Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Riepilogo

Esiste una vulnerabilità del bypass di sicurezza nel modo in cui il binding RPC (Printer Remote Procedure Call) gestisce l'autenticazione per l'interfaccia remota di Winspool. L'aggiornamento Windows risolve questa vulnerabilità aumentando il livello di autenticazione RPC e introducendo un nuovo criterio e una nuova chiave del Registro di sistema per consentire ai clienti di disabilitare o abilitare la modalità di imposizione sul lato server per aumentare il livello di autenticazione.   

Per altre informazioni sulla vulnerabilità, vedere CVE-2021-1678 | Windows Vulnerabilità di spoofing dello spooler di stampa.

Azione

Per proteggere l'ambiente e prevenire le interruzioni, è necessario eseguire le operazioni seguenti:

  1. Aggiornare tutti i dispositivi client e server installando l'aggiornamento del Windows del 12 gennaio 2021 o un aggiornamento Windows successivo. Tenere presente che l'installazione dell'Windows non riduce completamente la vulnerabilità della sicurezza e potrebbe influire sulla configurazione di stampa corrente. È necessario eseguire il passaggio 2.

  2. Abilitare la modalità di imposizione nel server di stampa. La modalità di applicazione verrà abilitata in Windows dispositivi in una data futura.

Intervallo di aggiornamenti

Questi Windows verranno rilasciati in due fasi:

  • La fase di distribuzione iniziale Windows aggiornamenti rilasciati il 12 gennaio 2021 o dopo.

  • Fase di applicazione degli Windows aggiornamenti rilasciati in una data futura.

12 gennaio 2021: Fase di distribuzione iniziale

La fase di distribuzione iniziale inizia con l'aggiornamento di Windows rilasciato il 12 gennaio 2021, offrendo ai clienti del server la possibilità di abilitare questo livello di sicurezza maggiore in base alla conformità dell'ambiente.

Questa versione:

  • Indirizzi CVE-2021-1678 (in modalità di distribuzione impostato su Disattivato per impostazione predefinita).

  • Aggiunge il supporto per il valore del Registro di sistema RpcAuthnLevelPrivacyEnabled per abilitare l'aumento del livello di autorizzazione per la protezione IRemoteWinspool della stampante.

L'attenuazione consiste nell'installazione Windows aggiornamenti in tutti i dispositivi a livello di client e server.

14 settembre 2021: Fase di applicazione

Il rilascio passa alla fase di applicazione il 14 settembre 2021. La fase di applicazione applica le modifiche apportate all'indirizzo CVE-2021-1678 aumentando il livello di autorizzazione senza dover impostare il valore del Registro di sistema.

Indicazioni per l'installazione

Prima di installare questo aggiornamento

Prima di applicare questo aggiornamento, è necessario che siano installati gli aggiornamenti necessari seguenti. Se si usa Windows, questi aggiornamenti necessari verranno offerti automaticamente in base alle esigenze.

  • È necessario avere installato l'aggiornamento SHA-2 (KB4474419) datato 23 settembre 2019 o versione successiva, quindi riavviare il dispositivo prima di applicare questo aggiornamento. Per altre informazioni sugli aggiornamenti SHA-2, vedere Requisiti di supporto per la firma del codice SHA-2 2019per Windows e WSUS.

  • Per Windows Server 2008 R2 SP1, è necessario aver installato l'aggiornamento dello stack di manutenzione (KB4490628) datato 12 marzo 2019. Dopo aver installato l'aggiornamento KB4490628, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sull'aggiornamento SSU più recente, vedere ADV990001 | Aggiornamenti più recenti dello stack di manutenzione.

  • Per Windows Server 2008 SP2, è necessario aver installato l'aggiornamento dello stack di manutenzione (KB4493730) datato 9 aprile 2019. Dopo aver installato l'aggiornamento KB4493730, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sugli aggiornamenti SSU più recenti, vedere ADV990001 | Aggiornamenti più recenti dello stack di manutenzione.

  • I clienti devono acquistare l'aggiornamento della sicurezza estesa (ESU) per le versioni locali di Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 dopo che il supporto esteso è terminato il 14 gennaio 2020. I clienti che hanno acquistato l'ESU devono seguire le procedure descritte in KB4522133 per continuare a ricevere gli aggiornamenti della sicurezza. Per altre informazioni su ESU e sulle edizioni supportate, vedere KB4497181.

Importante Dopo aver installato gli aggiornamenti necessari, è necessario riavviare il dispositivo.

Installare l'aggiornamento

Per risolvere la vulnerabilità della sicurezza, installare gli aggiornamenti Windows e abilitare la modalità di applicazione seguendo questa procedura:

  1. Distribuire l'aggiornamento del 12 gennaio 2021 in tutti i dispositivi client e server.

  2. Dopo l'aggiornamento di tutti i dispositivi client e server, è possibile abilitata la protezione completa impostando il valore del Registro di sistema su 1.

