Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Suvestinė

Saugos apėjimo pažeidžiamumas yra taip, kaip spausdintuvo nuotolinės procedūros skambučio (RPC) susiejimas apdoroja nuotolinės "Winspool" sąsajos autentifikavimą. "Windows" naujinimas išsprendžia šį pažeidžiamumą padidinus RPC autentifikavimo lygį ir įvedant naują strategiją ir registro raktą, kad klientai galėtų išjungti arba įgalinti vykdymo režimą serveryje, kad padidintų autentifikavimo lygį.   

Norėdami sužinoti daugiau apie pažeidžiamumą, žr. CVE-2021-1678 | Windows Spausdinti "Spooler Spoofing" pažeidžiamumą.

Imtis veiksmų

Norėdami apsaugoti savo aplinką ir išvengti atosos, turite atlikti šiuos veiksmus:

  1. Atnaujinkite visus kliento ir serverio įrenginius įdiegdami 2021 m. sausio 12 d. Windows naujinimą arba Windows naujinimą. Atkreipkite dėmesį, kad Windows naujinimas nevisiškai sumažina saugos pažeidžiamumą ir gali turėti įtakos dabartinei spausdinimo sąrankai. Turite atlikti 2 veiksmą.

  2. Įgalinti vykdymo režimą spausdinimo serveryje. Vykdymo režimas bus įgalintas visuose Windows įrenginiuose tam tikrą būsimą dieną.

Naujinimų laikas

Šie Windows naujinimai bus išleisti dviem etapais:

  • Pradinio diegimo etapas, Windows 2021 m. sausio 12 d. arba vėliau.

  • Būsimų naujinimų Windows vykdymo etapas.

2021 m. sausio 12 d.: pradinis diegimo etapas

Pradinis diegimo etapas prasideda nuo 2021 Windows. sausio 12 d. išleisto "Windows" naujinimo, suteikiant serverio klientams galimybę įgalinti šį padidintą saugos lygį savo aplinkoje.

Šis leidimas:

  • Adresai CVE-2021-1678 (diegimo režimu nustatyta kaip Išjungta pagal numatytuosius nustatymus).

  • Prideda RpcAuthnLevelPrivacyEnabled registro reikšmės palaikymą, kad būtų galima padidinti spausdintuvo "IRemoteWinspool" apsaugos autorizavimo lygį.

Mažinimas apima visų kliento Windows serverio lygio įrenginių naujinimų diegimą.

2021 m. rugsėjo 14 d.: vykdymo etapas

Leidimo perėjimai į vykdymo etapą 2021 m. rugsėjo 14 d. Vykdymo etapas užtikrina cve-2021-1678 adreso pakeitimus padidinus autorizavimo lygį nenustatant registro reikšmės.

Diegimo rekomendacijos

Prieš diegdami šį naujinimą

Prieš pritaikant šį naujinimą, turi būti įdiegti šie būtini naujinimai. Jei naudosite Windows naujinimą, šie būtini naujinimai bus siūlomi automatiškai, jei reikia.

Svarbu Įdiegę šiuos reikiamus naujinimus, turite iš naujo paleisti įrenginį.

Naujinimo diegimas

Norėdami išspręsti saugos pažeidžiamumą, įdiekite "Windows naujinimus ir įgalinkite vykdymo režimą, atlikite šiuos veiksmus:

  1. Įdiekite 2021 m. sausio 12 d. naujinimą visuose kliento ir serverio įrenginiuose.

  2. Atnaujinus visus kliento ir serverio įrenginius, visišką apsaugą galima įgalinti nustačius registro reikšmę į 1.

1 veiksmas: įdiekite Windows naujinimą

Įdiekite 2021 m. sausio 12 d. Windows naujinimą arba Windows naujinimą visuose kliento ir serverio įrenginiuose.

