概要
プリンター リモート プロシージャ コール (RPC) バインドがリモート Winspool インターフェイスの認証を処理する方法に、セキュリティ バイパスの脆弱性が存在します。 Windows 更新プログラムは、RPC 認証レベルを上げ、新しいポリシーとレジストリ キーを導入して、サーバー側で強制モードを無効または有効にして認証レベルを上げることにより、この脆弱性に対処します。
この脆弱性の詳細については、「CVE-2021-1678 | Windows Print Spooler Spoofing Vulnerability」(英語情報) を参照してください。
対処方法 お客様の環境を保護し、停止を防ぐには、次のことを行う必要があります。
|
更新のタイミング
これらの Windows 更新プログラムは、次の 2 フェーズに分けてリリースされます。
-
2021 年 1 月 12 日以降にリリースされる Windows 更新プログラムの初期展開フェーズ。
-
将来リリースされる Windows 更新プログラムの強制フェーズ。
2021 年 1 月 12 日: 初期展開フェーズ
初期展開フェーズは、2021 年 1 月 12 日にリリースされたWindows 更新プログラムから始まり、サーバーのお客様が環境の準備状況に応じて、このセキュリティ レベルの向上を自分で有効にする機能を提供します。
このリリースの内容:
-
CVE-2021-1678 に対応します (展開モードでは既定でオフに設定されています)。
-
RpcAuthnLevelPrivacyEnabled レジストリ値のサポートを追加して、プリンター IRemoteWinspool 保護の許可レベルを上げることができるようにします。
軽減策は、すべてのクライアントおよびサーバーレベルのデバイスに Windows 更新プログラムをインストールすることで構成されます。
2021 年 9 月 15 日: 強制フェーズ
リリースは、2021 年 9 月 15 日に強制フェーズに移行します。 強制フェーズでは、レジストリ値を設定せずに許可レベルを上げることにより、CVE-2021-1678 に対処するための変更を適用します。
インストールのガイダンス
この更新プログラムをインストールする前に
この更新プログラムを適用するには、次の必要な更新プログラムをインストールする必要があります。 Windows Update を使用している場合、これらの必須の更新プログラムは必要に応じて自動的に提供されます。
-
2019 年 9 月 23 日またはそれ以降の SHA-2 更新プログラムをインストールした SHA-2 更新プログラム (KB4474419) をインストールし、この更新プログラムを適用する前にデバイスを再起動する必要があります。 SHA-2 の更新プログラムの詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。
-
Windows Server 2008 R2 SP1 の場合、2019 年 3 月 12 日のサービス スタック更新プログラム (SSU) (KB4490628) をインストールしておく必要があります。 更新プログラム KB4490628 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。
-
Windows Server 2008 SP2 の場合、2019 年 4 月 9 日のサービス スタック更新プログラム (SSU) (KB4493730) をインストールしておく必要があります。 更新プログラム KB4493730 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。
-
2020 年 1 月 14 日に延長サポートが終了した後は、Windows Server 2008 SP2 または Windows Server 2008 R2 SP1 のオンプレミス バージョンの拡張セキュリティ更新プログラム (ESU) を購入していただく必要があります。 ESU を購入したお客様は、引き続きセキュリティ更新プログラムを受け取るために、KB4522133 の手順に従う必要があります。 ESU およびサポートされているエディションの詳細については、KB4497181 を参照してください。
重要:これらの必要な更新プログラムをインストールした後、デバイスを再起動する必要があります。
更新プログラムをインストールする
このセキュリティの脆弱性を解決するには、次の手順に従って Windows 更新プログラムをインストールし、強制モードを有効にします。
-
2021 年 1 月 12 日の更新プログラムを、すべてのクライアント デバイスおよびサーバー デバイスに展開します。
-
すべてのクライアント デバイスおよびサーバー デバイスが更新されたら、レジストリ値を 1 に設定することで、完全な保護を有効にすることができます。
手順 1: Windows 更新プログラムをインストールする
2021 年 1 月 12 日の Windows 更新プログラムまたはそれ以降の Windows 更新プログラムをすべてのクライアント デバイスおよびサーバー デバイスにインストールします。
Windows Server 製品 |
KB 番号 |
更新プログラムの種類 |
Windows Server, version 20H2 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server Version 2004 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server Version 1909 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server Version 1903 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server 2019 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server 2019 |
セキュリティ更新プログラム |
|
Windows Server 2016 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server 2016 |
セキュリティ更新プログラム |
|
Windows Server 2012 R2 (Server Core インストール) |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2012 R2 |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2012 (Server Core インストール) |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2012 |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2008 R2 Service Pack 1 |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2008 Service Pack 2 |
マンスリー ロールアップ |
|
セキュリティのみ |
手順 2: 強制モードを有効にする
重要 このセクション、方法、またはタスクには、レジストリの変更方法を説明する手順が記載されています。 ただし、レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するには、レジストリを変更する前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
すべてのクライアント デバイスおよびサーバー デバイスが更新されたら、強制モードを展開することで完全な保護を有効にすることができます。 この場合、次の手順を実行します。
-
[スタート] ボタンを右クリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「cmd」と入力し、Ctrl+Shift+Enter キーを押します。
-
管理者コマンド プロンプトで「regedit」と入力して Enter キーを押します。
-
次のレジストリ サブキーを見つけます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
[Print] を右クリックし、[新規] を選択し、[DWORD (32 ビット) 値] をクリックします。
-
「RpcAuthnLevelPrivacyEnabled」と入力し、Enter キーを押します。
-
[RpcAuthnLevelPrivacyEnabled] を右クリックし、[修正] をクリックします。
-
[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
注 この更新プログラムにより、RpcAuthnLevelPrivacyEnabled レジストリ値のサポートが導入され、プリンター IRemoteWinspool の許可レベルが向上します。
レジストリ サブキー |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
値 |
RpcAuthnLevelPrivacyEnabled |
データの種類 |
REG_DWORD |
データ |
1: 強制モードを有効にします。 サーバー側で強制モードを有効にする前に、すべてのクライアント デバイスに 2021 年 1 月 12 日にリリースされた Windows 更新プログラムまたはそれ以降の Windows 更新プログラムがインストールされていることを確認してください。 この修正プログラムにより、プリンター IRemoteWinspool RPC インターフェイスの許可レベルが上がり、サーバー側に新しいポリシーとレジストリ値が追加され、強制モードが適用されている場合にクライアントが新しい許可レベルを使用するように強制されます。 クライアント デバイスに 2021 年 1 月 12 日のセキュリティ更新プログラムまたはそれ以降の Windows 更新プログラムが適用されていない場合、クライアントが IRemoteWinspool インターフェイスを介してサーバーに接続すると、印刷エクスペリエンスが損なわれます。 0: お勧めしません。 プリンター IRemoteWinspool の認証レベルの増加を無効にし、デバイスは保護されません。 |
既定値 |
レジストリ キーが設定されていない場合の更新プログラムのインストール後の既定の動作:
|
再起動の必要性 |
あり、デバイスの再起動またはスプーラー サービスの再起動が必要です。 |