Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Resumen

Existe una vulnerabilidad de omisión de seguridad en la forma en que el enlace de llamada a procedimiento remoto (RPC) de la impresora controla la autenticación para la interfaz remota de Winspool. La actualización de Windows soluciona esta vulnerabilidad aumentando el nivel de autenticación de RPC e introduciendo una nueva directiva y clave del registro para permitir a los clientes deshabilitar o habilitar el modo de Cumplimiento del lado del servidor para aumentar el nivel de autenticación.   

Para obtener más información sobre la vulnerabilidad, consulte CVE-2021-1678 | Vulnerabilidad de suplantación del administrador de trabajos en cola.

Tomar medidas

Para proteger el entorno y evitar interrupciones, debe hacer lo siguiente:

  1. Actualice todos los dispositivos cliente y dispositivos del servidor instalando la actualización de Windows del 12 de enero de 2021 o una actualización de Windows posterior. Tenga en cuenta que instalar la actualización de Windows no mitigará por completo la vulnerabilidad de seguridad y podría afectar a la configuración actual de su impresora. Debe realizar el paso 2.

  2.                 Habilite el modo Cumplimiento en el servidor de la impresora.  El modo de cumplimiento se habilitará en todos los dispositivos Windows en fechas futuras.

Cronograma de las actualizaciones

Estas actualizaciones de Windows se publicarán en dos fases:

  • La fase de implementación inicial para las actualizaciones de Windows publicadas el 12 de enero de 2021 o después.

  • La fase de cumplimiento de las actualizaciones de Windows publicadas en una fecha futura.

12 de enero de 2021: Fase de implementación inicial

La fase de implementación inicial comienza con la actualización de Windows publicada el 12 de enero de 2021, que da a los clientes del servidor la opción de habilitar por sí mismos este nivel de seguridad aumentado en función de la preparación de su entorno.

Esta publicación:

  • Soluciona la vulnerabilidad CVE-2021-1678 (con el modo Implementación establecido en Desactivado de manera predeterminada).

  • Agrega compatibilidad con el valor de registro RpcAuthnLevelPrivacyEnabled para habilitar el aumento del nivel de autorización para la protección IRemoteWinspool de la impresora.

La mitigación consiste en instalar las actualizaciones de Windows en todos los dispositivos del nivel de cliente y servidor.

14 de septiembre de 2021: Fase de cumplimiento

La versión pasa a la fase de cumplimiento el 14 de septiembre de 2021.  La fase de Cumplimiento aplica los cambios para solucionar la vulnerabilidad CVE-2021-1678 al aumentar el nivel de autorización sin tener que establecer el valor de registro.

Asistencia para la instalación

Antes de instalar esta actualización

Debe tener instaladas las siguientes actualizaciones requeridas antes de aplicar esta actualización: Si usa Windows Update, se le ofrecerán estas actualizaciones requeridas automáticamente según sea necesario.

  • Debe tener instalada la actualización SHA-2 (KB4474419) con fecha del 23 de septiembre de 2019 o una actualización SHA-2 posterior y, a continuación, reiniciar el dispositivo antes de aplicar esta actualización. Para más información sobre las actualizaciones de SHA-2, consulte Requisito de soporte técnico para la firma de código SHA-2 2019 para Windows y WSUS.

  • Para Windows Server 2008 R2 SP1, debe tener instalada la actualización de la pila de servicio (SSU) (KB4490628) con fecha del 12 de marzo de 2019. Una vez instalada la actualización KB4490628, recomendamos que instale la actualización de SSU más reciente. Para más información sobre la actualización de SSU más reciente, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.

  • Para Windows Server 2008 SP2, debe tener instalada la actualización de la pila de servicio (SSU) (KB4493730) con fecha del 9 de abril de 2019. Una vez instalada la actualización KB4493730, recomendamos que instale la actualización de SSU más reciente. Para obtener más información sobre las últimas actualizaciones de SSU, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.

  • Los clientes deben comprar la Actualización de seguridad extendida (ESU) para las versiones locales de Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 después de la finalización del soporte extendido el 14 de enero de 2020. Los clientes que hayan adquirido la ESU deben seguir los procedimientos descritos en KB4522133 para continuar recibiendo actualizaciones de seguridad. Para obtener más información sobre la ESU y qué ediciones son compatibles, consulte KB4497181.

Importante Una vez instaladas estas actualizaciones requeridas, debe reiniciar el equipo.

Instalar la actualización

Para solucionar la vulnerabilidad de seguridad, instale las actualizaciones de Windows y siga estos pasos para habilitar el modo de cumplimiento:

  1. Implemente la actualización del 12 de enero de 2021 en todos los dispositivos del cliente y del servidor.

  2. Una vez actualizados todos los dispositivos del cliente y del servidor, se puede habilitar la protección completa estableciendo el valor de registro en 1.

