Ringkasan
Terdapat kerentanan bypass keamanan pada cara Pengikatan Printer Remote Procedure Call (RPC) menangani autentikasi untuk antarmuka Desktop Desktop jarak jauh. Pembaruan Windows mengatasi kerentanan ini dengan meningkatkan tingkat autentikasi RPC dan memperkenalkan kebijakan baru dan kunci registri untuk memungkinkan pelanggan menonaktifkan atau mengaktifkan mode Penerapan di sisi server untuk meningkatkan tingkat autentikasi.
Untuk mempelajari selengkapnya tentang kerentanan, lihat saluran IDE-2021-1678 | Windows Print Spooler Spoofing Vulnerability.
|
Mengambil Tindakan Untuk melindungi lingkungan Anda dan mencegah terjadinya pemadaman, Anda harus melakukan hal berikut:
|
Pengaturan waktu pembaruan
Pembaruan Windows akan dirilis dalam dua tahap:
-
Fase penyebaran awal untuk Windows yang dirilis pada atau setelah 12 Januari 2021.
-
Fase pemberlakuan untuk Windows pembaruan yang dirilis pada beberapa tanggal mendatang.
12 Januari 2021: Fase Penyebaran Awal
Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 12 Januari 2021 dengan menyediakan kemampuan bagi pelanggan server untuk mengaktifkan tingkat keamanan yang ditingkatkan sendiri berdasarkan kesiapan lingkungan mereka.
Rilis ini:
-
Alamat HYPERLINK-2021-1678 (dalam mode Penyebaran diatur ke Nonaktif secara default).
-
Menambahkan dukungan untuk nilai registri RpcAuthnLevelPrivacyEnabled untuk memungkinkan peningkatan tingkat otorisasi untuk proteksi klub IRemoteWinspool printer.
Mitigasi terdiri dari penginstalan pembaruan Windows di semua perangkat tingkat klien dan server.
14 September 2021: Fase Penerapan
Rilis akan transisi ke fase pemberlakuan pada 14 September 2021. Fase pemberlakuan memberlakukan perubahan untuk mengatasi DEFAULT-2021-1678 dengan meningkatkan tingkat otorisasi tanpa harus mengatur nilai registri.
Panduan instalasi
Sebelum menginstal pembaruan ini
Pembaruan berikut ini harus terinstal sebelum menerapkan pembaruan ini. Jika Anda menggunakan Windows Pembaruan, pembaruan yang diperlukan ini akan ditawarkan secara otomatis jika diperlukan.
-
Anda harus memiliki pembaruan SHA-2 (KB4474419) tanggal 23 September 2019 atau pembaruan SHA-2 yang lebih baru yang terinstal lalu hidupkan ulang perangkat Anda sebelum menerapkan pembaruan ini. Untuk informasi selengkapnya tentang pembaruan SHA-2, lihat Persyaratan Dukungan Penandatanganan Kode SHA-2 2019untuk Windows dan WSUS.
-
Untuk Windows Server 2008 R2 SP1, Anda harus menginstal pembaruan tumpukan pelayanan (SSU) (KB4490628) tanggal 12 Maret 2019. Setelah pembaruan KB4490628 diinstal, kami menyarankan agar Anda menginstal pembaruan SSU terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan Tumpukan Pelayanan Terbaru.
-
Untuk Windows Server 2008 SP2, Anda harus menginstal pembaruan tumpukan pelayanan (SSU) (KB4493730) tanggal 9 April 2019. Setelah pembaruan KB4493730 diinstal, kami menyarankan agar Anda menginstal pembaruan SSU terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan Tumpukan Pelayanan Terbaru.
-
Pelanggan harus membeli Pembaruan Keamanan Diperluas (ESU, Extended Security Update) untuk versi lokal Windows Server 2008 SP2 atau Windows Server 2008 R2 SP1 setelah dukungan tambahan berakhir pada 14 Januari 2020. Pelanggan yang telah membeli ESU harus mengikuti prosedur dalam KB4522133 untuk terus menerima pembaruan keamanan. Untuk informasi selengkapnya tentang ESU dan edisi mana yang didukung, lihat KB4497181.
Penting Anda harus menghidupkan ulang perangkat setelah menginstal pembaruan yang diperlukan ini.
