Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

סיכום

קיימת פגיעות של עקיפת אבטחה באופן שאיגוד מדפסת לפרוצדורה מרוחקת (RPC) מטפל באימות עבור ממשק Winspool המרוחק. העדכון Windows מטפל בפגיעות זו על-ידי הגדלת רמת האימות של RPC והגדלת מדיניות חדשה ומפתח רישום כדי לאפשר ללקוחות להפוך מצב אכיפה ללא זמין או להפוך אותו לזמין בצד השרת כדי להגדיל את רמת האימות.   

כדי ללמוד עוד אודות הפגיעות, ראה CVE-2021-1678 | Windows פגיעות של הדפסה ברקע של Spoofing.

הפעולה

כדי להגן על הסביבה שלך ולמנוע את ההסתייגות, עליך לבצע את הפעולות הבאות:

  1. עדכן את כל התקני הלקוח והשרת על-ידי התקנת העדכון Windows 12 בינואר 2021 או עדכון Windows מאוחר יותר. שים לב שהתקנת העדכון Windows אינה מקלה באופן מלא על פגיעות האבטחה וייתכן שהיא משפיעה על הגדרת ההדפסה הנוכחית שלך. עליך לבצע את שלב 2.

  2. הפוך מצב אכיפה לזמין בשרת ההדפסה. מצב אכיפה יהיה זמין בכל מכשירי Windows בתאריך עתידי כלשהו.

תזמון עדכונים

עדכונים Windows אלה יופצה בשני שלבים:

  • שלב הפריסה הראשוני עבור Windows שהופצה ב- 12 בינואר 2021 או לאחריה.

  • שלב האכיפה עבור עדכוני Windows שהופצה בתאריך עתידי כלשהו.

12 בינואר 2021: שלב הפריסה הראשוני

שלב הפריסה הראשוני מתחיל בעדכון Windows שפורסם ב- 12 בינואר 2021 על-ידי מתן היכולת של לקוחות שרת להפוך רמת אבטחה מוגברת זו לזמינה על בסיס מוכנות הסביבה שלהם.

מהדורה זו:

  • כתובות CVE-2021-1678 (במצב פריסה מוגדר למצב כבוי כברירת מחדל).

  • מוסיף תמיכה עבור ערך הרישום RpcAuthnLevelPrivacyEnabled כדי להפוך את רמת ההרשאה לזמינה עבור הגנת IRemoteWinspool של המדפסת.

הפחתת הסיכון מורכבת מהתקנת עדכוני Windows בכל המכשירים ברמת הלקוח ובמכשירים ברמת השרת.

14 בספטמבר 2021: שלב האכיפה

מעברי ההפצה לשלב האכיפה ב- 14 בספטמבר 2021. שלב האכיפה אוכף את השינויים כדי לטפל ב- CVE-2021-1678 על-ידי הגדלת רמת ההרשאה מבלי להגדיר את ערך הרישום.

הדרכה בנושא התקנה

לפני התקנת עדכון זה

עליך להתקין את העדכונים הדרושים הבאים לפני החלת עדכון זה. אם אתה משתמש ב Windows Update, עדכונים נדרשים אלה יוצעו באופן אוטומטי כנדרש.

  • דרוש לך עדכון SHA-2 (KB4474419) מתאריך 23 בספטמבר 2019 או עדכון SHA-2 מאוחר יותר ולאחר מכן הפעל מחדש את המכשיר לפני החלת עדכון זה. לקבלת מידע נוסף אודות עדכוני SHA-2, ראה דרישת תמיכה בנושא חתימת קוד SHA-2 2019 עבור Windows ו- WSUS.

  • עבור Windows Server 2008 R2 SP1, עליך להתקין את עדכון ערימת מתן השירות (SSU) (KB4490628) מתאריך 12 במרץ 2019. לאחר התקנת עדכון KB4490628, מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות עדכון SSU האחרון, ראה ADV990001 | עדכוני ערימת מתן השירות האחרונים.

  • עבור Windows Server 2008 SP2, עליך להתקין את עדכון ערימת מתן השירות (SSU) (KB4493730) מתאריך 9 באפריל 2019. לאחר התקנת עדכון KB4493730, מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות העדכונים האחרונים של SSU, ראה ADV990001 | עדכוני ערימת מתן השירות האחרונים.

  • הלקוחות נדרשים לרכוש את עדכון האבטחה המורחב (ESU) עבור גירסאות מקומיות של Windows Server 2008 SP2 או Windows Server 2008 R2 SP1 לאחר התמיכה המורחבת הסתיימה ב- 14 בינואר 2020. לקוחות שרכשו את ESU חייבים לבצע את ההליכים ב- KB4522133 כדי להמשיך לקבל עדכוני אבטחה. לקבלת מידע נוסף אודות ESU ועל המהדורות הנתמכות, ראה KB4497181.

חשוב עליך להפעיל מחדש את המכשיר לאחר התקנת עדכונים נדרשים אלה.

התקנת העדכון

כדי לפתור את פגיעות האבטחה, התקן את עדכוני Windows והאפשר מצב אכיפה על-ידי ביצוע השלבים הבאים:

  1. פרוס את העדכון ל- 12 בינואר 2021 לכל מכשירי הלקוח והשרת.

  2. לאחר עדכון כל התקני הלקוח והשרת, ניתן להפוך הגנה מלאה לזמינה על-ידי הגדרת ערך הרישום ל- 1.

