Σύνοψη
Υπάρχει μια ευαισθησία στην παράκαμψη ασφαλείας στον τρόπο με τον οποίο η σύνδεση κλήσης απομακρυσμένης διαδικασίας εκτυπωτή (RPC) χειρίζεται τον έλεγχο ταυτότητας για το απομακρυσμένο περιβάλλον εργασίας Ενημερώσεων. Η Windows ενημέρωση αντιμετωπίζει αυτή την ευαισθησία αυξάνοντας το επίπεδο ελέγχου ταυτότητας RPC και εισάγοντας μια νέα πολιτική και κλειδί μητρώου για να επιτρέψετε στους πελάτες να απενεργοποιήσουν ή να ενεργοποιήσουν τη λειτουργία επιβολής ελέγχου από την πλευρά του διακομιστή για να αυξήσουν το επίπεδο ελέγχου ταυτότητας.
Για να μάθετε περισσότερα σχετικά με την ευαισθησία, ανατρέξτε στο θέμα CVE-2021-1678 | Windows Ζητήματα ευπάθειας πλαστογράφησης ουράς εκτύπωσης.
|
Ανάληψη δράσης Για να προστατεύσετε το περιβάλλον σας και να αποτρέψετε τυχόν διακοπές λειτουργίας, πρέπει να κάνετε τα εξής:
|
Χρονισμός ενημερώσεων
Αυτές οι Windows ενημερώσεις θα κυκλοφορήσουν σε δύο φάσεις:
-
Η φάση αρχικής ανάπτυξης για Windows ενημερώσεις που κυκλοφόρησαν στις ή μετά τις 12 Ιανουαρίου 2021.
-
Η φάση ενεργοποίησης για Windows ενημερώσεις που κυκλοφόρησαν κάποια στιγμή στο μέλλον.
12 Ιανουαρίου 2021: Φάση αρχικής ανάπτυξης
Η φάση αρχικής ανάπτυξης ξεκινά με την ενημέρωση Windows που κυκλοφόρησε στις 12 Ιανουαρίου 2021, παρέχοντας τη δυνατότητα στους πελάτες διακομιστή να ενεργοποιήσουν αυτό το αυξημένο επίπεδο ασφάλειας μόνοι τους, με βάση την ετοιμότητα του περιβάλλοντός τους.
Αυτή η έκδοση:
-
Διευθύνσεις CVE-2021-1678 (στη λειτουργία ανάπτυξης έχει οριστεί σε Ανενεργό από προεπιλογή).
-
Προσθέτει υποστήριξη για την τιμή μητρώου RpcAutwinLevelPrivacyEnabled για να ενεργοποιήσει την αύξηση του επιπέδου εξουσιοδότησης για την προστασία IRemoteWinspool του εκτυπωτή.
Ο μετριασμός αποτελείται από την εγκατάσταση των Windows ενημερώσεων σε όλες τις συσκευές προγράμματος-πελάτη και διακομιστή.
14 Σεπτεμβρίου 2021: Φάση ενεργοποίησης
Η κυκλοφορία θα μεταβεί στη φάση επιβολής μέτρων στις 14 Σεπτεμβρίου 2021. Η φάση επιβολής επιβολής επιβάλλει τις αλλαγές για την αντιμετώπιση του CVE-2021-1678 αυξάνοντας το επίπεδο εξουσιοδότησης χωρίς να χρειάζεται να ορίσετε την τιμή μητρώου.
Οδηγίες εγκατάστασης
Πριν από την εγκατάσταση αυτής της ενημέρωσης
Για να εφαρμόσετε αυτή την ενημέρωση, πρέπει να έχετε εγκατεστημένες τις ακόλουθες απαιτούμενες ενημερώσεις. Εάν χρησιμοποιείτε το Windows Update, αυτές οι απαιτούμενες ενημερώσεις θα προσφέρονται αυτόματα, ανάλογα με τις ανάγκες.
-
Πρέπει να έχετε εγκαταστήσει την ενημέρωση SHA-2 (KB4474419) με ημερομηνία 23 Σεπτεμβρίου 2019 ή νεότερη ενημέρωση SHA-2 και, στη συνέχεια, να επανεκκινήσετε τη συσκευή σας προτού εφαρμόσετε αυτή την ενημέρωση. Για περισσότερες πληροφορίες σχετικά με τις ενημερώσεις του SHA-2, ανατρέξτε στο θέμα Απαίτηση υποστήριξης υπογραφής κώδικα SHA-2 για το 2019 για το Windows και το WSUS.