                         Paso 1: Instalar la actualización de Windows

Instale la actualización de Windows del 12 de enero de 2021 o una actualización de Windows posterior en todos los dispositivos del cliente y del servidor.

Producto de Windows Server

KB

Tipo de actualización

Windows Server, versión 20H2 (instalación Server Core)

4598242

Actualización de seguridad

Windows Server, versión 2004 (instalación de Server Core)

4598242

Actualización de seguridad

Windows Server, versión 1909 (instalación de Server Core)

4598229

Actualización de seguridad

Windows Server, versión 1903 (instalación de Server Core)

4598229

Actualización de seguridad

Windows Server 2019 (instalación de Server Core)

4598230

Actualización de seguridad

Windows Server 2019

4598230

Actualización de seguridad

Windows Server 2016 (instalación de Server Core)

4598243

Actualización de seguridad

Windows Server 2016

4598243

Actualización de seguridad

Windows Server 2012 R2 (instalación de Server Core)

4598285

Paquete acumulativo mensual

4598275

Solo seguridad

Windows Server 2012 R2

4598285

Paquete acumulativo mensual

4598275

Solo seguridad

Windows Server 2012 (instalación de Server Core)

4598278

Paquete acumulativo mensual

4598297

Solo seguridad

Windows Server 2012

4598278

Paquete acumulativo mensual

4598297

Solo seguridad

Windows Server 2008 R2 Service Pack 1

4598279

Paquete acumulativo mensual

4598289

Solo seguridad

Windows Server 2008 Service Pack 2

4598288

Paquete acumulativo mensual

4598287

Solo seguridad

Paso 2: Habilitar el modo de cumplimiento

                Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden darse problemas graves si modifica el Registro de manera incorrecta. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información sobre cómo hacer una copia de seguridad del registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del registro y restaurarlo en Windows.

Una vez actualizados todos los dispositivos del cliente y del servidor, puede habilitar la protección completa si implementa el modo Cumplimiento. Para ello, siga estos pasos:

  1. Haga clic con el botón derecho en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Ejecutar, y luego presione Ctrl+Mayús+Entrar.

  2. En el símbolo del sistema de administrador, escriba regedit, y luego presione Entrar.

  3. Busque la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Haga clic con el botón derecho en Impr, seleccione Nuevo, y luego haga clic en Valor de DWORD (32 bits).

  2. Escriba RpcAuthnLevelPrivacyEnabled, y luego presione Entrar.

  3. Haga clic con el botón derecho en RpcAuthnLevelPrivacyEnabled, y luego haga clic en Modificar.

  4. En el cuadro Información del valor, escriba 1 y haga clic en Aceptar.

                Nota Esta actualización introduce la compatibilidad con el valor de registro RpcAuthnLevelPrivacyEnabled para aumentar el nivel de autorización de la impresora IRemoteWinspool.

Subclave del Registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Valor

RpcAuthnLevelPrivacyEnabled

Tipo de datos

REG_DWORD

Datos

                1: Habilita el modo Cumplimiento. Antes de habilitar el modo Cumplimiento para el lado del servidor, asegúrese de que todos los dispositivos del cliente tengan instalada la actualización de Windows publicada el 12 de enero de 2021 o una actualización de Windows posterior. Esta corrección aumenta el nivel de autorización para la interfaz RPC IRemoteWinspool de la impresora y agrega un nuevo valor de directiva y registro en el lado del servidor para exigir al cliente que use el nuevo nivel de autorización si se aplica el modo de cumplimiento. Si el dispositivo del cliente no tiene instalada la actualización de seguridad del 12 de enero de 2021 o una actualización de Windows posterior, la experiencia de impresión se interrumpirá cuando el cliente se conecte al servidor a través de la interfaz IRemoteWinspool.

0: No recomendado. Deshabilita el aumento del nivel de autenticación para la impresora IRemoteWinspool, y sus dispositivos no están protegidos.

Valor predeterminado

Comportamiento predeterminado después de instalar actualizaciones cuando la clave del registro no está establecida:

  • Las actualizaciones del 12 de enero de 2021 o posteriores tienen el comportamiento predeterminado de 0 (cero) cuando no se establece.

  • Las actualizaciones del 14 de septiembre de 2021 o posteriores tienen el comportamiento predeterminado de 1 (uno) cuando no se establece.

¿Es necesario reiniciar?

Sí, es necesario reiniciar el dispositivo o el servicio de administrador de trabajos en cola.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.