שלב 1: התקנת Windows העדכון

התקן את העדכון Windows 12 בינואר 2021 Windows לכל מכשירי הלקוח והשרת.

Windows מוצר שרת

KB #

סוג העדכון

Windows Server, גירסה 20H2 (התקנת ליבה של שרת)

4598242

עדכון אבטחה

Windows Server, גירסה 2004 (התקנת Server Core)

4598242

עדכון אבטחה

Windows Server, גירסה 1909 (התקנת Server Core)

4598229

עדכון אבטחה

Windows Server, גירסה 1903 (התקנת Server Core)

4598229

עדכון אבטחה

Windows Server 2019 (התקנת Server Core)

4598230

עדכון אבטחה

Windows Server 2019

4598230

עדכון אבטחה

Windows Server 2016 (התקנת Server Core)

4598243

עדכון אבטחה

Windows Server 2016

4598243

עדכון אבטחה

Windows Server 2012 R2 (התקנת Server Core)

4598285

אוסף עדכונים חודשי

4598275

אבטחה בלבד

Windows Server 2012 R2

4598285

אוסף עדכונים חודשי

4598275

אבטחה בלבד

Windows Server 2012 (התקנת Server Core)

4598278

אוסף עדכונים חודשי

4598297

אבטחה בלבד

Windows Server 2012

4598278

אוסף עדכונים חודשי

4598297

אבטחה בלבד

Windows Server 2008 R2 Service Pack 1

4598279

אוסף עדכונים חודשי

4598289

אבטחה בלבד

Windows Server 2008 Service Pack 2

4598288

אוסף עדכונים חודשי

4598287

אבטחה בלבד

שלב 2: הפיכת מצב אכיפה לזמין

חשוב מקטע זה, שיטה או משימה אלה מכילים שלבים המפורטים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד על ביצוע שלבים אלה בתשומת לב מרובה. לקבלת הגנה נוספת, גבה את הרישום לפני שינויו. לאחר מכן, תוכל לשחזר את הרישום אם תתרחש בעיה. לקבלת מידע נוסף אודות גיבוי ושחזור של הרישום, ראה כיצד לבצע גיבוי ושחזור של הרישום ב- Windows.

לאחר עדכון כל התקני הלקוח והשרת, באפשרותך להפוך הגנה מלאה לזמינה על-ידי פריסת מצב אכיפה. לשם כך, בצע את השלבים הבאים:

  1. לחץ באמצעות לחצן העכבר הימניעל התחל , לחץעל הפעלה , הקלד cmdבתיבה הפעלה ולאחר מכן הקש Ctrl+Shift+Enter.

  2. בשורת הפקודה מנהל מערכת, הקלד regedit ולאחר מכן הקש Enter.

  3. אתר את מפתח המשנה הבא של הרישום:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. לחץ באמצעות לחצן העכבר הימניעל הדפס , בחר חדשולאחר מכן לחץ על ערך DWORD VALUE (32 סיביות).

  2. הקלד RpcAuthnLevelPrivacyEnabled ולאחר מכן הקש Enter.

  3. לחץ באמצעות לחצן העכבר הימני על RpcAuthnLevelPrivacyEnabled ולאחר מכן לחץ על שנה.

  4. בתיבה נתוני ערך, הקלד 1 ולאחר מכן לחץ על אישור.

הערה עדכון זה מציג תמיכה עבור ערך הרישום RpcAuthnLevelPrivacyEnabled כדי להגדיל את רמת ההרשאה עבור המדפסת IRemoteWinspool.

מפתח משנה של הרישום

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

ערך

RpcAuthnLevelPrivacyEnabled

סוג נתונים

REG_DWORD

נתונים

1: הפעלת מצב אכיפה. לפני הפיכת מצב אכיפה לזמין עבור צד השרת, ודא שכל מכשירי הלקוח התקנו את עדכון Windows שפורסם ב- 12 בינואר 2021 או בעדכון Windows מאוחר יותר. תיקון זה מגדיל את רמת ההרשאה עבור ממשק RPC של IRemoteWinspool של המדפסת ומוסיף מדיניות חדשה וערך רישום בצד השרת כדי לאכוף את הלקוח כדי להשתמש ברמת ההרשאה החדשה אם מצב אכיפה מוחל. אם עדכון האבטחה של התקן הלקוח אינו כולל את עדכון האבטחה של 12 בינואר 2021 או עדכון Windows מאוחר יותר, חוויית ההדפסה תנותק כאשר הלקוח מתחבר לשרת באמצעות ממשק IRemoteWinspool.

0: לא מומלץ. הפיכת רמת האימות של מדפסת IRemoteWinspoolללא זמינה, והמכשירים שלך אינם מוגנים.

ברירת מחדל

אופן פעולה המהווה ברירת מחדל לאחר התקנת עדכונים כאשר מפתח הרישום אינו מוגדר:

  • העדכונים ב- 12 בינואר 2021 ואילך הם בעלי אופן הפעולה המוגדר כברירת מחדל של 0 (אפס) כאשר הם אינם מוגדרים.

  • העדכונים ב- 14 בספטמבר 2021 ואילך הם בעלי אופן הפעולה המוגדר כברירת מחדל של 1 (אחד) כאשר הם אינם מוגדרים.

האם נדרשת הפעלה מחדש?

כן, נדרשת הפעלה מחדש של מכשיר או הפעלה מחדש של שירות מנגנון ההדפסה ברקע.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.