weise vor, wie die Drucker-RPC-Bindung (Remote Procedure Call) die Authentifizierung für die Remote-Winspool-Schnittstelle verarbeitet. Das Windows-Update behebt diese Sicherheitsanfälligkeit, indem die RPC-Authentifizierungsebene erhöht wird und eine neue Richtlinie und ein neuer Registrierungsschlüssel eingeführt werden, damit Kunden den Erzwingungsmodus auf serverseitig deaktivieren oder aktivieren können, um die Authentifizierungsebene zu erhöhen.
Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2021-1678| Sicherheitsanfälligkeit im Windows-Druckerspooler bezüglich Spoofing.
Handeln Sie Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, müssen Sie folgende Schritte ausführen:
|
Zeitplan für die Updates
Diese Windows-Updates werden in zwei Phasen veröffentlicht:
-
Die Phase der Erstbereitstellung umfasst Windows-Updates, die am oder nach dem 12. Januar 2021 veröffentlicht werden.
-
Die Erzwingungsphase für Windows-Aktualisierungen wurde zu einem späteren Datum veröffentlicht.
12. Januar 2021: Phase der Erstbereitstellung
Die erste Bereitstellungsphase beginnt mit dem Windows-Update, das am 12. Januar 2021 veröffentlicht wurde, indem Serverkunden die Möglichkeit gegeben wird, diese erhöhte Sicherheitsstufe auf der Grundlage der Bereitschaft ihrer Umgebung eigenständig zu aktivieren.
Diese Version:
-
Behebt CVE-2021-1678 (im Bereitstellungsmodus, der standardmäßig auf Aus gesetzt ist).
-
Fügt Unterstützung für den Registrierungswert RpcAuthnLevelPrivacyEnabled hinzu, um die Erhöhung der Autorisierungsstufe für den IRemoteWinspool-Schutz des Druckers zu ermöglichen.
Die Risikominderung besteht in der Installation der Windows-Updates auf allen Geräten auf Client- und Serverebene.
14. September 2021: Erzwingungsphase
Die Veröffentlichung geht am 14. September 2021 in die Erzwingungsphase über. Mit der Erzwingungsphase werden die Änderungen gemäß CVE-2021-1678 erzwungen, indem die Autorisierungstufe erhöht wird, ohne den Registrierungswert festlegen zu müssen.
Installationsanleitung
Vor der Installation dieses Updates
Sie müssen die folgenden erforderlichen Updates installiert haben, bevor Sie dieses Update anwenden. Wenn Sie Windows Update verwenden, werden diese erforderlichen Updates bei Bedarf automatisch vorgeschlagen.
-
Sie müssen das SHA-2-Update (KB4474419) vom 23. September 2019 oder ein späteres SHA-2-Update installiert haben und dann Ihr Gerät neu starten, bevor Sie dieses Update anwenden. Weitere Informationen zu SHA-2-Updates finden Sie unter Unterstützung der SHA-2-Codesignierung für Windows und WSUS (2019).
-
Für Windows Server 2008 R2 SP1 müssen Sie das SSU (Servicing Stack Update) KB4490628 vom 12. März 2019 installiert haben. Nachdem das Update KB4490628 installiert wurde, empfehlen wir, das neueste SSU zu installieren. Weitere Informationen zum neuesten SSU finden Sie unter ADV990001 | Neueste SSU (Servicing Stack Updates).
-
Für Windows Server 2008 SP2 müssen Sie das SSU (Servicing Stack Update) KB4493730vom 9. April 2019 installiert haben. Nachdem das Update KB4493730 installiert wurde, empfehlen wir, das neueste SSU zu installieren. Weitere Informationen zu den neuesten SSUs finden Sie unter ADV990001 | Neueste SSU (Servicing Stack Updates).
-
Kunden müssen nach Ablauf des erweiterten Supports am 14. Januar 2020 für lokale Versionen von Windows Server 2008 SP2 oder Windows Server 2008 R2 SP1 das Erweiterte Sicherheitsupdate (Extended Security Update, ESU) erwerben. Kunden, die das ESU erworben haben, müssen die Schritte in KB4522133 befolgen, um weiterhin Sicherheitsupdates zu erhalten. Weitere Informationen zu ESU und zu den unterstützten Versionen finden Sie in KB4497181.
Wichtig Sie müssen Ihr Gerät neu starten, nachdem Sie diese erforderlichen Updates installiert haben.
