Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

概要

プリンター リモート プロシージャ コール (RPC) バインドがリモート Winspool インターフェイスの認証を処理する方法に、セキュリティ バイパスの脆弱性が存在します。 Windows 更新プログラムは、RPC 認証レベルを上げ、新しいポリシーとレジストリ キーを導入して、サーバー側で強制モードを無効または有効にして認証レベルを上げることにより、この脆弱性に対処します。   

この脆弱性の詳細については、「CVE-2021-1678 | Windows Print Spooler Spoofing Vulnerability」(英語情報) を参照してください。

対処方法

お客様の環境を保護し、停止を防ぐには、次のことを行う必要があります。

  1. 2021 年 1 月 12 日の Windows 更新プログラムまたはそれ以降の Windows 更新プログラムをインストールして、すべてのクライアントおよびサーバー デバイスを更新します。 Windows 更新プログラムをインストールしても、セキュリティの脆弱性が完全に軽減されるわけではなく、現在の印刷設定に影響を与える可能性があることに注意してください。 手順 2 を実行する必要があります。

  2.                 プリント サーバーで強制モードを有効にします。 強制モードは、将来的にすべての Windows デバイスで有効になります。

更新のタイミング

これらの Windows 更新プログラムは、次の 2 フェーズに分けてリリースされます。

  • 2021 年 1 月 12 日以降にリリースされる Windows 更新プログラムの初期展開フェーズ。

  • 将来リリースされる Windows 更新プログラムの強制フェーズ。

2021 年 1 月 12 日: 初期展開フェーズ

初期展開フェーズは、2021 年 1 月 12 日にリリースされたWindows 更新プログラムから始まり、サーバーのお客様が環境の準備状況に応じて、このセキュリティ レベルの向上を自分で有効にする機能を提供します。

このリリースの内容:

  • CVE-2021-1678 に対応します (展開モードでは既定でオフに設定されています)。

  • RpcAuthnLevelPrivacyEnabled レジストリ値のサポートを追加して、プリンター IRemoteWinspool 保護の許可レベルを上げることができるようにします。

軽減策は、すべてのクライアントおよびサーバーレベルのデバイスに Windows 更新プログラムをインストールすることで構成されます。

2021 年 9 月 15 日: 強制フェーズ

リリースは、2021 年 9 月 15 日に強制フェーズに移行します。                  強制フェーズでは、レジストリ値を設定せずに許可レベルを上げることにより、CVE-2021-1678 に対処するための変更を適用します。

インストールのガイダンス

この更新プログラムをインストールする前に

この更新プログラムを適用するには、次の必要な更新プログラムをインストールする必要があります。 Windows Update を使用している場合、これらの必須の更新プログラムは必要に応じて自動的に提供されます。

  • 2019 年 9 月 23 日またはそれ以降の SHA-2 更新プログラムをインストールした SHA-2 更新プログラム (KB4474419) をインストールし、この更新プログラムを適用する前にデバイスを再起動する必要があります。 SHA-2 の更新プログラムの詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。

  • Windows Server 2008 R2 SP1 の場合、2019 年 3 月 12 日のサービス スタック更新プログラム (SSU) (KB4490628) をインストールしておく必要があります。 更新プログラム KB4490628 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。

  • Windows Server 2008 SP2 の場合、2019 年 4 月 9 日のサービス スタック更新プログラム (SSU) (KB4493730) をインストールしておく必要があります。 更新プログラム KB4493730 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。

  • 2020 年 1 月 14 日に延長サポートが終了した後は、Windows Server 2008 SP2 または Windows Server 2008 R2 SP1 のオンプレミス バージョンの拡張セキュリティ更新プログラム (ESU) を購入していただく必要があります。 ESU を購入したお客様は、引き続きセキュリティ更新プログラムを受け取るために、KB4522133 の手順に従う必要があります。 ESU およびサポートされているエディションの詳細については、KB4497181 を参照してください。

重要:これらの必要な更新プログラムをインストールした後、デバイスを再起動する必要があります。

更新プログラムをインストールする

このセキュリティの脆弱性を解決するには、次の手順に従って Windows 更新プログラムをインストールし、強制モードを有効にします。

  1. 2021 年 1 月 12 日の更新プログラムを、すべてのクライアント デバイスおよびサーバー デバイスに展開します。

  2. すべてのクライアント デバイスおよびサーバー デバイスが更新されたら、レジストリ値を 1 に設定することで、完全な保護を有効にすることができます。

                         手順 1: Windows 更新プログラムをインストールする

2021 年 1 月 12 日の Windows 更新プログラムまたはそれ以降の Windows 更新プログラムをすべてのクライアント デバイスおよびサーバー デバイスにインストールします。

