Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Yhteenveto

Suojauksen ohitusvirhe on olemassa tavalla, jolla RPC (Printer Remote Procedure Call) -sidontakahvat todentaminen Remote Winspool -käyttöliittymässä on. Päivitys Windows tämän heikkouden nostamalla RPC-todennustasoa ja ottamalla käyttöön uuden käytännön ja rekisteriavaimen, jotta asiakkaat voivat poistaa käytöstä tai ottaa käyttöön pakotustilan palvelinpuolella todennustason nostamista varten.   

Lisätietoja haavoittuvuusongelmasta on kohdassa CVE-2021-1678 -| Windows Taustatulostuksen väärentämisen heikkous.

Toimi

Jos haluat suojata ympäristön ja estää käyttökoosteet, sinun on tehtävä seuraavat toimet:

  1. Päivitä kaikki asiakas- ja palvelinlaitteet asentamalla 12. tammikuuta 2021 -päivitys Windows tai uudempi Windows päivitys. Ota huomioon, että Windows-päivitys ei täysin lieventä suojausheikkoutta ja voi vaikuttaa nykyiseen tulostusasennukseen. Sinun on suoritettava vaihe 2.

  2. Ota pakotustila käyttöön tulostuspalvelimessa. Pakotustila otetaan käyttöön kaikissa Windows laitteissa jonain tulevana päivänä.

Päivitysten ajoitus

Nämä Windows julkaistaan kahdessa vaiheessa:

  • Ensimmäisen käyttöönoton vaihe päivitysten Windows 12. tammikuuta 2021 tai sen jälkeen.

  • Pakotusvaihe Windows päivityksille, jotka julkaistaan jonain tulevana päivänä.

12. tammikuuta 2021: Käyttöönoton alkuvaihe

Ensimmäinen käyttöönottovaihe alkaa Windows 12. tammikuuta 2021 julkaistusta päivityksestä, joka tarjoaa palvelinasiakkaille mahdollisuuden lisätä suojaustasoa ympäristön valmiuden perusteella.

Tämä julkaisu:

  • Osoitteet CVE-2021-1678 (käyttöönottotilassa onoletusarvoisesti poissa käytöstä).

  • Lisää RpcAuthnLevelPrivacyEnabled-rekisteriarvon tuen tulostimen IRemoteWinspool-suojauksen valtuutustason kasvattamiseksi.

Riskien lieventäminen koostuu päivitysten asentamisesta Windows asiakas- ja palvelintason laitteisiin.

14. syyskuuta 2021: Pakotusvaihe

Julkaisusiirtymät pakotusvaiheeseen 14. syyskuuta 2021. Pakotusvaihe pakottaa muutokset osoitteeseen CVE-2021-1678 lisäämällä valtuutustasoa ilman, että rekisteriarvoa on määritettävä.

Asennusohjeet

Ennen tämän päivityksen asentamista

Seuraavat pakolliset päivitykset on asennettava, ennen kuin voit ottaa tämän päivityksen käyttöön. Jos käytät Windows päivitystä, nämä pakolliset päivitykset tarjotaan automaattisesti tarpeen mukaan.

  • SHA-2-päivitys (KB4474419), joka on päivätty 23. syyskuuta 2019 tai uudempi SHA-2-päivitys, on oltava asennettuna ja laite on käynnistettävä uudelleen, ennen kuin otat tämän päivityksen käyttöön. Lisätietoja SHA-2-päivityksistä on 2019 SHA-2-koodin allekirjoitustuen vaatimuksessa Windows WSUS:lle.

  • Windows Server 2008 R2 SP1:ssä on asennettava SSU (servicing stack update)(KB4490628), joka on päivätty 12. maaliskuuta 2019. Päivityksen KB4490628 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmasta SSU-päivityksestä on adv990001-| Uusimmat ylläpitopinopäivitykset.

  • Windows Server 2008 SP2:ssa on asennettava SSU (servicing stack update)(KB4493730),joka on päivätty 9. huhtikuuta 2019. Päivityksen KB4493730 asentamisen jälkeen on suositeltavaa asentaa uusin SSU-päivitys. Lisätietoja uusimmista SSU-päivityksistä on adv990001-| Uusimmat ylläpitopinopäivitykset.

  • Asiakkaiden on hankittava Extended Security Update (ESU) Windows Server 2008 SP2:n tai Windows Server 2008 R2 SP1:n paikallisille versioille extended-tuen päätyttyä 14. tammikuuta 2020. Asiakkaiden, jotka ovat ostaneet ESU:n, on jatkettava suojauspäivitysten vastaanottamista KB4522133:n ohjeiden mukaisesti. Lisätietoja ESU:sta ja tuetuista versioista on artikkelissa KB4497181.

TärkeääSinun on käynnistettävä laite uudelleen, kun olet asentanut tarvittavat päivitykset.

Asenna päivitys

Voit ratkaista suojausheikkouden asentamalla Windows ja seuraavilla ohjeilla pakotustilan käyttöön:

  1. Ota käyttöön 12. tammikuuta 2021 -päivitys kaikissa asiakas- ja palvelinlaitteilla.

  2. Kun kaikki asiakas- ja palvelinlaitteet on päivitetty, täysi suojaus voidaan ottaa käyttöön määrittämällä rekisteriarvoksi 1.

