Yhteenveto
Suojauksen ohitusvirhe on olemassa tavalla, jolla RPC (Printer Remote Procedure Call) -sidontakahvat todentaminen Remote Winspool -käyttöliittymässä on. Päivitys Windows tämän heikkouden nostamalla RPC-todennustasoa ja ottamalla käyttöön uuden käytännön ja rekisteriavaimen, jotta asiakkaat voivat poistaa käytöstä tai ottaa käyttöön pakotustilan palvelinpuolella todennustason nostamista varten.
Lisätietoja haavoittuvuusongelmasta on kohdassa CVE-2021-1678 -| Windows Taustatulostuksen väärentämisen heikkous.
Toimi Jos haluat suojata ympäristön ja estää käyttökoosteet, sinun on tehtävä seuraavat toimet:
|
Päivitysten ajoitus
Nämä Windows julkaistaan kahdessa vaiheessa:
-
Ensimmäisen käyttöönoton vaihe päivitysten Windows 12. tammikuuta 2021 tai sen jälkeen.
-
Pakotusvaihe Windows päivityksille, jotka julkaistaan jonain tulevana päivänä.
12. tammikuuta 2021: Käyttöönoton alkuvaihe
Ensimmäinen käyttöönottovaihe alkaa Windows 12. tammikuuta 2021 julkaistusta päivityksestä, joka tarjoaa palvelinasiakkaille mahdollisuuden lisätä suojaustasoa ympäristön valmiuden perusteella.
Tämä julkaisu:
-
Osoitteet CVE-2021-1678 (käyttöönottotilassa onoletusarvoisesti poissa käytöstä).
-
Lisää RpcAuthnLevelPrivacyEnabled-rekisteriarvon tuen tulostimen IRemoteWinspool-suojauksen valtuutustason kasvattamiseksi.
Riskien lieventäminen koostuu päivitysten asentamisesta Windows asiakas- ja palvelintason laitteisiin.
14. syyskuuta 2021: Pakotusvaihe
Julkaisusiirtymät pakotusvaiheeseen 14. syyskuuta 2021. Pakotusvaihe pakottaa muutokset osoitteeseen CVE-2021-1678 lisäämällä valtuutustasoa ilman, että rekisteriarvoa on määritettävä.
Asennusohjeet
Ennen tämän päivityksen asentamista
Seuraavat pakolliset päivitykset on asennettava, ennen kuin voit ottaa tämän päivityksen käyttöön. Jos käytät Windows päivitystä, nämä pakolliset päivitykset tarjotaan automaattisesti tarpeen mukaan.
-
SHA-2-päivitys (KB4474419), joka on päivätty 23. syyskuuta 2019 tai uudempi SHA-2-päivitys, on oltava asennettuna ja laite on käynnistettävä uudelleen, ennen kuin otat tämän päivityksen käyttöön. Lisätietoja SHA-2-päivityksistä on 2019 SHA-2-koodin allekirjoitustuen vaatimuksessa Windows WSUS:lle.
-
Windows Server 2008 R2 SP1:ssä on asennettava SSU (servicing stack update)(KB4490628), joka on päivätty 12. maaliskuuta 2019. Päivityksen KB4490628 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmasta SSU-päivityksestä on adv990001-| Uusimmat ylläpitopinopäivitykset.
-
Windows Server 2008 SP2:ssa on asennettava SSU (servicing stack update)(KB4493730),joka on päivätty 9. huhtikuuta 2019. Päivityksen KB4493730 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmista SSU-päivityksistä on adv990001-| Uusimmat ylläpitopinopäivitykset.
-
Asiakkaiden on hankittava Extended Security Update (ESU) Windows Server 2008 SP2:n tai Windows Server 2008 R2 SP1:n paikallisille versioille extended-tuen päätyttyä 14. tammikuuta 2020. Asiakkaiden, jotka ovat ostaneet ESU:n, on jatkettava suojauspäivitysten vastaanottamista KB4522133:n ohjeiden mukaisesti. Lisätietoja ESU:sta ja tuetuista versioista on artikkelissa KB4497181.
TärkeääSinun on käynnistettävä laite uudelleen, kun olet asentanut tarvittavat päivitykset.
Asenna päivitys
Voit ratkaista suojausheikkouden asentamalla Windows ja seuraavilla ohjeilla pakotustilan käyttöön:
-
Ota käyttöön 12. tammikuuta 2021 -päivitys kaikissa asiakas- ja palvelinlaitteilla.
-
Kun kaikki asiakas- ja palvelinlaitteet on päivitetty, täysi suojaus voidaan ottaa käyttöön määrittämällä rekisteriarvoksi 1.