Passaggio 1: Installare l'Windows aggiornamento

Installare l'aggiornamento del 12 gennaio 2021 Windows o un aggiornamento Windows in tutti i dispositivi client e server.

Windows Prodotto server

KB #

Tipo di aggiornamento

Windows Server, versione 20H2 (installazione server core)

4598242

Aggiornamento della sicurezza

Windows Server, versione 2004 (installazione server core)

4598242

Aggiornamento della sicurezza

Windows Server, versione 1909 (installazione server core)

4598229

Aggiornamento della sicurezza

Windows Server, versione 1903 (installazione server core)

4598229

Aggiornamento della sicurezza

Windows Server 2019 (installazione server core)

4598230

Aggiornamento della sicurezza

Windows Server 2019

4598230

Aggiornamento della sicurezza

Windows Server 2016 (installazione server core)

4598243

Aggiornamento della sicurezza

Windows Server 2016

4598243

Aggiornamento della sicurezza

Windows Server 2012 R2 (installazione server core)

4598285

Aggiornamento cumulativo mensile

4598275

Solo sicurezza

Windows Server 2012 R2

4598285

Aggiornamento cumulativo mensile

4598275

Solo sicurezza

Windows Server 2012 (installazione di Server Core)

4598278

Aggiornamento cumulativo mensile

4598297

Solo sicurezza

Windows Server 2012

4598278

Aggiornamento cumulativo mensile

4598297

Solo sicurezza

Windows Server 2008 R2 Service Pack 1

4598279

Aggiornamento cumulativo mensile

4598289

Solo sicurezza

Windows Server 2008 Service Pack 2

4598288

Aggiornamento cumulativo mensile

4598287

Solo sicurezza

Passaggio 2: Abilitare la modalità di applicazione

Importante Questa sezione, metodo o attività contiene passaggi che spiegano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Dopo aver aggiornato tutti i dispositivi client e server, è possibile abilitare la protezione completa distribuendo la modalità di applicazione. A tal fine, attenersi alla seguente procedura:

  1. Fare clic con il pulsante destro del mouse su Start,scegliere Esegui,digitare cmd nella casella Esegui e quindi premere CTRL+MAIUSC+INVIO.

  2. Al prompt dei comandi dell'amministratore digitare regedit e quindi premere INVIO.

  3. Individuare la sottochiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Fare clic con il pulsante destro delmouse su Stampa , scegliere Nuovoe quindi fare clic su Valore DWORD (32 bit).

  2. Digitare RpcAuthnLevelPrivacyEnabled e quindi premere INVIO.

  3. Fare clic con il pulsante destro del mouse su RpcAuthnLevelPrivacyEnabled e quindi scegliere Modifica.

  4. Nella casella Dati valore digitare 1 e quindi fare clic su OK.

Note Questo aggiornamento introduce il supporto per il valore del Registro di sistema RpcAuthnLevelPrivacyEnabled per aumentare il livello di autorizzazione per la stampante IRemoteWinspool.

Sottochiave del Registro di sistema

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Valore

RpcAuthnLevelPrivacyEnabled

Tipo di dati

REG_DWORD

Data

1:abilita la modalità di imposizione. Prima di abilitare la modalità di imposizione per il lato server, assicurarsi che tutti i dispositivi client abbia installato l'aggiornamento di Windows rilasciato il 12 gennaio 2021 o un aggiornamento Windows successivo. Questa correzione aumenta il livello di autorizzazione per l'interfaccia RPC IRemoteWinspool della stampante e aggiunge un nuovo criterio e un nuovo valore del Registro di sistema sul lato server per applicare al client l'uso del nuovo livello di autorizzazione se viene applicata la modalità di imposizione. Se al dispositivo client non è applicato l'aggiornamento della sicurezza del 12 gennaio 2021 o un aggiornamento di Windows successivo, l'esperienza di stampa verrà interrotta quando il client si connette al server tramite l'interfaccia IRemoteWinspool.

0: Non consigliato. Disabilita l'aumento del livello di autenticazione per la stampante IRemoteWinspoole i dispositivi non sono protetti.

Impostazione predefinita

Comportamento predefinito dopo l'installazione degli aggiornamenti quando la chiave del Registro di sistema non è impostata:

  • Gli aggiornamenti del 12 gennaio 2021 o versioni successive hanno il comportamento predefinito 0 (zero) quando non sono impostati.

  • Gli aggiornamenti del 14 settembre 2021 o versioni successive hanno il comportamento predefinito 1 (uno) quando non sono impostati.

È necessario riavviare il computer?

Sì, è necessario riavviare il dispositivo o riavviare il servizio spooler.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.