Összefoglalás
A 2021. július 6-án és után kiadott biztonsági frissítések védelmet tartalmaznak a CVE-2021-34527 CVE-2021-34527-bendokumentált Windowsspoolsv.exePrint Spooler szolgáltatásban. A 2021. júliusi és újabb frissítések telepítése után a rendszergazdák (beleértve a delegált rendszergazdai csoportokat, például a nyomtatószolgáltatókat) nem tudnak aláírt és aláíratlan nyomtató-illesztőprogramokat telepíteni a nyomtatókiszolgálóra. Alapértelmezés szerint csak a rendszergazdák telepíthet aláírt és alá nem írt nyomtató-illesztőprogramokat a nyomtatókiszolgálóra.
Megjegyzés A 2021. júliusi sávon túli és későbbi Windows-frissítések telepítése előtt, amelyek védelmet tartalmaznak a CVE-2021-34527-hez, a nyomtatószolgáltatók biztonsági csoportja telepítheti az aláírt és az aláíratlan nyomtató-illesztőprogramokat is a nyomtatókiszolgálóra. A 2021. júliusi frissítéstől kezdve rendszergazdai hitelesítő adatokra lesz szükség az aláírt és aláíratlan nyomtató-illesztőprogramok telepítéséhez a nyomtatókiszolgálón. Másik lehetőségként, ha felül szeretné írni a Pont- és nyomtatási korlátozások csoportházirend-beállításait, és csak a rendszergazdák telepítenének nyomtató-illesztőprogramokat a nyomtatókiszolgálóra, állítsa a RestrictDriverInstallationToAdministrators beállítás értékét 1-re.
Azt javasoljuk, hogy 2021. július 6-án vagy azt követően azonnal telepítse a Windows ügyfél- és kiszolgálói operációs rendszereken 2021. július 6-án vagy azt követően kiadott legújabb Windows-frissítéseket, kezdve a nyomtatási várólista szolgáltatást jelenleg üzemeltető eszközökkel. Ezután állítsa "Illesztőprogramok új kapcsolathoz való telepítésekor" és a "Meglévő kapcsolat illesztőprogramjainak frissítésekor" beállítást a Point and Print Restrictions csoportházirendben a "Figyelmeztetés és magassági kérdés megjelenítése" beállításra.
Megoldás
-
Telepítse a 2021. júliusi nem sávos vagy újabb frissítéseket.
-
Ellenőrizze, hogy teljesülnek-e az alábbi feltételek:
-
Beállításjegyzék Gépház: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoEationOnInstall = 0 (DWORD) vagy nincs definiálva (alapértelmezett beállítás)
-
UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
-
-
Csoportházirend: Nem konfigurálta a Pont- és nyomtatási korlátozások csoportházirendet.
Ha mindkét feltétel teljesül, akkor nem védtelen a CVE-2021-34527 értékkel, és nincs további teendő. Ha bármelyik feltétel nem teljesül, ön védtelen lesz. Az alábbi lépéseket követve biztonságos konfigurációra módosíthatja a Point and Print Restrictions csoportházirendet.
-
Nyissa meg a csoportházirend-szerkesztő eszközt, és nyissa meg a Számítógép konfigurációja > felügyeleti sablonokat > nyomtatókat.
-
Állítsa be a Pont- és nyomtatási korlátozások csoportházirend-beállítást az alábbiak szerint:
-
Állítsa a Pont- és nyomtatási korlátozások csoportházirend-beállítást "Engedélyezve" beállításra.
-
"Illesztőprogramok új kapcsolathoz való telepítésekor": "Figyelmeztetés és magassági kérdés megjelenítése"
-
"Illesztőprogramok frissítésekor meglévő kapcsolathoz: "Figyelmeztetés és magassági kérdés megjelenítése"
-
Fontos Kifejezetten ajánljuk, hogy alkalmazza ezt a házirendet minden olyan gépre, amely a nyomtatási várólista szolgáltatást fogja kiszolgálóként.
Újraindítási követelmények: A házirend módosításához nincs szükség az eszköz vagy a nyomtatásisor-kezelő szolgáltatás újraindítására a beállítások megadása után.
3. Az alábbi beállításkulcsokkal erősítse meg a csoportházirend helyes alkalmazását:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoEationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Figyelmeztetés Ezek nem nulla értékekre való beállításával védtelenek azok az eszközök, amelyekre telepítette a CVE-2021-34527 frissítést.
Megjegyzés A beállítások konfigurálásával nem tiltja le a Pont és nyomtatás funkciót.
4. [Ajánlott] A pont- és nyomtatási korlátozások felülbírálása, hogy csak a rendszergazdák telepít tudjanak nyomtató-illesztőprogramokat a nyomtatókiszolgálókra. Ez a RestrictDriverInstallationToAdministrators beállításkulcs használatával történik. A 2021. július 6-án vagy később kiadott frissítések alapértelmezés szerint 0 (letiltva) vannak egészen a 2021. augusztus 10-ig kiadott frissítésekig. A 2021. augusztus 10-én vagy újabban kiadott frissítések alapértelmezett beállítása 1 (engedélyezve van). A RestrictDriverInstallationToAdministrators és a nyomtatáshoz kapcsolódó egyéb javaslatok beállításával kapcsolatos további információkért lásd: KB5005652 – Az új pont és a nyomtatás alapértelmezett telepítési viselkedése (CVE-2021-34481)
További információ
Hatással vannak a CVE-2021-34527-es javítások a Point and Print illesztőprogram alapértelmezett telepítési helyzetére egy olyan ügyféleszköz esetén, amely egy megosztott hálózati nyomtatóhoz csatlakozik, és telepít egy nyomtatóillesztőt?
Nem, a CVE-2021-34527-es hibajavítások nem érintik közvetlenül a Point and Print driver alapértelmezett telepítési forgatókönyvét egy olyan ügyféleszköz esetén, amely egy megosztott hálózati nyomtatóhoz csatlakozik, és telepít egy nyomtatóillesztőt. Ebben az esetben egy ügyféleszköz csatlakozik egy nyomtatási kiszolgálóhoz, és letölti és telepíti az erről a megbízható kiszolgálóról származó illesztőprogramokat. Ez a helyzet eltér attól a védtelen helyzettől, amikor egy támadó kártékony illesztőprogramot próbál telepíteni magának a nyomtatókiszolgálónak, akár helyileg, akár távolról.