סיכום
קיימת פגיעות של עקיפת אבטחה באופן שאיגוד מדפסת לפרוצדורה מרוחקת (RPC) מטפל באימות עבור ממשק Winspool המרוחק. העדכון Windows מטפל בפגיעות זו על-ידי הגדלת רמת האימות של RPC והגדלת מדיניות חדשה ומפתח רישום כדי לאפשר ללקוחות להפוך מצב אכיפה ללא זמין או להפוך אותו לזמין בצד השרת כדי להגדיל את רמת האימות.
כדי ללמוד עוד אודות הפגיעות, ראה CVE-2021-1678 | Windows פגיעות של הדפסה ברקע של Spoofing.
הפעולה כדי להגן על הסביבה שלך ולמנוע את ההסתייגות, עליך לבצע את הפעולות הבאות:
|
תזמון עדכונים
עדכונים Windows אלה יופצה בשני שלבים:
-
שלב הפריסה הראשוני עבור Windows שהופצה ב- 12 בינואר 2021 או לאחריה.
-
שלב האכיפה עבור עדכוני Windows שהופצה בתאריך עתידי כלשהו.
12 בינואר 2021: שלב הפריסה הראשוני
שלב הפריסה הראשוני מתחיל בעדכון Windows שפורסם ב- 12 בינואר 2021 על-ידי מתן היכולת של לקוחות שרת להפוך רמת אבטחה מוגברת זו לזמינה על בסיס מוכנות הסביבה שלהם.
מהדורה זו:
-
כתובות CVE-2021-1678 (במצב פריסה מוגדר למצב כבוי כברירת מחדל).
-
מוסיף תמיכה עבור ערך הרישום RpcAuthnLevelPrivacyEnabled כדי להפוך את רמת ההרשאה לזמינה עבור הגנת IRemoteWinspool של המדפסת.
הפחתת הסיכון מורכבת מהתקנת עדכוני Windows בכל המכשירים ברמת הלקוח ובמכשירים ברמת השרת.
14 בספטמבר 2021: שלב האכיפה
מעברי ההפצה לשלב האכיפה ב- 14 בספטמבר 2021. שלב האכיפה אוכף את השינויים כדי לטפל ב- CVE-2021-1678 על-ידי הגדלת רמת ההרשאה מבלי להגדיר את ערך הרישום.
הדרכה בנושא התקנה
לפני התקנת עדכון זה
עליך להתקין את העדכונים הדרושים הבאים לפני החלת עדכון זה. אם אתה משתמש ב Windows Update, עדכונים נדרשים אלה יוצעו באופן אוטומטי כנדרש.
-
דרוש לך עדכון SHA-2 (KB4474419) מתאריך 23 בספטמבר 2019 או עדכון SHA-2 מאוחר יותר ולאחר מכן הפעל מחדש את המכשיר לפני החלת עדכון זה. לקבלת מידע נוסף אודות עדכוני SHA-2, ראה דרישת תמיכה בנושא חתימת קוד SHA-2 2019 עבור Windows ו- WSUS.
-
עבור Windows Server 2008 R2 SP1, עליך להתקין את עדכון ערימת מתן השירות (SSU) (KB4490628) מתאריך 12 במרץ 2019. לאחר התקנת עדכון KB4490628, מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות עדכון SSU האחרון, ראה ADV990001 | עדכוני ערימת מתן השירות האחרונים.
-
עבור Windows Server 2008 SP2, עליך להתקין את עדכון ערימת מתן השירות (SSU) (KB4493730) מתאריך 9 באפריל 2019. לאחר התקנת עדכון KB4493730, מומלץ להתקין את העדכון האחרון של SSU. לקבלת מידע נוסף אודות העדכונים האחרונים של SSU, ראה ADV990001 | עדכוני ערימת מתן השירות האחרונים.
-
הלקוחות נדרשים לרכוש את עדכון האבטחה המורחב (ESU) עבור גירסאות מקומיות של Windows Server 2008 SP2 או Windows Server 2008 R2 SP1 לאחר התמיכה המורחבת הסתיימה ב- 14 בינואר 2020. לקוחות שרכשו את ESU חייבים לבצע את ההליכים ב- KB4522133 כדי להמשיך לקבל עדכוני אבטחה. לקבלת מידע נוסף אודות ESU ועל המהדורות הנתמכות, ראה KB4497181.
חשוב עליך להפעיל מחדש את המכשיר לאחר התקנת עדכונים נדרשים אלה.
התקנת העדכון
כדי לפתור את פגיעות האבטחה, התקן את עדכוני Windows והאפשר מצב אכיפה על-ידי ביצוע השלבים הבאים:
-
פרוס את העדכון ל- 12 בינואר 2021 לכל מכשירי הלקוח והשרת.
