Resumen
Existe una vulnerabilidad de omisión de seguridad en la forma en que el enlace de llamada a procedimiento remoto (RPC) de la impresora controla la autenticación para la interfaz remota de Winspool. La actualización de Windows soluciona esta vulnerabilidad aumentando el nivel de autenticación de RPC e introduciendo una nueva directiva y clave del registro para permitir a los clientes deshabilitar o habilitar el modo de Cumplimiento del lado del servidor para aumentar el nivel de autenticación.
Para obtener más información sobre la vulnerabilidad, consulte CVE-2021-1678 | Vulnerabilidad de suplantación del administrador de trabajos en cola.
Tomar medidas Para proteger el entorno y evitar interrupciones, debe hacer lo siguiente:
|
Cronograma de las actualizaciones
Estas actualizaciones de Windows se publicarán en dos fases:
-
La fase de implementación inicial para las actualizaciones de Windows publicadas el 12 de enero de 2021 o después.
-
La fase de cumplimiento de las actualizaciones de Windows publicadas en una fecha futura.
12 de enero de 2021: Fase de implementación inicial
La fase de implementación inicial comienza con la actualización de Windows publicada el 12 de enero de 2021, que da a los clientes del servidor la opción de habilitar por sí mismos este nivel de seguridad aumentado en función de la preparación de su entorno.
Esta publicación:
-
Soluciona la vulnerabilidad CVE-2021-1678 (con el modo Implementación establecido en Desactivado de manera predeterminada).
-
Agrega compatibilidad con el valor de registro RpcAuthnLevelPrivacyEnabled para habilitar el aumento del nivel de autorización para la protección IRemoteWinspool de la impresora.
La mitigación consiste en instalar las actualizaciones de Windows en todos los dispositivos del nivel de cliente y servidor.
14 de septiembre de 2021: Fase de cumplimiento
La versión pasa a la fase de cumplimiento el 14 de septiembre de 2021. La fase de Cumplimiento aplica los cambios para solucionar la vulnerabilidad CVE-2021-1678 al aumentar el nivel de autorización sin tener que establecer el valor de registro.
Asistencia para la instalación
Antes de instalar esta actualización
Debe tener instaladas las siguientes actualizaciones requeridas antes de aplicar esta actualización: Si usa Windows Update, se le ofrecerán estas actualizaciones requeridas automáticamente según sea necesario.
-
Debe tener instalada la actualización SHA-2 (KB4474419) con fecha del 23 de septiembre de 2019 o una actualización SHA-2 posterior y, a continuación, reiniciar el dispositivo antes de aplicar esta actualización. Para más información sobre las actualizaciones de SHA-2, consulte Requisito de soporte técnico para la firma de código SHA-2 2019 para Windows y WSUS.
-
Para Windows Server 2008 R2 SP1, debe tener instalada la actualización de la pila de servicio (SSU) (KB4490628) con fecha del 12 de marzo de 2019. Una vez instalada la actualización KB4490628, recomendamos que instale la actualización de SSU más reciente. Para más información sobre la actualización de SSU más reciente, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.
-
Para Windows Server 2008 SP2, debe tener instalada la actualización de la pila de servicio (SSU) (KB4493730) con fecha del 9 de abril de 2019. Una vez instalada la actualización KB4493730, recomendamos que instale la actualización de SSU más reciente. Para obtener más información sobre las últimas actualizaciones de SSU, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.
-
Los clientes deben comprar la Actualización de seguridad extendida (ESU) para las versiones locales de Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 después de la finalización del soporte extendido el 14 de enero de 2020. Los clientes que hayan adquirido la ESU deben seguir los procedimientos descritos en KB4522133 para continuar recibiendo actualizaciones de seguridad. Para obtener más información sobre la ESU y qué ediciones son compatibles, consulte KB4497181.
Importante Una vez instaladas estas actualizaciones requeridas, debe reiniciar el equipo.
Instalar la actualización
Para solucionar la vulnerabilidad de seguridad, instale las actualizaciones de Windows y siga estos pasos para habilitar el modo de cumplimiento:
-
Implemente la actualización del 12 de enero de 2021 en todos los dispositivos del cliente y del servidor.