Windows Server 製品

KB 番号

更新プログラムの種類

Windows Server, version 20H2 (Server Core インストール)

4598242

セキュリティ更新プログラム

Windows Server Version 2004 (Server Core インストール)

4598242

セキュリティ更新プログラム

Windows Server Version 1909 (Server Core インストール)

4598229

セキュリティ更新プログラム

Windows Server Version 1903 (Server Core インストール)

4598229

セキュリティ更新プログラム

Windows Server 2019 (Server Core インストール)

4598230

セキュリティ更新プログラム

Windows Server 2019

4598230

セキュリティ更新プログラム

Windows Server 2016 (Server Core インストール)

4598243

セキュリティ更新プログラム

Windows Server 2016

4598243

セキュリティ更新プログラム

Windows Server 2012 R2 (Server Core インストール)

4598285

マンスリー ロールアップ

4598275

セキュリティのみ

Windows Server 2012 R2

4598285

マンスリー ロールアップ

4598275

セキュリティのみ

Windows Server 2012 (Server Core インストール)

4598278

マンスリー ロールアップ

4598297

セキュリティのみ

Windows Server 2012

4598278

マンスリー ロールアップ

4598297

セキュリティのみ

Windows Server 2008 R2 Service Pack 1

4598279

マンスリー ロールアップ

4598289

セキュリティのみ

Windows Server 2008 Service Pack 2

4598288

マンスリー ロールアップ

4598287

セキュリティのみ

手順 2: 強制モードを有効にする

重要 このセクション、方法、またはタスクには、レジストリの変更方法を説明する手順が記載されています。 ただし、レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するには、レジストリを変更する前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

すべてのクライアント デバイスおよびサーバー デバイスが更新されたら、強制モードを展開することで完全な保護を有効にすることができます。 この場合、次の手順を実行します。

  1. [スタート] ボタンを右クリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「cmd」と入力し、Ctrl+Shift+Enter キーを押します。

  2. 管理者コマンド プロンプトで「regedit」と入力して Enter キーを押します。

  3. 次のレジストリ サブキーを見つけます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. [Print] を右クリックし、[新規] を選択し、[DWORD (32 ビット) 値] をクリックします。

  2. RpcAuthnLevelPrivacyEnabled」と入力し、Enter キーを押します。

  3. [RpcAuthnLevelPrivacyEnabled] を右クリックし、[修正] をクリックします。

  4. [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。

                 この更新プログラムにより、RpcAuthnLevelPrivacyEnabled レジストリ値のサポートが導入され、プリンター IRemoteWinspool の許可レベルが向上します。

レジストリ サブキー

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

RpcAuthnLevelPrivacyEnabled

データの種類

REG_DWORD

データ

                1: 強制モードを有効にします。 サーバー側で強制モードを有効にする前に、すべてのクライアント デバイスに 2021 年 1 月 12 日にリリースされた Windows 更新プログラムまたはそれ以降の Windows 更新プログラムがインストールされていることを確認してください。 この修正プログラムにより、プリンター IRemoteWinspool RPC インターフェイスの許可レベルが上がり、サーバー側に新しいポリシーとレジストリ値が追加され、強制モードが適用されている場合にクライアントが新しい許可レベルを使用するように強制されます。 クライアント デバイスに 2021 年 1 月 12 日のセキュリティ更新プログラムまたはそれ以降の Windows 更新プログラムが適用されていない場合、クライアントが IRemoteWinspool インターフェイスを介してサーバーに接続すると、印刷エクスペリエンスが損なわれます。

0: お勧めしません。 プリンター IRemoteWinspool の認証レベルの増加を無効にし、デバイスは保護されません。

既定値

レジストリ キーが設定されていない場合の更新プログラムのインストール後の既定の動作:

  • 2021 年 1 月 13 日以降の更新プログラムでは、設定されていない場合の既定の動作は 0 (ゼロ) です。

  • 2021 年 9 月 15 日以降の更新プログラムでは、設定されていない場合の既定の動作は 1 (イチ) です。

再起動の必要性

あり、デバイスの再起動またはスプーラー サービスの再起動が必要です。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。