-
לאחר עדכון כל התקני הלקוח והשרת, ניתן להפוך הגנה מלאה לזמינה על-ידי הגדרת ערך הרישום ל- 1.
שלב 1: התקנת Windows העדכון
התקן את העדכון Windows 12 בינואר 2021 Windows לכל מכשירי הלקוח והשרת.
Windows מוצר שרת |
KB # |
סוג העדכון |
Windows Server, גירסה 20H2 (התקנת ליבה של שרת) |
עדכון אבטחה |
|
Windows Server, גירסה 2004 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server, גירסה 1909 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server, גירסה 1903 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server 2019 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server 2019 |
עדכון אבטחה |
|
Windows Server 2016 (התקנת Server Core) |
עדכון אבטחה |
|
Windows Server 2016 |
עדכון אבטחה |
|
Windows Server 2012 R2 (התקנת Server Core) |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 R2 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 (התקנת Server Core) |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2012 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2008 R2 Service Pack 1 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
||
Windows Server 2008 Service Pack 2 |
אוסף עדכונים חודשי |
|
אבטחה בלבד |
שלב 2: הפיכת מצב אכיפה לזמין
חשוב מקטע זה, שיטה או משימה אלה מכילים שלבים המפורטים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד על ביצוע שלבים אלה בתשומת לב מרובה. לקבלת הגנה נוספת, גבה את הרישום לפני שינויו. לאחר מכן, תוכל לשחזר את הרישום אם תתרחש בעיה. לקבלת מידע נוסף אודות גיבוי ושחזור של הרישום, ראה כיצד לבצע גיבוי ושחזור של הרישום ב- Windows.
לאחר עדכון כל התקני הלקוח והשרת, באפשרותך להפוך הגנה מלאה לזמינה על-ידי פריסת מצב אכיפה. לשם כך, בצע את השלבים הבאים:
-
לחץ באמצעות לחצן העכבר הימניעל התחל , לחץעל הפעלה , הקלד cmdבתיבה הפעלה ולאחר מכן הקש Ctrl+Shift+Enter.
-
בשורת הפקודה מנהל מערכת, הקלד regedit ולאחר מכן הקש Enter.
-
אתר את מפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
לחץ באמצעות לחצן העכבר הימניעל הדפס , בחר חדשולאחר מכן לחץ על ערך DWORD VALUE (32 סיביות).
-
הקלד RpcAuthnLevelPrivacyEnabled ולאחר מכן הקש Enter.
-
לחץ באמצעות לחצן העכבר הימני על RpcAuthnLevelPrivacyEnabled ולאחר מכן לחץ על שנה.
-
בתיבה נתוני ערך, הקלד 1 ולאחר מכן לחץ על אישור.
הערה עדכון זה מציג תמיכה עבור ערך הרישום RpcAuthnLevelPrivacyEnabled כדי להגדיל את רמת ההרשאה עבור המדפסת IRemoteWinspool.
מפתח משנה של הרישום |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
ערך |
RpcAuthnLevelPrivacyEnabled |
סוג נתונים |
REG_DWORD |
נתונים |
1: הפעלת מצב אכיפה. לפני הפיכת מצב אכיפה לזמין עבור צד השרת, ודא שכל מכשירי הלקוח התקנו את עדכון Windows שפורסם ב- 12 בינואר 2021 או בעדכון Windows מאוחר יותר. תיקון זה מגדיל את רמת ההרשאה עבור ממשק RPC של IRemoteWinspool של המדפסת ומוסיף מדיניות חדשה וערך רישום בצד השרת כדי לאכוף את הלקוח כדי להשתמש ברמת ההרשאה החדשה אם מצב אכיפה מוחל. אם עדכון האבטחה של התקן הלקוח אינו כולל את עדכון האבטחה של 12 בינואר 2021 או עדכון Windows מאוחר יותר, חוויית ההדפסה תנותק כאשר הלקוח מתחבר לשרת באמצעות ממשק IRemoteWinspool. 0: לא מומלץ. הפיכת רמת האימות של מדפסת IRemoteWinspoolללא זמינה, והמכשירים שלך אינם מוגנים. |
ברירת מחדל |
אופן פעולה המהווה ברירת מחדל לאחר התקנת עדכונים כאשר מפתח הרישום אינו מוגדר:
|
האם נדרשת הפעלה מחדש? |
כן, נדרשת הפעלה מחדש של מכשיר או הפעלה מחדש של שירות מנגנון ההדפסה ברקע. |