Résumé
Une vulnérabilité de contournement de sécurité existe dans la façon dont la liaison d’appel de procédure à distance (RPC) de l’imprimante gère l’authentification de l’interface Winspool distante. La mise à jour Windows s’attaque à cette vulnérabilité en augmentant le niveau d’authentification RPC et en introduisant une nouvelle stratégie ainsi qu’une nouvelle clé de Registre pour permettre aux clients d’activer ou de désactiver le mode de mise en conformité côté serveur afin d’augmenter le niveau d’authentification.
Pour en savoir plus sur cette vulnérabilité, consultez l’avis CVE-2021-1678 | Vulnérabilité d’usurpation d’identité dans le spouleur d’impression Windows.
Procédure à suivre Pour protéger votre environnement et empêcher les pannes, vous devez suivre la procédure ci-dessous :
|
Calendrier des mises à jour
Ces mises à jour Windows seront publiées en deux phases :
-
La phase de déploiement initial, prévue pour les mises à jour Windows publiées le 12 janvier 2021 ou ultérieurement.
-
La phase de mise en conformité pour les mises à jour Windows publiées à une date ultérieure.
12 janvier 2021 : phase de déploiement initial
La phase de déploiement initiale démarre avec la mise à jour Windows publiée le 12 janvier 2021 en offrant aux clients du serveur la possibilité d’activer eux-mêmes le niveau de sécurité supérieur, en fonction de la préparation de leur environnement.
Cette version :
-
Résout les problèmes de vulnérabilité de CVE-2021-1678 (en mode de déploiement défini sur Désactivé par défaut).
-
Ajoute un support pour la valeur du Registre RpcAuthnLevelPrivacyEnabled afin d’activer l’augmentation du niveau d’autorisation pour la protection d’imprimante iRemoteWinspool.
L’atténuation consiste en l’installation des mises à jour Windows sur tous les périphériques au niveau du serveur et du client.
14 septembre 2021 : Phase de mise en conformité
La publication passe en phase de mise en conformité le 14 septembre 2021. La phase de mise en conformité applique les modifications permettant de résoudre les problèmes de CVE-2021-1678 en augmentant le niveau d’autorisation sans avoir à définir la valeur du Registre.
Instructions d’installation
Avant d’installer cette mise à jour
Vous devez avoir installé les mises à jour obligatoires suivantes avant d’appliquer cette mise à jour. Si vous utilisez Windows Update, ces mises à jour obligatoires vous seront proposées automatiquement, si nécessaire.
-
Vous devez avoir installé la mise à jour SHA-2 (KB4474419) du 23 septembre 2019 ou une mise à jour SHA-2 ultérieure, puis redémarrer votre appareil avant d’appliquer cette mise à jour. Pour plus d’informations sur les mises à jour SHA-2, consultez l’article Obligation de prise en charge de la signature du code SHA-2 2019 pour Windows et WSUS.
-
Pour Windows Server 2008 R2 SP1, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4490628) datée du 12 mars 2019. Une fois la mise à jour KB4490628 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.
-
Pour Windows Server 2008 SP2, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4493730) datée du 9 avril 2019. Une fois la mise à jour KB4493730 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.
-
Vous devez acheter la mise à jour de sécurité étendue (ESU) pour les versions locales de Windows Server 2008 SP2 ou de Windows Server 2008 R2 SP1 après la date de fin du support étendu fixée au 14 janvier 2020. Si vous avez acheté la mise à jour de sécurité étendue (ESU), vous devez suivre les procédures décrites dans l’article KB4522133 pour continuer à recevoir les mises à jour de sécurité. Pour plus d’informations sur la mise à jour ESU et sur les éditions prises en charge, consultez l’article KB4497181.
Important Vous devez redémarrer votre appareil après avoir installé ces mises à jour obligatoires.
Installation de la mise à jour
Pour corriger la faille de sécurité, installez les mises à jour Windows et activez le mode de mise en conformité en procédant comme suit :
-
Déployez la mise à jour du 12 janvier 2021 sur tous les périphériques clients et serveurs.