Installieren der Anwendung
Um die Sicherheitsanfälligkeit zu beheben, müssen Sie die Windows Updates installieren und den Erzwingungsmodus aktivieren. Führen Sie dazu die folgenden Schritte aus:
-
Stellen Sie das Update vom 12. Januar 2021 auf allen Client- und Servergeräten bereit.
-
Nachdem alle Client- und Servergeräte aktualisiert wurden, kann der vollständige Schutz aktiviert werden, indem der Registrierungswert auf 1 gesetzt wird.
Schritt 1: Installieren des Windows-Updates
Installieren Sie das Windows-Update vom 12. Januar 2021 oder ein späteres Windows-Update auf allen Client- und Servergeräten.
Windows Serverprodukt |
KB-Nr. |
Updatetyp |
Windows Server, Version 20H2 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server, Version 2004 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server, Version 1909 (Server Core-Installation) |
Sicherheitsupdate |
|
Windows Server, Version 1903 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server 2019 (Server Core-Installation) |
Sicherheitsupdate |
|
Windows Server 2019 |
Sicherheitsupdate |
|
Windows Server 2016 (Server-Core-Installation) |
Sicherheitsupdate |
|
Windows Server 2016 |
Sicherheitsupdate |
|
Windows Server 2012 R2 (Server-Core-Installation) |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2012 R2 |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2012 (Server-Core-Installation) |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2012 |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2008 R2 Service Pack 1 |
Monatlicher Rollup |
|
Nur Sicherheit |
||
Windows Server 2008 Service Pack 2 |
Monatlicher Rollup |
|
Nur Sicherheit |
Schritt 2: Aktivieren des Erzwingungsmodus
Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält Schritte zum Ändern der Registrierung. Durch Fehler beim Ändern der Registrierung können jedoch schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie daher vor dem Ändern der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Nachdem alle Client- und Servergeräte aktualisiert wurden, können Sie den vollständigen Schutz aktivieren, indem Sie den Erzwingungsmodus bereitstellen. Gehen Sie dazu wie folgt vor:
-
Klicken Sie mit der rechten Maustaste auf Start und dann auf Ausführen, geben Sie cmd in das Feld Ausführen ein, und drücken Sie anschließend gleichzeitig auf Strg+Umschalt+Eingabe.
-
Geben Sie an der Administratoreingabeaufforderung regedit ein, und drücken Sie dann die Eingabetaste.
-
Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Klicken Sie mit der rechten Maustaste auf Print, wählen Sie Neu aus, und klicken Sie dann auf DWORD-Wert (32-Bit).
-
Geben Sie RpcAuthnLevelPrivacyEnabled ein, und drücken Sie anschließend die Eingabetaste.
-
Klicken Sie mit der rechten Maustaste auf RpcAuthnLevelPrivacyEnabled, und klicken Sie dann auf Ändern.
-
Geben Sie im Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.
Hinweis Dieses Update führt Unterstützung für den Registrierungswert RpcAuthnLevelPrivacyEnabled ein, um die Autorisierungsstufe für den Drucker IRemoteWinspool zu erhöhen.
Registrierungsunterschlüssel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Wert |
RpcAuthnLevelPrivacyEnabled |
Datentyp |
REG_DWORD |
Daten |
1: Aktiviert den Erzwingungsmodus. Bevor Sie den Erzwingungsmodus serverseitig aktivieren, stellen Sie sicher, dass alle Clientgeräte das am 12. Januar 2021 veröffentlichte Windows-Update oder ein späteres Windows-Update installiert haben. Dieser Fix erhöht die Autorisierungsstufe für die RPC-Schnittstelle IRemoteWinspool des Druckers und fügt serverseitig einen neuen Richtlinien- und Registrierungswert hinzu, um für den Client die Verwendung der neuen Autorisierungsstufe zu erzwingen, wenn der Erzwingungsmodus angewendet wird. Wenn auf dem Clientgerät nicht das Sicherheitsupdate vom 12. Januar 2021 oder ein späteres Windows-Update angewendet wurde, wird der Druckvorgang unterbrochen, sobald der Client über die IRemoteWinspool-Schnittstelle eine Verbindung mit dem Server herstellt. 0: Nicht empfohlen. Deaktiviert die Erhöhung der Authentifizierungsebene für den Drucker IRemoteWinspool, und Ihre Geräte sind nicht geschützt. |
Standard |
Standardverhalten nach der Installation von Updates, wenn der Registrierungsschlüssel nicht festgelegt ist:
|
Ist ein Neustart erforderlich? |
Ja, ein Geräteneustart oder ein Neustart des Spoolerdiensts ist erforderlich. |