-
Una vez actualizados todos los dispositivos del cliente y del servidor, se puede habilitar la protección completa estableciendo el valor de registro en 1.
Paso 1: Instalar la actualización de Windows
Instale la actualización de Windows del 12 de enero de 2021 o una actualización de Windows posterior en todos los dispositivos del cliente y del servidor.
Producto de Windows Server |
KB |
Tipo de actualización |
Windows Server, versión 20H2 (instalación Server Core) |
Actualización de seguridad |
|
Windows Server, versión 2004 (instalación de Server Core) |
Actualización de seguridad |
|
Windows Server, versión 1909 (instalación de Server Core) |
Actualización de seguridad |
|
Windows Server, versión 1903 (instalación de Server Core) |
Actualización de seguridad |
|
Windows Server 2019 (instalación de Server Core) |
Actualización de seguridad |
|
Windows Server 2019 |
Actualización de seguridad |
|
Windows Server 2016 (instalación de Server Core) |
Actualización de seguridad |
|
Windows Server 2016 |
Actualización de seguridad |
|
Windows Server 2012 R2 (instalación de Server Core) |
Paquete acumulativo mensual |
|
Solo seguridad |
||
Windows Server 2012 R2 |
Paquete acumulativo mensual |
|
Solo seguridad |
||
Windows Server 2012 (instalación de Server Core) |
Paquete acumulativo mensual |
|
Solo seguridad |
||
Windows Server 2012 |
Paquete acumulativo mensual |
|
Solo seguridad |
||
Windows Server 2008 R2 Service Pack 1 |
Paquete acumulativo mensual |
|
Solo seguridad |
||
Windows Server 2008 Service Pack 2 |
Paquete acumulativo mensual |
|
Solo seguridad |
Paso 2: Habilitar el modo de cumplimiento
Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden darse problemas graves si modifica el Registro de manera incorrecta. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información sobre cómo hacer una copia de seguridad del registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del registro y restaurarlo en Windows.
Una vez actualizados todos los dispositivos del cliente y del servidor, puede habilitar la protección completa si implementa el modo Cumplimiento. Para ello, siga estos pasos:
-
Haga clic con el botón derecho en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Ejecutar, y luego presione Ctrl+Mayús+Entrar.
-
En el símbolo del sistema de administrador, escriba regedit, y luego presione Entrar.
-
Busque la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Haga clic con el botón derecho en Impr, seleccione Nuevo, y luego haga clic en Valor de DWORD (32 bits).
-
Escriba RpcAuthnLevelPrivacyEnabled, y luego presione Entrar.
-
Haga clic con el botón derecho en RpcAuthnLevelPrivacyEnabled, y luego haga clic en Modificar.
-
En el cuadro Información del valor, escriba 1 y haga clic en Aceptar.
Nota Esta actualización introduce la compatibilidad con el valor de registro RpcAuthnLevelPrivacyEnabled para aumentar el nivel de autorización de la impresora IRemoteWinspool.
Subclave del Registro |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Valor |
RpcAuthnLevelPrivacyEnabled |
Tipo de datos |
REG_DWORD |
Datos |
1: Habilita el modo Cumplimiento. Antes de habilitar el modo Cumplimiento para el lado del servidor, asegúrese de que todos los dispositivos del cliente tengan instalada la actualización de Windows publicada el 12 de enero de 2021 o una actualización de Windows posterior. Esta corrección aumenta el nivel de autorización para la interfaz RPC IRemoteWinspool de la impresora y agrega un nuevo valor de directiva y registro en el lado del servidor para exigir al cliente que use el nuevo nivel de autorización si se aplica el modo de cumplimiento. Si el dispositivo del cliente no tiene instalada la actualización de seguridad del 12 de enero de 2021 o una actualización de Windows posterior, la experiencia de impresión se interrumpirá cuando el cliente se conecte al servidor a través de la interfaz IRemoteWinspool. 0: No recomendado. Deshabilita el aumento del nivel de autenticación para la impresora IRemoteWinspool, y sus dispositivos no están protegidos. |
Valor predeterminado |
Comportamiento predeterminado después de instalar actualizaciones cuando la clave del registro no está establecida:
|
¿Es necesario reiniciar? |
Sí, es necesario reiniciar el dispositivo o el servicio de administrador de trabajos en cola. |