-
Après la mise à jour de tous les appareils clients et serveurs, activez une protection totale en définissant la valeur du Registre sur 1.
Étape 1 : Installer la mise à jour Windows
Installez la mise à jour Windows du 12 janvier 2021 ou une version ultérieure sur tous les périphériques clients et serveurs.
Produit Windows Server |
N° article |
Type de mise à jour |
Windows Server version 20H2 (installation Server Core) |
Mise à jour de sécurité |
|
Windows Server version 2004 (installation Server Core) |
Mise à jour de sécurité |
|
Windows Server version 1909 (installation Server Core) |
Mise à jour de sécurité |
|
Windows Server version 1903 (installation Server Core) |
Mise à jour de sécurité |
|
Windows Server 2019 (installation Server Core) |
Mise à jour de sécurité |
|
Windows Server 2019 |
Mise à jour de sécurité |
|
Windows Server 2016 (installation Server Core) |
Mise à jour de sécurité |
|
Windows Server 2016 |
Mise à jour de sécurité |
|
Windows Server 2012 R2 (installation Server Core) |
Correctif cumulatif mensuel |
|
Sécurité uniquement |
||
Windows Server 2012 R2 |
Correctif cumulatif mensuel |
|
Sécurité uniquement |
||
Windows Server 2012 (installation Server Core) |
Correctif cumulatif mensuel |
|
Sécurité uniquement |
||
Windows Server 2012 |
Correctif cumulatif mensuel |
|
Sécurité uniquement |
||
Windows Server 2008 R2 Service Pack 1 |
Correctif cumulatif mensuel |
|
Sécurité uniquement |
||
Windows Server 2008 Service Pack 2 |
Correctif cumulatif mensuel |
|
Sécurité uniquement |
Étape 2 : Activer le mode de mise en conformité
Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.
Après la mise à jour de tous les appareils clients et serveurs, vous pouvez activer une protection totale en déployant le mode de mise en conformité. Pour cela, procédez comme suit :
-
Cliquez avec le bouton droit sur Démarrer, sélectionnez Exécuter, tapez cmd dans la zone Exécuter, puis appuyez sur Ctrl+Maj+Entrée.
-
À l’invite de commandes administrateur, tapez regedit.exe, puis appuyez sur Entrée.
-
Trouvez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Cliquez avec le bouton droit sur Imprimer, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).
-
Tapez RpcAuthnLevelPrivacyEnabled, puis appuyez sur Entrée.
-
Cliquez avec le bouton droit sur RpcAuthnLevelPrivacyEnabled, puis cliquez sur Modifier.
-
Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
Remarque Cette mise à jour introduit la prise en charge de la valeur du Registre RpcAuthnLevelPrivacyEnabled afin d’augmenter le niveau d’autorisation d’imprimante IRemoteWinspool.
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Valeur |
RpcAuthnLevelPrivacyEnabled |
Type de données |
REG_DWORD |
Données |
1 : cette valeur active le mode de mise en conformité. Avant d’activer le mode de mise en conformité côté serveur, assurez-vous que la mise à jour Windows publiée le 12 janvier 2021 ou une version ultérieure a bien été installée sur tous les périphériques clients. Ce correctif augmente le niveau d’autorisation de l’interface RPC d’imprimante iRemoteWinspool. Il ajoute également une nouvelle stratégie et une nouvelle valeur de Registre côté serveur pour contraindre le client à utiliser le nouveau niveau d’autorisation en cas d’application du mode de mise en conformité. Si la mise à jour de sécurité du 12 janvier 2021 ou une mise à jour Windows ultérieure n’a pas été installée sur l’appareil client, l’expérience d’impression est interrompue lors de la connexion du client au serveur via l’interface IRemoteWinspool. 0 : cette valeur n’est pas recommandée. Désactivation de l’augmentation du niveau d’authentification d’imprimante IRemoteWinspool. Vos appareils ne sont alors pas protégés. |
Valeur par défaut |
Comportement par défaut après l’installation des mises à jour si la clé de Registre n’est pas définie :
|
Redémarrage nécessaire ? |
Oui, un redémarrage de l’appareil ou du service Spouleur est requis. |