Kokkuvõte

6. juulil 2021 ja pärast seda välja antud turvavärskendused sisaldavad kaitseid koodi kaugkäivitushaavatavuse jaoks Windows Prindispuuleri teenuses (spoolsv.exe), mida nimetatakse   "PrintNightmare", mis on dokumenteeritud CVE-2021-34527is. Pärast 2021. aasta juuli ja uuemate värskenduste installimist ei saa mitteadministraatorid (sh delegeeritud administraatorirühmad (nt printerioperaatorid) installida prindiserverisse allkirjastatud ja allkirjastamata printeridraivereid. Vaikimisi saavad prindiserverisse installida nii allkirjastatud kui ka allkirjastamata printeridraiverid ainult administraatorid. 

Märkus Enne CVE-2021-34527 kaitsega värskenduste installimist Windows-2021-34527 installiti printerioperaatorite turberühm nii allkirjastatud kui ka allkirjastamata printeridraiverid printeriserverisse. Alates 2021. aasta juuli bändi lõpust, on administraatori identimisteavet vaja allkirjastatud ja allkirjastamata printeridraiverite installimiseks printeriserverisse. Kui soovite alistada kõik punkti- ja prindipiirangute rühmapoliitika sätted ning tagada, et prindiserverisse saavad printeridraiverid installida ainult administraatorid, konfigureerige registriväärtus RestrictDriverInstallationToAdministrators väärtuseks 1.

Soovitame installida Windows 6. juulil 2021 või hiljem välja antud uusimad värskendused kohe kõigisse toetatud Windows klient- ja serveri operatsioonisüsteemidesse, alustades seadmetest, mis praegu prindispuuleri teenust majutavad. Järgmiseks määrake sätte "Uue ühenduse draiverite installimisel" ja "Olemasoleva ühenduse draiverite värskendamisel" sättes Punkti- ja prindipiirangute rühmapoliitika säte väärtuseks "Show warning and elevation prompt" (Kuva hoiatus- ja tõstmisviip).

Lahendus

  1. Installige 2021. aasta juuli out-of-band või uuemad värskendused.

  2. Kontrollige, kas täidetud on järgmised tingimused.

  • Registri Sätted: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) või määratlemata (vaikesäte)

    • UpdatePromptSettings = 0 (DWORD) või määratlemata (vaikesäte)

  • Rühmapoliitika. Te pole konfigureerinud rühmapoliitikat Punkt ja Prindipiirangud.

Kui mõlemad tingimused on tõesed, ei ole te CVE-2021-34527 suhtes haavatavad ja täiendavaid meetmeid pole vaja teha. Kui kumbki tingimus pole tõene, olete haavatav. Järgige alltoodud juhiseid, et muuta rühmapoliitika Punkti- ja prindipiirangud turvaliseks konfiguratsiooniks.

  1. Avage rühmapoliitika redaktori tööriist ja avage Arvuti konfigureerimine >Haldusmallid > Printerid. 

  2. Konfigureerige sätte Point and Print Restrictions Group Policy (Punkt- ja prindipiirangud) rühmapoliitika järgmiselt.

    1. Määrake sätte Point and Print Restrictions Group Policy (Punkt- ja prindipiirangud) sätteks "Enabled" (Lubatud).

    2. "Uue ühenduse draiverite installimisel": "Kuva hoiatus- ja tõstmisviip".

    3. "Olemasoleva ühenduse draiverite värskendamisel": "Kuva hoiatus- ja tõstmisviip".

alternatiivne tekst

Tähtis Soovitame tungivalt rakendada seda poliitikat kõigile seadmetele, mis majutavad prindispuuleriteenust.

Taaskäivitamisnõuded. See poliitika muudatus ei nõua pärast nende sätete rakendamist seadme ega prindispuuleriteenuse taaskäivitamist. 

3. Veenduge, et rühmapoliitika rakendati õigesti, kasutage järgmisi registrivõtmeid.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Hoiatus Kui määrate need mittenullväärtusteks, muudavad seadmed, kuhu olete CVE-2021-34527 värskenduse installinud, haavatavaks.

Märkus Nende sätete konfigureerimine ei keela funktsiooni Punkt ja printimine.

4. [Soovitatav] Alistage punkti- ja prindipiirangud, nii et printeriserveritesse saavad prindidraivereid installida ainult administraatorid. Seda tehakse registrivõtme RestrictDriverInstallationToAdministrators abil. 6. juulil 2021 või uuemal juulil välja antud värskenduste vaikeväärtus on 0 (keelatud), kuni värskendused anti välja 10. augustil 2021.  10. augustil 2021 või uuemal augustil välja antud värskenduste vaikeväärtus on 1 (lubatud).  Lisateavet restrictDriverInstallationToAdministrators'i ja muude prindiga seotud soovituste häälestamise kohta leiate teemast KB5005652 – draiveri installimise vaikekäitumise haldamine (CVE-2021-34481)

Täiendav teave

Kas CVE-2021-34527 parandused mõjutavad ühisvõrguprinteri prindidraiveriga ühenduse loomiseks ja installimiseks kasutatava klientseadme vaike-punkti- ja prindidraiveri installistsenaariumi?

Ei, CVE-2021-34527 parandused ei mõjuta otseselt ühisvõrguprinteriga ühenduse loomiseks ja installimiseks kasutatava klientseadme draiveri installimise vaikestsenaariumi. Sel juhul loob klientseade ühenduse prindiserveriga ning laadib alla ja installib selle usaldusväärse serveri draiverid. See stsenaarium erineb haavatavast stsenaariumist, mille korral ründaja proovib installida pahatahtlikku draiverit prindiserverisse( kas kohalikult või kaugjuhtimise teel).

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.