Vaihe 1: Windows asentaminen
Asenna 12. tammikuuta 2021 Windows tai uudempi päivitys Windows asiakas- ja palvelinlaitteisiin.
Windows Palvelintuote |
kt # |
Päivityksen tyyppi |
Windows Palvelin, versio 20H2 (Palvelinydinasennus) |
Suojauspäivitys |
|
Windows Palvelin, versio 2004 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Palvelin, versio 1909 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Palvelin, versio 1903 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2019 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2019 |
Suojauspäivitys |
|
Windows Server 2016 (Server Core -asennus) |
Suojauspäivitys |
|
Windows Server 2016 |
Suojauspäivitys |
|
Windows Server 2012 R2 (Server Core -asennus) |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 R2 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 (Server Core -asennus) |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2012 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2008 R2 Service Pack 1 |
Kuukausittainen koonti |
|
Vain suojaus |
||
Windows Server 2008 Service Pack 2 |
Kuukausittainen koonti |
|
Vain suojaus |
Vaihe 2: Pakotustilan ottaminen käyttöön
Tärkeää Tässä osassa, menetelmässä tai tehtävässä on ohjeita rekisterin muutosta varten. Rekisterin virheellinen muuttaminen voi kuitenkin aiheuttaa vakavia ongelmia. Noudata näitä ohjeita ehdottoman tarkasti. Varmuuskopioi rekisteri ennen sen vaihtamista, jotta saat lisäsuojauksen. Tällöin voit palauttaa rekisterin ongelmatilanteessa. Lisätietoja rekisterin varmuuskopioista ja palauttamisesta on kohdassa Rekisterinvarmuuskopiointi ja palauttaminen Windows.
Kun kaikki asiakas- ja palvelinlaitteet on päivitetty, voit ottaa täyden suojauksen käyttöön ottamalla pakotustilan käyttöön. Voit tehdä tämän seuraavasti:
-
Napsauta Hiiren kakkospainikkeella Käynnistä,valitse Suorita, kirjoita cmdSuorita-ruutuun ja paina näppäinyhdistelmää Ctrl+ Vaihto +Enter.
-
Kirjoita järjestelmänvalvojan komentokehotteeseen regedit ja paina sitten Enter-näppäintä.
-
Etsi seuraava rekisterin aliavain:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Napsauta tulosta hiiren kakkospainikkeella,valitse Uusija valitse sitten DWORD-ARVO (32-bittinen) -arvo.
-
Kirjoita RpcAuthnLevelPrivacyEnabled ja paina sitten Enter-näppäintä.
-
Napsauta RpcAuthnLevelPrivacyEnabled-kohtaa hiiren kakkospainikkeella ja valitse sitten Muokkaa.
-
Kirjoita Arvon tiedot -ruutuun1 ja valitse sitten OK.
Huomautus Tämä päivitys sisältää RpcAuthnLevelPrivacyEnabled-rekisteriarvon tuen tulostimen IRemoteWinspoolin valtuutustason kasvattamista varten.
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Arvo |
RpcAuthnLevelPrivacyEnabled |
Tietotyyppi |
REG_DWORD |
Tiedot |
1:Ottaa käyttöön pakotustilan. Ennen kuin otat pakotustilan käyttöön palvelinpuolella, varmista, että kaikki asiakaslaitteet ovat asentaneet Windows-päivityksen, joka julkaistiin 12. tammikuuta 2021 tai uudemmalla Windows päivityksellä. Tämä korjaus lisää tulostimen IRemoteWinspool RPC -liittymän valtuutustasoa ja lisää palvelimen puolelle uuden käytännön ja rekisteriarvon, jotta asiakas voi käyttää uutta valtuutustasoa, jos pakotustila on käytössä. Jos asiakaslaitteessa ei ole käytössä 12. tammikuuta 2021 -suojauspäivitystä tai sitä uudempia Windows-päivitystä, tulostuskokemus ei toimi, kun asiakas muodostaa yhteyden palvelimeen IRemoteWinspool-käyttöliittymän kautta. 0:Ei suositella. Poistaa käytöstä tulostimen IRemoteWinspool -todennuksen lisäystason,eikä laitteita ole suojattu. |
Oletus |
Oletustoiminta päivitysten asentamisen jälkeen, kun rekisteriavainta ei ole määritetty:
|
Vaaditaanko uudelleenkäynnistys? |
Kyllä, taustatulostuspalvelu on käynnistettävä uudelleen tai käynnistettävä uudelleen. |