Suvestinė
Saugos apėjimo pažeidžiamumas yra taip, kaip spausdintuvo nuotolinės procedūros skambučio (RPC) susiejimas apdoroja nuotolinės "Winspool" sąsajos autentifikavimą. "Windows" naujinimas išsprendžia šį pažeidžiamumą padidinus RPC autentifikavimo lygį ir įvedant naują strategiją ir registro raktą, kad klientai galėtų išjungti arba įgalinti vykdymo režimą serveryje, kad padidintų autentifikavimo lygį.
Norėdami sužinoti daugiau apie pažeidžiamumą, žr. CVE-2021-1678 | Windows Spausdinti "Spooler Spoofing" pažeidžiamumą.
|
Imtis veiksmų Norėdami apsaugoti savo aplinką ir išvengti atosos, turite atlikti šiuos veiksmus:
|
Naujinimų laikas
Šie Windows naujinimai bus išleisti dviem etapais:
-
Pradinio diegimo etapas, Windows 2021 m. sausio 12 d. arba vėliau.
-
Būsimų naujinimų Windows vykdymo etapas.
2021 m. sausio 12 d.: pradinis diegimo etapas
Pradinis diegimo etapas prasideda nuo 2021 Windows. sausio 12 d. išleisto "Windows" naujinimo, suteikiant serverio klientams galimybę įgalinti šį padidintą saugos lygį savo aplinkoje.
Šis leidimas:
-
Adresai CVE-2021-1678 (diegimo režimu nustatyta kaip Išjungta pagal numatytuosius nustatymus).
-
Prideda RpcAuthnLevelPrivacyEnabled registro reikšmės palaikymą, kad būtų galima padidinti spausdintuvo "IRemoteWinspool" apsaugos autorizavimo lygį.
Mažinimas apima visų kliento Windows serverio lygio įrenginių naujinimų diegimą.
2021 m. rugsėjo 14 d.: vykdymo etapas
Leidimo perėjimai į vykdymo etapą 2021 m. rugsėjo 14 d. Vykdymo etapas užtikrina cve-2021-1678 adreso pakeitimus padidinus autorizavimo lygį nenustatant registro reikšmės.
Diegimo rekomendacijos
Prieš diegdami šį naujinimą
Prieš pritaikant šį naujinimą, turi būti įdiegti šie būtini naujinimai. Jei naudosite Windows naujinimą, šie būtini naujinimai bus siūlomi automatiškai, jei reikia.
-
Turite įdiegti SHA-2 naujinimą (KB4474419), kuris yra 2019 m. rugsėjo 23 d. arba vėlesnį SHA-2 naujinimą, tada iš naujo paleiskite įrenginį prieš pritaikant šį naujinimą. Daugiau informacijos apie SHA-2 naujinimus žr. 2019 SHA-2 kodo pasirašymo palaikymo reikalavimas "Windows" ir WSUS.
-
"Windows Server 2008 R2 SP1" turite įdiegti priežiūros rietuvės naujinimą (SSU) (KB4490628), kuris yra 2019 m. kovo 12 d. Įdiegus naujinimą KB4490628, rekomenduojame įdiegti naujausią SSU naujinimą. Daugiau informacijos apie naujausią SSU naujinimą žr. ADV990001 | Naujausi priežiūros rietuvės naujinimai.
-
Jei naudojate "Windows Server 2008" SP2, turite būti įdiegę priežiūros rietuvės naujinimą (SSU) (KB4493730), kuris yra 2019 m. balandžio 9 d. Įdiegus naujinimą KB4493730, rekomenduojame įdiegti naujausią SSU naujinimą. Daugiau informacijos apie naujausius SSU naujinimus žr. ADV990001 | Naujausi priežiūros rietuvės naujinimai.
-
Klientai turi įsigyti "Windows Server 2008 SP2" arba "Windows Server 2008 R2 SP1" vietinį saugos naujinimą (ESU), kai pratęstas palaikymas baigėsi 2020 m. sausio 14 d. Klientai, įsigę EDV, privalo laikytis KB4522133 procedūrų, kad ir toliau galėtų gauti saugos naujinimus. Daugiau informacijos apie ESU ir kurie leidimai palaikomi, žr. KB4497181.
Svarbu Įdiegę šiuos reikiamus naujinimus, turite iš naujo paleisti įrenginį.
Naujinimo diegimas
Norėdami išspręsti saugos pažeidžiamumą, įdiekite "Windows naujinimus ir įgalinkite vykdymo režimą, atlikite šiuos veiksmus:
-
Įdiekite 2021 m. sausio 12 d. naujinimą visuose kliento ir serverio įrenginiuose.
-
Atnaujinus visus kliento ir serverio įrenginius, visišką apsaugą galima įgalinti nustačius registro reikšmę į 1.
