Yhteenveto

6. heinäkuuta 2021 julkaistut ja sen jälkeen julkaistut suojauspäivitykset sisältävät CVE-2021-34527 -versioissa (spoolsv.exeCVE-2021-34527)julkaistut suojauspäivitykset, jotka on julkaistu Windows 6. heinäkuuta 2021 jälkeen. Heinäkuun 2021 ja uudempien päivitysten asentamisen jälkeen muut kuin järjestelmänvalvojat, kuten delegoidut järjestelmänvalvojaryhmät, kuten tulostinoperaattorit, eivät voi asentaa allekirjoitettuja ja allekirjoittamattomia tulostinohjaimia tulostuspalvelimeen. Oletusarvoisesti vain järjestelmänvalvojat voivat asentaa sekä allekirjoitetut että allekirjoittamattomat tulostinohjaimet tulostuspalvelimeen. 

Huomautus Ennen heinäkuun 2021 out-of-band- ja sitä uudempia Windows päivityksiä, jotka sisältävät CVE-2021-34527-suojausta, tulostinoperaattorien käyttöoikeusryhmä voi asentaa sekä allekirjoitettuja että allekirjoittamattomia tulostinohjaimia tulostinpalvelimeen. Heinäkuun 2021 out-of-band-päivityksestä alkaen järjestelmänvalvojan tunnistetiedot tarvitaan allekirjoittamattomien tulostinohjainten asentamiseen tulostinpalvelimeen. Vaihtoehtoisesti voit ohittaa kaikki Piste- ja Tulostusrajoitukset-ryhmäkäytäntöasetukset ja varmistaa, että vain järjestelmänvalvojat voivat asentaa tulostinohjaimet tulostuspalvelimeen määrittämällä RestrictDriverInstallationToAdministrators-rekisteriarvon arvoksi 1.

Suosittelemme, että asennat välittömästi uusimmat Windows-päivitykset, jotka on julkaistu 6. heinäkuuta 2021 tai sen jälkeen kaikissa tuetuissa Windows-asiakas- ja palvelinkäyttöjärjestelmissä alkaen laitteista, joissa on tällä hetkellä taustatulostuspalvelu. Määritä seuraavaksi Näytä varoitus- ja korkeusrajoitusryhmäkäytäntö -asetukseksi "Asennettaessa uuden yhteyden ohjaimia" ja "Kun päivität olemassa olevan yhteyden ohjaimia".

Ratkaisu

  1. Asenna heinäkuun 2021 out-of-band-päivitykset tai uudemmat päivitykset.

  2. Tarkista, ovatko seuraavat ehdot tosia:

  • Rekisteri Asetukset: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) tai ei ole määritetty (oletusasetus)

    • UpdatePromptSettings = 0 (DWORD) tai ei ole määritetty (oletusasetus)

  • Ryhmäkäytäntö: Et ole määrittänyt Piste- ja Tulostusrajoitukset-ryhmäkäytäntöä.

Jos molemmat ehdot täyttyvät, et ole alttiina CVE-2021-34527-käyttäjille eikä lisätoimia tarvita. Jos jompikumpi ehto ei toteudu, olet haavoittuvainen. Muuta Point and Print Restrictions Group Policy (Piste- ja tulostusrajoitukset-ryhmäkäytäntö) turvalliseksi määritykseksi alla olevia ohjeita noudattamalla.

  1. Avaa ryhmäkäytäntöeditorityökalu ja valitse Tietokonemääritys >hallintamallit > tulostimet. 

  2. Määritä Piste- ja Tulostusrajoitukset-ryhmäkäytäntöasetus seuraavasti:

    1. Määritä Piste- ja Tulostusrajoitukset-ryhmäkäytännön asetukseksi Käytössä.

    2. "Asennettaessa uuden yhteyden ohjaimia": "Näytä varoitus ja korkeus -kehote".

    3. "Päivitettäessä olemassa olevan yhteyden ohjaimia": "Näytä varoitus- ja korkeuskäyräkehote".

vaihtoehtoinen teksti

Tärkeää On erittäin suositeltavaa, että käytät tätä käytäntöä kaikissa koneissa, joissa on taustatulostuspalvelu.

Uudelleenkäynnistysvaatimukset: Tämä käytäntömuutos ei edellytä laitteen tai taustatulostuspalvelun uudelleenkäynnistystä näiden asetusten käytön jälkeen. 

3. Varmista seuraavien rekisteriavainten avulla, että ryhmäkäytäntöä on käytetty oikein:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Varoitus Jos määrität nämä arvot ei-nolla-arvoiksi, CVE-2021-34527-päivitys on haavoittuvainen laitteissa, joihin olet asentanut CVE-2021-34527-päivityksen.

Huomautus Näiden asetusten määrittäminen ei poista piste- ja tulostustoimintoa käytöstä.

4. [Suositus] Ohita piste- ja tulostusrajoitukset, jotta vain järjestelmänvalvojat voivat asentaa tulostinpalvelimiin tulostinohjaimia. Tämä tehdään käyttämällä rekisteriavainta RestrictDriverInstallationToAdministrators. 6. heinäkuuta 2021 julkaistujen päivitysten oletusasetus on 0 (poistettu käytöstä) 10. elokuuta 2021 julkaistuihin päivityksiin asti.  10. elokuuta 2021 julkaistujen tai uudempien päivitysten oletusarvo on 1 (käytössä).  Lisätietoja RestrictDriverInstallationToAdministrator-asetusten ja muiden tulostamiseen liittyvien suositusten asentamisesta on artikkelissa KB5005652 – Uuden pisteen ja tulostuksen oletusohjaimen asennuksen hallinta (CVE-2021-34481)

Lisätietoja

Vaikuttavatko CVE-2021-34527-korjaukset oletuspiste- ja tulostusohjaimen asennusskenaarioon asiakaslaitteessa, joka muodostaa yhteyden jaettuun verkkotulostimeen ja asentaa tulostinohjaimen ja asentaa sen?

Ei, CVE-2021-34527-korjaukset eivät vaikuta suoraan jaetun verkkotulostimen tulostinohjaimen yhteyttä ja asennusta yhdistävässä asiakaslaitteessa olevaan oletuspiste- ja tulostinohjaimen asennusskenaarioon. Tässä tapauksessa asiakaslaite muodostaa yhteyden tulostuspalvelimeen ja lataa ja asentaa ohjaimet luotetusta palvelimesta. Tämä skenaario eroaa haavoittuvasta skenaariosta, jossa hyökkäykset yrittävät asentaa haittaohjaimen itse tulostuspalvelimeen paikallisesti tai etäyhteyden kautta.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.