Windows Serverio produktas

KB #

Naujinimo tipas

Windows Serveris, 20H2 versija (serverio pagrindinė įdiegtis)

4598242

Saugos naujinimas

Windows Serveris, 2004 versija (serverio branduolio diegimas)

4598242

Saugos naujinimas

Windows Serveris, 1909 versija (serverio branduolio diegimas)

4598229

Saugos naujinimas

Windows Serveris, 1903 versija (serverio branduolio diegimas)

4598229

Saugos naujinimas

Windows Server 2019 (serverio branduolio diegimas)

4598230

Saugos naujinimas

Windows Server 2019

4598230

Saugos naujinimas

Windows "Server 2016" (serverio branduolio diegimas)

4598243

Saugos naujinimas

„Windows Server 2016“

4598243

Saugos naujinimas

Windows Server 2012 R2 (serverio branduolio diegimas)

4598285

Mėnesio naujinimų paketas

4598275

Tik sauga

„Windows Server 2012 R2“

4598285

Mėnesio naujinimų paketas

4598275

Tik sauga

Windows Server 2012 (serverio branduolio diegimas)

4598278

Mėnesio naujinimų paketas

4598297

Tik sauga

„Windows Server 2012“

4598278

Mėnesio naujinimų paketas

4598297

Tik sauga

Windows Server 2008 R2 Service Pack 1

4598279

Mėnesio naujinimų paketas

4598289

Tik sauga

„Windows Server 2008“ 2 pakeitimų paketui

4598288

Mėnesio naujinimų paketas

4598287

Tik sauga

2 veiksmas: įgalinti vykdymo režimą

Svarbu. Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip pakeisti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai pakeisite registrą. Todėl atlikite šiuos veiksmus atidžiai. Norėdami apsaugoti, prieš pakeisdami registrą sukurkite atsarginę registro kopiją. Tada galėsite atkurti registrą, jei kils problemų. Daugiau informacijos apie tai, kaip kurti atsargines registro kopijas ir atkurti registrą, žr. Kaip kurti atsargines kopijas ir atkurti registrą Windows.

Atnaujinę visus kliento ir serverio įrenginius, galite įgalinti visišką apsaugą diegdami vykdymo režimą. Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

  1. Dešiniuoju pelės mygtuku spustelėkitePradžia , spustelėkiteVykdyti , lauke Vykdyti įveskitecmd, tada paspauskite "Ctrl"+"Shift"+"Enter".

  2. Administratoriaus komandinėje eilutėje įveskite regedit ir paspauskite "Enter".

  3. Raskite šį dalinį registro raktą:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Dešiniuoju pelės mygtuku spustelėkiteSpausdinti, pasirinkite Naujas , tada spustelėkite DWORD VALUE (32 bitų) Reikšmė.

  2. Įveskite RpcAuthnLevelPrivacyEnabled ir paspauskite "Enter".

  3. Dešiniuoju pelės mygtuku spustelėkite RpcAuthnLevelPrivacyEnabled, tada spustelėkite Modifikuoti.

  4. Lauke Reikšmės duomenys įveskite 1, tada spustelėkite Gerai.

Pastaba Šis naujinimas pristato "RpcAuthnLevelPrivacyEnabled" registro reikšmės palaikymą, kad padidintų spausdintuvo "IRemoteWinspool" autorizavimo lygį.

Registro dalinis raktas

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Reikšmė

RpcAuthnLevelPrivacyEnabled

Duomenų tipas

REG_DWORD

Duomenys

1:įjungia vykdymo režimą. Prieš įgalindami serverio vykdymo režimą, įsitikinkite, kad visi kliento įrenginiai įdiegė "Windows" naujinimą, išleistą 2021 m. sausio 12 d. arba Windows naujinimą. Ši pataisa padidina spausdintuvo IRemoteWinspool RPC sąsajos autorizavimo lygį ir serveryje įtraukia naują strategiją ir registro reikšmę, kad būtų galima įgalinti klientą naudoti naują autorizavimo lygį, jei taikomas vykdymo režimas. Jei kliento įrenginyje nėra 2021 m. sausio 12 d. saugos naujinimo arba vėlesnio "Windows" naujinimo, spausdinimo patirtis bus sugadinta, kai klientas prisijungs prie serverio per "IRemoteWinspool" sąsają.

0: nerekomenduojama. Išjungia spausdintuvo IRemoteWinspool autentifikavimolygio padidėjimą ir jūsų įrenginiai nėra apsaugoti.

Numatytoji reikšmė

Numatytasis veikimas įdiegus naujinimus, kai registro raktas nėra nustatytas:

  • 2021 m. sausio 12 d. arba naujesnių naujinimų numatytasis veikimas yra 0 (nulis), kai jie nėra nustatyti.

  • 2021 m. rugsėjo 14 d. arba naujesnių naujinimų numatytasis veikimas yra 1 (vienas), kai jie nėra nustatyti.

Ar būtina paleisti iš naujo?

Taip, būtina iš naujo paleisti įrenginį arba iš naujo paleisti kaupos paslaugą.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.