Riassunto

Gli aggiornamenti della sicurezza rilasciati il 6 luglio 2021 contengono protezioni per una vulnerabilità di esecuzione di codice in modalità remota nel servizio Spooler di stampa di Windows (spoolsv.exe) noto come   "PrintNightmare", documentato in CVE-2021-34527. Dopo l'installazione degli aggiornamenti di luglio 2021 e versioni successive, gli utenti non amministratori, inclusi i gruppi di amministratori delegati come gli operatori di stampanti, non possono installare driver della stampante firmati e non firmati in un server di stampa. Per impostazione predefinita, solo gli amministratori possono installare i driver della stampante firmati e non firmati in un server di stampa. 

Nota Prima di installare gli aggiornamenti fuori banda di luglio 2021 e successivi Windows contenenti protezioni per CVE-2021-34527, il gruppo di sicurezza degli operatori di stampanti poteva installare sia driver di stampante firmati che non firmati in un server di stampa. A partire dall'aggiornamento fuori banda di luglio 2021, per installare i driver della stampante firmati e non firmati in un server di stampa saranno necessarie le credenziali di amministratore. Facoltativamente, per ignorare tutte le impostazioni dei Criteri di gruppo Restrizioni punti e stampa e assicurarsi che solo gli amministratori possano installare i driver della stampante in un server di stampa, configurare il valore del Registro di sistema RestrictDriverInstallationToAdministrators su 1.

È consigliabile installare immediatamente gli aggiornamenti di Windows più recenti rilasciati il 6 luglio 2021 in tutti i sistemi operativi client e server Windows supportati, a partire dai dispositivi che attualmente ospitano il servizio spooler di stampa. Impostare quindi le opzioni "Quando si installano i driver per una nuova connessione" e "Quando si aggiornano i driver per una connessione esistente" nell'impostazione criteri di gruppo Restrizioni punti e stampa su "Mostra avviso e richiesta di elevazione".

Risoluzione

  1. Installare gli aggiornamenti fuori banda di luglio 2021 o versioni successive.

  2. Verificare se le condizioni seguenti sono vere:

  • Registro di Impostazioni: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) o non definito (impostazione predefinita)

    • UpdatePromptSettings = 0 (DWORD) o non definito (impostazione predefinita)

  • Criteri di gruppo: i Criteri di gruppo Restrizioni punti e stampa non sono stati configurati.

Se entrambe le condizioni sono vere, non si è esposti a CVE-2021-34527 e non sono necessarie altre azioni. Se una delle due condizioni non è vera, si è vulnerabili. Seguire la procedura seguente per modificare i Criteri di gruppo Restrizioni punti e stampa in una configurazione sicura.

  1. Aprire lo strumento Editor Criteri di gruppo e passare a Configurazione computer > modelli amministrativi > stampanti. 

  2. Configurare l'impostazione di Criteri di gruppo Restrizioni punti e stampa nel modo seguente:

    1. Impostare l'impostazione di Criteri di gruppo Restrizioni punti e stampa su "Abilitato".

    2. "Quando si installano i driver per una nuova connessione": "Mostra avviso e richiesta di elevazione".

    3. "Quando si aggiornano i driver per una connessione esistente": "Mostra avviso e richiesta di elevazione".

testo alternativo

Importante È consigliabile applicare questo criterio a tutti i computer che ospitano il servizio spooler di stampa.

Requisiti di riavvio: Questa modifica dei criteri non richiede il riavvio del dispositivo o del servizio spooler di stampa dopo l'applicazione di queste impostazioni. 

3. Usare le chiavi del Registro di sistema seguenti per verificare che i Criteri di gruppo siano stati applicati correttamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Avviso Impostando questi valori su valori diversi da zero, i dispositivi in cui è stato installato l'aggiornamento CVE-2021-34527 sono vulnerabili.

Nota La configurazione di queste impostazioni non disabilita la caratteristica Punti e stampa.

4. [Scelta consigliata] Ignorare le restrizioni relative al punto e alla stampa in modo che solo gli amministratori possano installare i driver di stampa nei server di stampa. Questa operazione viene eseguita usando la chiave del Registro di sistema RestrictDriverInstallationToAdministrators. Gli aggiornamenti rilasciati il 6 luglio 2021 o versioni successive hanno un valore predefinito di 0 (disabilitato) fino a quando gli aggiornamenti non vengono rilasciati il 10 agosto 2021.  Gli aggiornamenti rilasciati il 10 agosto 2021 o versione successiva hanno il valore predefinito 1 (abilitato).  Per altre informazioni su come impostare RestrictDriverInstallationToAdministrators e altri suggerimenti correlati alla stampa, vedere KB5005652- Gestire il nuovo comportamento di installazione del driver predefinito punto e stampa (CVE-2021-34481)

Altre informazioni

Le correzioni per CVE-2021-34527 influiscono sull'impostazione predefinita dello scenario di installazione dei driver di puntamento e stampa per un dispositivo client che si connette e installa un driver di stampa per una stampante di rete condivisa?

No, le correzioni per CVE-2021-34527 non influiscono direttamente sugli scenari di installazione dei driver di punto e di stampa predefiniti per un dispositivo client che si connette e installa un driver di stampa per una stampante di rete condivisa. In questo caso, un dispositivo client si connette a un server di stampa e scarica e installa i driver da tale server attendibile. Questo scenario è diverso dallo scenario vulnerabile in cui un utente malintenzionato sta tentando di installare un driver dannoso nel server di stampa stesso, in locale o in remoto.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.