-
Για Windows Server 2008 R2 SP1, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4490628) που έχει με ημερομηνία 12 Μαρτίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4490628, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με την πιο πρόσφατη ενημέρωση της SSU, ανατρέξτε στο θέμα ADV990001 | Πιο πρόσφατες ενημερώσεις στοίβας συντήρησης.
-
Για Windows Server 2008 SP2, πρέπει να έχετε εγκαταστήσει την ενημέρωση στοίβας συντήρησης (SSU) (KB4493730) που έχει ημερομηνία 9 Απριλίου 2019. Μετά την εγκατάσταση της ενημέρωσης KB4493730, συνιστάται να εγκαταστήσετε την πιο πρόσφατη ενημέρωση SSU. Για περισσότερες πληροφορίες σχετικά με τις πιο πρόσφατες ενημερώσεις SSU, ανατρέξτε στο θέμα ADV990001 | Πιο πρόσφατες ενημερώσεις στοίβας συντήρησης.
-
Οι πελάτες πρέπει να αγοράσουν την Εκτεταμένη ενημέρωση ασφαλείας (ESU) για εκδόσεις εσωτερικής εγκατάστασης του Windows Server 2008 SP2 ή του Windows Server 2008 R2 SP1 μετά τη λήξη της εκτεταμένης υποστήριξης στις 14 Ιανουαρίου 2020. Οι πελάτες που έχουν αγοράσει την ESU πρέπει να ακολουθήσουν τις διαδικασίες στην KB4522133 για να συνεχίσουν να λαμβάνουν ενημερώσεις ασφαλείας. Για περισσότερες πληροφορίες σχετικά με την ESU και ποιες εκδόσεις υποστηρίζονται, ανατρέξτε στο άρθρο KB4497181.
Σημαντικό Πρέπει να επανεκκινήσετε τη συσκευή σας μετά την εγκατάσταση αυτών των απαιτούμενων ενημερώσεων.
Εγκατάσταση της ενημέρωσης
Για να επιλύσετε την ευαισθησία στην ασφάλεια, εγκαταστήστε τις ενημερώσεις Windows και ενεργοποιήστε τη λειτουργία ενεργοποίησης, ακολουθώντας τα παρακάτω βήματα:
-
Αναπτύξτε την ενημέρωση της 12ης Ιανουαρίου 2021 σε όλες τις συσκευές-πελάτες και διακομιστές.
-
Μετά την ενημέρωση όλων των συσκευών-πελατών και διακομιστών, η πλήρης προστασία μπορεί να ενεργοποιηθεί ορίζοντας την τιμή μητρώου σε 1.
Βήμα 1: Εγκατάσταση της ενημέρωσης Windows
Εγκαταστήστε την ενημέρωση Windows 12 Ιανουαρίου 2021 ή μια νεότερη Windows ενημερώσετε σε όλες τις συσκευές-πελάτες και διακομιστές.
|
Windows Προϊόν διακομιστή |
KB # |
Τύπος ενημέρωσης |
|
Windows Διακομιστής, έκδοση 20H2 (Εγκατάσταση server Core) |
Ενημέρωση ασφαλείας |
|
|
Windows Διακομιστής, έκδοση 2004 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
|
Windows Διακομιστής, έκδοση 1909 (εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
|
Windows Διακομιστής, έκδοση 1903 (Εγκατάσταση Server Core) |
Ενημέρωση ασφαλείας |
|
|
Windows Server 2019 (Εγκατάσταση του Server Core) |
Ενημέρωση ασφαλείας |
|
|
Windows Server 2019 |
Ενημέρωση ασφαλείας |
|
|
Windows Server 2016 (Εγκατάσταση του Server Core) |
Ενημέρωση ασφαλείας |
|
|
Windows Server 2016 |
Ενημέρωση ασφαλείας |
|
|
Windows Server 2012 R2 (Εγκατάσταση του Server Core) |
Μηνιαία συνάθροιση |
|
|
Μόνο για την ασφάλεια |
||
|
Windows Server 2012 R2 |
Μηνιαία συνάθροιση |
|
|
Μόνο για την ασφάλεια |
||
|
Windows Server 2012 (Εγκατάσταση του Server Core) |
Μηνιαία συνάθροιση |
|
|
Μόνο για την ασφάλεια |
||
|
Windows Server 2012 |
Μηνιαία συνάθροιση |
|
|
Μόνο για την ασφάλεια |
||
|
Windows Server 2008 R2 Service Pack 1 |
Μηνιαία συνάθροιση |
|
|
Μόνο για την ασφάλεια |
||
|
Windows Server 2008 Service Pack 2 |
Μηνιαία συνάθροιση |
|
|
Μόνο για την ασφάλεια |
Βήμα 2: Ενεργοποίηση λειτουργίας ενεργοποίησης
Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας ενημερώνουν για τον τρόπο αλλαγής του μητρώου. Ωστόσο, εάν αλλάξετε εσφαλμένα το μητρώο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Γι' αυτό, βεβαιωθείτε ότι ακολουθείτε με προσοχή τα σχετικά βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το αλλάξετε. Στη συνέχεια, εάν παρουσιαστεί πρόβλημα, μπορείτε να επαναφέρετε το μητρώο. Για περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο μπορείτε να δημιουργήσετε αντίγραφα ασφαλείας και να επαναφέρετε το μητρώο, ανατρέξτε στο θέμα Τρόπος δημιουργία αντιγράφων ασφαλείας και επαναφοράς του μητρώου στο Windows.