Vaihe 1: Windows asentaminen

Asenna 12. tammikuuta 2021 Windows tai uudempi päivitys Windows asiakas- ja palvelinlaitteisiin.

Windows Palvelintuote

kt #

Päivityksen tyyppi

Windows Palvelin, versio 20H2 (Palvelinydinasennus)

4598242

Suojauspäivitys

Windows Palvelin, versio 2004 (Server Core -asennus)

4598242

Suojauspäivitys

Windows Palvelin, versio 1909 (Server Core -asennus)

4598229

Suojauspäivitys

Windows Palvelin, versio 1903 (Server Core -asennus)

4598229

Suojauspäivitys

Windows Server 2019 (Server Core -asennus)

4598230

Suojauspäivitys

Windows Server 2019

4598230

Suojauspäivitys

Windows Server 2016 (Server Core -asennus)

4598243

Suojauspäivitys

Windows Server 2016

4598243

Suojauspäivitys

Windows Server 2012 R2 (Server Core -asennus)

4598285

Kuukausittainen koonti

4598275

Vain suojaus

Windows Server 2012 R2

4598285

Kuukausittainen koonti

4598275

Vain suojaus

Windows Server 2012 (Server Core -asennus)

4598278

Kuukausittainen koonti

4598297

Vain suojaus

Windows Server 2012

4598278

Kuukausittainen koonti

4598297

Vain suojaus

Windows Server 2008 R2 Service Pack 1

4598279

Kuukausittainen koonti

4598289

Vain suojaus

Windows Server 2008 Service Pack 2

4598288

Kuukausittainen koonti

4598287

Vain suojaus

Vaihe 2: Pakotustilan ottaminen käyttöön

                Tärkeää Tässä osassa, menetelmässä tai tehtävässä on ohjeita rekisterin muutosta varten. Rekisterin virheellinen muuttaminen voi kuitenkin aiheuttaa vakavia ongelmia. Noudata näitä ohjeita ehdottoman tarkasti. Varmuuskopioi rekisteri ennen sen vaihtamista, jotta saat lisäsuojauksen. Tällöin voit palauttaa rekisterin ongelmatilanteessa. Lisätietoja rekisterin varmuuskopioista ja palauttamisesta on kohdassa Rekisterinvarmuuskopiointi ja palauttaminen Windows.

Kun kaikki asiakas- ja palvelinlaitteet on päivitetty, voit ottaa täyden suojauksen käyttöön ottamalla pakotustilan käyttöön. Voit tehdä tämän seuraavasti:

  1. Napsauta Hiiren kakkospainikkeella Käynnistä,valitse Suorita, kirjoita cmdSuorita-ruutuun ja paina näppäinyhdistelmää Ctrl+ Vaihto +Enter.

  2. Kirjoita järjestelmänvalvojan komentokehotteeseen regedit ja paina sitten Enter-näppäintä.

  3. Etsi seuraava rekisterin aliavain:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Napsauta tulosta hiiren kakkospainikkeella,valitse Uusija valitse sitten DWORD-ARVO (32-bittinen) -arvo.

  2. Kirjoita RpcAuthnLevelPrivacyEnabled ja paina sitten Enter-näppäintä.

  3. Napsauta RpcAuthnLevelPrivacyEnabled-kohtaa hiiren kakkospainikkeella ja valitse sitten Muokkaa.

  4. Kirjoita Arvon tiedot -ruutuun1 ja valitse sitten OK.

Huomautus Tämä päivitys sisältää RpcAuthnLevelPrivacyEnabled-rekisteriarvon tuen tulostimen IRemoteWinspoolin valtuutustason kasvattamista varten.

Rekisterin aliavain

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Arvo

RpcAuthnLevelPrivacyEnabled

Tietotyyppi

REG_DWORD

Tiedot

1:Ottaa käyttöön pakotustilan. Ennen kuin otat pakotustilan käyttöön palvelinpuolella, varmista, että kaikki asiakaslaitteet ovat asentaneet Windows-päivityksen, joka julkaistiin 12. tammikuuta 2021 tai uudemmalla Windows päivityksellä. Tämä korjaus lisää tulostimen IRemoteWinspool RPC -liittymän valtuutustasoa ja lisää palvelimen puolelle uuden käytännön ja rekisteriarvon, jotta asiakas voi käyttää uutta valtuutustasoa, jos pakotustila on käytössä. Jos asiakaslaitteessa ei ole käytössä 12. tammikuuta 2021 -suojauspäivitystä tai sitä uudempia Windows-päivitystä, tulostuskokemus ei toimi, kun asiakas muodostaa yhteyden palvelimeen IRemoteWinspool-käyttöliittymän kautta.

0:Ei suositella. Poistaa käytöstä tulostimen IRemoteWinspool -todennuksen lisäystason,eikä laitteita ole suojattu.

Oletus

Oletustoiminta päivitysten asentamisen jälkeen, kun rekisteriavainta ei ole määritetty:

  • 12. tammikuuta 2021 tai sitä uudempien päivitysten oletusasetus on 0 (nolla), kun päivitystä ei ole määritetty.

  • 14. syyskuuta 2021 tai sitä uudempien päivitysten oletustoiminta on yksi (yksi), kun päivitystä ei ole määritetty.

Vaaditaanko uudelleenkäynnistys?

Kyllä, taustatulostuspalvelu on käynnistettävä uudelleen tai käynnistettävä uudelleen.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.