Instal pembaruan
Untuk mengatasi kerentanan keamanan, instal pembaruan Windows dan aktifkan mode Penerapan dengan mengikuti langkah-langkah ini:
-
Sebarkan pembaruan 12 Januari 2021 ke semua perangkat klien dan server.
-
Setelah semua perangkat klien dan server diperbarui, proteksi penuh dapat diaktifkan dengan mengatur nilai registri ke 1.
Langkah 1: Instal Windows baru
Instal pembaruan 12 Januari 2021 Windows atau yang lebih Windows ke semua perangkat klien dan server.
|
Windows Produk server |
KB # |
Tipe pembaruan |
|
Windows Server, versi 20H2 (Instalasi Inti Server) |
Pembaruan Keamanan |
|
|
Windows Server, versi 2004 (instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server, versi 1909 (instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server, versi 1903 (instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server 2019 (penginstalan Server Core) |
Pembaruan Keamanan |
|
|
Windows Server 2019 |
Pembaruan Keamanan |
|
|
Windows Server 2016 (instalasi Server Core) |
Pembaruan Keamanan |
|
|
Windows Server 2016 |
Pembaruan Keamanan |
|
|
Windows Server 2012 R2 (Instalasi Server Core) |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2012 R2 |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2012 (instalasi Server Core) |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2012 |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2008 R2 Service Pack 1 |
Rollup Bulanan |
|
|
Keamanan Saja |
||
|
Windows Server 2008 Paket Layanan 2 |
Rollup Bulanan |
|
|
Keamanan Saja |
Langkah 2: Aktifkan mode Penerapan
Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius dapat terjadi jika Anda mengubah registri dengan tidak benar. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, lihat Cara mencadangkan dan memulihkan registri di Windows.
Setelah semua perangkat klien dan server diperbarui, Anda dapat mengaktifkan perlindungan penuh dengan menggunakan mode Penerapan. Untuk melakukannya, ikuti langkah-langkah berikut:
-
Klik kanan Mulai,klik Jalankan,ketik cmd dalam kotak Jalankan, lalu tekan Ctrl+Shift+Enter.
-
Pada prompt perintah Administrator, ketikkan regedit, lalu tekan Enter.
-
Temukan subkey registri berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Klik kanan Cetak,pilih Baru,lalu klik Nilai DWORD VALUE (32-bit).
-
Ketik RpcAuthnLevelPrivacyEnabled lalu tekan Enter.
-
Klik kanan RpcAuthnLevelPrivacyEnabled, lalu klik Ubah.
-
Dalam kotak Data nilai, ketik 1 lalu klik Ok.
Note Pembaruan ini memperkenalkan dukungan untuk nilai registri RpcAuthnLevelPrivacyEnabled untuk meningkatkan tingkat otorisasi untuk klub IRemoteWinspoolprinter.
|
Subkey registri |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Nilai |
RpcAuthnLevelPrivacyEnabled |
|
Tipe data |
REG_DWORD |
|
Data |
1: Mengaktifkan mode Penerapan. Sebelum Anda mengaktifkan mode Penerapan untuk sisi server, pastikan semua perangkat klien telah menginstal pembaruan Windows yang dirilis pada tanggal 12 Januari 2021 atau yang lebih Windows lagi. Perbaikan ini meningkatkan tingkat otorisasi untuk antarmuka RPC IRemoteWinspool printer dan menambahkan kebijakan dan nilai registri baru di sisi server untuk memberlakukan klien untuk menggunakan tingkat otorisasi baru jika mode Penerapan diterapkan. Jika perangkat klien tidak memiliki pembaruan keamanan 12 Januari 2021 atau pembaruan Windows yang lebih baru yang diterapkan, pengalaman pencetakan akan rusak saat klien tersambung ke server melalui antarmuka IRemoteWinspool. 0: Tidak disarankan. Menonaktifkan peningkatan tingkat autentikasi untuk printer IRemoteWinspool,dan perangkat Anda tidak dilindungi. |
|
Default |
Perilaku default setelah menginstal pembaruan ketika kunci registri tidak diatur:
|
|
Apakah Perlu mulai ulang? |
Ya, perangkat mulai ulang atau mulai ulang layanan spooler diperlukan. |