Μετά την ενημέρωση όλων των συσκευών-πελατών και διακομιστών, μπορείτε να ενεργοποιήσετε την πλήρη προστασία, αναπτύσσοντας τη λειτουργία επιβολής μέτρων. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
-
Κάντε δεξί κλικ στην Έναρξη, κάντε κλικ στην εντολή Εκτέλεση, πληκτρολογήστε cmd στο πλαίσιο Εκτέλεση και, στη συνέχεια, πατήστε το συνδυασμό πλήκτρων Ctrl+Shift+Enter.
-
Στη γραμμή εντολών Διαχειριστής, πληκτρολογήστε regedit και, στη συνέχεια, πατήστε Enter.
-
Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Κάντε δεξί κλικ στην επιλογή Εκτύπωση, επιλέξτε Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD VALUE (32 bit).
-
Πληκτρολογήστε RpcAutpcLevelPrivacyEnabled και, στη συνέχεια, πατήστετο πλήκτρο Enter.
-
Κάντε δεξί κλικ στην επιλογή RpcAutprivelPrivacyEnabled και, στη συνέχεια, κάντε κλικ στην επιλογή Τροποποίηση.
-
Στο πλαίσιο Δεδομένα τιμής, πληκτρολογήστε 1 και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
Σημείωση Αυτή η ενημέρωση παρουσιάζει την υποστήριξη για την τιμή μητρώου RpcAutwinLevelPrivacyEnabled για να αυξήσει το επίπεδο εξουσιοδότησης για τον εκτυπωτή IRemoteWinspool.
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Τιμή |
RpcAutpcLevelPrivacyEnabled |
|
Τύπος δεδομένων |
REG_DWORD |
|
Δεδομένα |
1:Ενεργοποιεί τη λειτουργία επιβολής μέτρων. Προτού ενεργοποιήσετε τη λειτουργία ενεργοποίησης από την πλευρά του διακομιστή, βεβαιωθείτε ότι όλες οι συσκευές-πελάτες έχουν εγκαταστήσει την ενημέρωση Windows που κυκλοφόρησε στις 12 Ιανουαρίου 2021 ή σε νεότερη Windows ενημέρωση. Αυτή η επιδιόρθωση αυξάνει το επίπεδο εξουσιοδότησης για το περιβάλλον εργασίας RPC IRemoteWinspool του εκτυπωτή και προσθέτει μια νέα τιμή πολιτικής και μητρώου στην πλευρά του διακομιστή για να επιβάλει στον υπολογιστή-πελάτη να χρησιμοποιήσει το νέο επίπεδο εξουσιοδότησης, εάν εφαρμοστεί η λειτουργία επιβολής ελέγχου. Εάν η συσκευή-πελάτης δεν διαθέτει ενημέρωση ασφαλείας της 12ης Ιανουαρίου 2021 ή νεότερη Windows ενημερωμένη έκδοση, η εμπειρία εκτύπωσης θα διακοπεί όταν το πρόγραμμα-πελάτης συνδεθεί με το διακομιστή μέσω του περιβάλλοντος εργασίας IRemoteWinspool. 0:Δεν συνιστάται. Απενεργοποιεί το επίπεδο αύξησης ελέγχου ταυτότητας για τον εκτυπωτή IRemoteWinspoolκαι οι συσκευές σας δεν είναι προστατευμένες. |
|
Προεπιλογή |
Προεπιλεγμένη συμπεριφορά μετά την εγκατάσταση ενημερώσεων όταν δεν έχει οριστεί κλειδί μητρώου:
|
|
Απαιτείται Επανεκκίνηση; |
Ναι, απαιτείται επανεκκίνηση της συσκευής ή επανεκκίνηση της υπηρεσίας ουράς εκτύπωσης. |
