Riassunto
Gli aggiornamenti della sicurezza rilasciati il 6 luglio 2021 contengono protezioni per una vulnerabilità di esecuzione di codice in modalità remota nel servizio Spooler di stampa di Windows (spoolsv.exe) noto come "PrintNightmare", documentato in CVE-2021-34527. Dopo l'installazione degli aggiornamenti di luglio 2021 e versioni successive, gli utenti non amministratori, inclusi i gruppi di amministratori delegati come gli operatori di stampanti, non possono installare driver della stampante firmati e non firmati in un server di stampa. Per impostazione predefinita, solo gli amministratori possono installare i driver della stampante firmati e non firmati in un server di stampa.
Nota Prima di installare gli aggiornamenti fuori banda di luglio 2021 e successivi Windows contenenti protezioni per CVE-2021-34527, il gruppo di sicurezza degli operatori di stampanti poteva installare sia driver di stampante firmati che non firmati in un server di stampa. A partire dall'aggiornamento fuori banda di luglio 2021, per installare i driver della stampante firmati e non firmati in un server di stampa saranno necessarie le credenziali di amministratore. Facoltativamente, per ignorare tutte le impostazioni dei Criteri di gruppo Restrizioni punti e stampa e assicurarsi che solo gli amministratori possano installare i driver della stampante in un server di stampa, configurare il valore del Registro di sistema RestrictDriverInstallationToAdministrators su 1.
È consigliabile installare immediatamente gli aggiornamenti di Windows più recenti rilasciati il 6 luglio 2021 in tutti i sistemi operativi client e server Windows supportati, a partire dai dispositivi che attualmente ospitano il servizio spooler di stampa. Impostare quindi le opzioni "Quando si installano i driver per una nuova connessione" e "Quando si aggiornano i driver per una connessione esistente" nell'impostazione criteri di gruppo Restrizioni punti e stampa su "Mostra avviso e richiesta di elevazione".
Risoluzione
-
Installare gli aggiornamenti fuori banda di luglio 2021 o versioni successive.
-
Verificare se le condizioni seguenti sono vere:
-
Registro di Impostazioni: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) o non definito (impostazione predefinita)
-
UpdatePromptSettings = 0 (DWORD) o non definito (impostazione predefinita)
-
-
Criteri di gruppo: i Criteri di gruppo Restrizioni punti e stampa non sono stati configurati.
Se entrambe le condizioni sono vere, non si è esposti a CVE-2021-34527 e non sono necessarie altre azioni. Se una delle due condizioni non è vera, si è vulnerabili. Seguire la procedura seguente per modificare i Criteri di gruppo Restrizioni punti e stampa in una configurazione sicura.
-
Aprire lo strumento Editor Criteri di gruppo e passare a Configurazione computer > modelli amministrativi > stampanti.
-
Configurare l'impostazione di Criteri di gruppo Restrizioni punti e stampa nel modo seguente:
-
Impostare l'impostazione di Criteri di gruppo Restrizioni punti e stampa su "Abilitato".
-
"Quando si installano i driver per una nuova connessione": "Mostra avviso e richiesta di elevazione".
-
"Quando si aggiornano i driver per una connessione esistente": "Mostra avviso e richiesta di elevazione".
-
Importante È consigliabile applicare questo criterio a tutti i computer che ospitano il servizio spooler di stampa.
Requisiti di riavvio: Questa modifica dei criteri non richiede il riavvio del dispositivo o del servizio spooler di stampa dopo l'applicazione di queste impostazioni.
3. Usare le chiavi del Registro di sistema seguenti per verificare che i Criteri di gruppo siano stati applicati correttamente:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Avviso Impostando questi valori su valori diversi da zero, i dispositivi in cui è stato installato l'aggiornamento CVE-2021-34527 sono vulnerabili.
Nota La configurazione di queste impostazioni non disabilita la caratteristica Punti e stampa.
4. [Scelta consigliata] Ignorare le restrizioni relative al punto e alla stampa in modo che solo gli amministratori possano installare i driver di stampa nei server di stampa. Questa operazione viene eseguita usando la chiave del Registro di sistema RestrictDriverInstallationToAdministrators. Gli aggiornamenti rilasciati il 6 luglio 2021 o versioni successive hanno un valore predefinito di 0 (disabilitato) fino a quando gli aggiornamenti non vengono rilasciati il 10 agosto 2021. Gli aggiornamenti rilasciati il 10 agosto 2021 o versione successiva hanno il valore predefinito 1 (abilitato). Per altre informazioni su come impostare RestrictDriverInstallationToAdministrators e altri suggerimenti correlati alla stampa, vedere KB5005652- Gestire il nuovo comportamento di installazione del driver predefinito punto e stampa (CVE-2021-34481)
Altre informazioni
Le correzioni per CVE-2021-34527 influiscono sull'impostazione predefinita dello scenario di installazione dei driver di puntamento e stampa per un dispositivo client che si connette e installa un driver di stampa per una stampante di rete condivisa?
No, le correzioni per CVE-2021-34527 non influiscono direttamente sugli scenari di installazione dei driver di punto e di stampa predefiniti per un dispositivo client che si connette e installa un driver di stampa per una stampante di rete condivisa. In questo caso, un dispositivo client si connette a un server di stampa e scarica e installa i driver da tale server attendibile. Questo scenario è diverso dallo scenario vulnerabile in cui un utente malintenzionato sta tentando di installare un driver dannoso nel server di stampa stesso, in locale o in remoto.