1 veiksmas: įdiekite Windows naujinimą
Įdiekite 2021 m. sausio 12 d. Windows naujinimą arba Windows naujinimą visuose kliento ir serverio įrenginiuose.
|
Windows Serverio produktas |
KB # |
Naujinimo tipas |
|
Windows Serveris, 20H2 versija (serverio pagrindinė įdiegtis) |
Saugos naujinimas |
|
|
Windows Serveris, 2004 versija (serverio branduolio diegimas) |
Saugos naujinimas |
|
|
Windows Serveris, 1909 versija (serverio branduolio diegimas) |
Saugos naujinimas |
|
|
Windows Serveris, 1903 versija (serverio branduolio diegimas) |
Saugos naujinimas |
|
|
Windows Server 2019 (serverio branduolio diegimas) |
Saugos naujinimas |
|
|
Windows Server 2019 |
Saugos naujinimas |
|
|
Windows "Server 2016" (serverio branduolio diegimas) |
Saugos naujinimas |
|
|
„Windows Server 2016“ |
Saugos naujinimas |
|
|
Windows Server 2012 R2 (serverio branduolio diegimas) |
Mėnesio naujinimų paketas |
|
|
Tik sauga |
||
|
„Windows Server 2012 R2“ |
Mėnesio naujinimų paketas |
|
|
Tik sauga |
||
|
Windows Server 2012 (serverio branduolio diegimas) |
Mėnesio naujinimų paketas |
|
|
Tik sauga |
||
|
„Windows Server 2012“ |
Mėnesio naujinimų paketas |
|
|
Tik sauga |
||
|
Windows Server 2008 R2 Service Pack 1 |
Mėnesio naujinimų paketas |
|
|
Tik sauga |
||
|
„Windows Server 2008“ 2 pakeitimų paketui |
Mėnesio naujinimų paketas |
|
|
Tik sauga |
2 veiksmas: įgalinti vykdymo režimą
Svarbu. Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip pakeisti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai pakeisite registrą. Todėl atlikite šiuos veiksmus atidžiai. Norėdami apsaugoti, prieš pakeisdami registrą sukurkite atsarginę registro kopiją. Tada galėsite atkurti registrą, jei kils problemų. Daugiau informacijos apie tai, kaip kurti atsargines registro kopijas ir atkurti registrą, žr. Kaip kurti atsargines kopijas ir atkurti registrą Windows.
Atnaujinę visus kliento ir serverio įrenginius, galite įgalinti visišką apsaugą diegdami vykdymo režimą. Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.
-
Dešiniuoju pelės mygtuku spustelėkitePradžia , spustelėkiteVykdyti , lauke Vykdyti įveskitecmd, tada paspauskite "Ctrl"+"Shift"+"Enter".
-
Administratoriaus komandinėje eilutėje įveskite regedit ir paspauskite "Enter".
-
Raskite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Dešiniuoju pelės mygtuku spustelėkiteSpausdinti, pasirinkite Naujas , tada spustelėkite DWORD VALUE (32 bitų) Reikšmė.
-
Įveskite RpcAuthnLevelPrivacyEnabled ir paspauskite "Enter".
-
Dešiniuoju pelės mygtuku spustelėkite RpcAuthnLevelPrivacyEnabled, tada spustelėkite Modifikuoti.
-
Lauke Reikšmės duomenys įveskite 1, tada spustelėkite Gerai.
Pastaba Šis naujinimas pristato "RpcAuthnLevelPrivacyEnabled" registro reikšmės palaikymą, kad padidintų spausdintuvo "IRemoteWinspool" autorizavimo lygį.
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Reikšmė |
RpcAuthnLevelPrivacyEnabled |
|
Duomenų tipas |
REG_DWORD |
|
Duomenys |
1:įjungia vykdymo režimą. Prieš įgalindami serverio vykdymo režimą, įsitikinkite, kad visi kliento įrenginiai įdiegė "Windows" naujinimą, išleistą 2021 m. sausio 12 d. arba Windows naujinimą. Ši pataisa padidina spausdintuvo IRemoteWinspool RPC sąsajos autorizavimo lygį ir serveryje įtraukia naują strategiją ir registro reikšmę, kad būtų galima įgalinti klientą naudoti naują autorizavimo lygį, jei taikomas vykdymo režimas. Jei kliento įrenginyje nėra 2021 m. sausio 12 d. saugos naujinimo arba vėlesnio "Windows" naujinimo, spausdinimo patirtis bus sugadinta, kai klientas prisijungs prie serverio per "IRemoteWinspool" sąsają. 0: nerekomenduojama. Išjungia spausdintuvo IRemoteWinspool autentifikavimolygio padidėjimą ir jūsų įrenginiai nėra apsaugoti. |
|
Numatytoji reikšmė |
Numatytasis veikimas įdiegus naujinimus, kai registro raktas nėra nustatytas:
|
|
Ar būtina paleisti iš naujo? |
Taip, būtina iš naujo paleisti įrenginį arba iš naujo paleisti kaupos paslaugą. |
