Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Kopsavilkums

Drošības apiešanas ievainojamība pastāv veidā, kā printera attālās procedūras zvana (RPC) saistīšana apstrādā attālās Winspool interfeisa autentifikāciju. Šis Windows novērš šo ievainojamību, palielinot RPC autentifikācijas līmeni un ieviešot jaunu politiku un reģistra atslēgu, lai klientiem ļautu serverī atspējot vai iespējot ieviešanas režīmu, lai palielinātu autentifikācijas līmeni.   

Lai uzzinātu vairāk par ievainojamību, skatiet CVE-2021-1678 | Windows Drukas spolētāja izlikšanās ievainojamība

Rīcība

Lai aizsargātu vidi un novērstu darbības pārtraukumi, rīkojieties šādi:

  1. Atjauniniet visas klienta un servera ierīces, instalējot 2021. gada 12. janvāri, Windows vai jaunāku versiju Windows atjaunināšanu. Ņemiet vērā, ka atjauninājumu Windows pilnībā neietekmē drošības ievainojamību un var ietekmēt pašreizējo drukas iestatīšanu. Jums ir jāveic 2. darbība.

  2. Iespējojiet drukāšanas režīmu drukas serverī. Ieviešanas režīms būs iespējots visās Windows ierīcēs vēlāk.

Atjauninājumu hronometrāža

Šie Windows atjauninājumi tiks izlaisti divos posmos:

  • Sākotnējais izvietošanas posms visiem Windows 2021. gada 12. janvārī vai pēc tam.

  • Vēlāk izlaisto Windows ieviešanas posms.

2021. gada 12. janvāris: sākotnējā izvietošanas fāze

Sākotnējais izvietošanas posms sākas ar Windows atjauninājumu, kas izlaists 2021. gada 12. janvārī, nodrošinot serveru klientiem iespēju iespējot šo paaugstināto drošības līmeni paši, pamatojoties uz vides gatavību.

Šajā laidienā:

  • Adreses CVE-2021-1678 (izvietošanas režīmā iestatīts uz Izslēgts pēc noklusējuma).

  • Pievieno atbalstu RpcAuthnLevelPrivacyEnabled reģistra vērtībai, lai iespējotu printera IRemoteWinspool aizsardzības autorizācijas līmeņa palielināšanu.

Risku mazināšana ietver jaunāko atjauninājumu Windows visās klienta un servera līmeņa ierīcēs.

2021. gada 14. septembris: ieviešanas posms

Laidiens pāriet ieviešanas posmā 2021. gada 14. septembrī. Ieviešanas posms ieviesīs izmaiņas CVE-2021-1678 adresē, palielinot autorizācijas līmeni bez nepieciešamības iestatīt reģistra vērtību.

Norādījumi par instalēšanu

Pirms šī atjauninājuma instalēšanas

Lai varētu lietot šo atjauninājumu, jābūt instalētiem tālāk minētajiem nepieciešamajiem atjauninājumiem. Ja izmantojat Windows Update, šie nepieciešamie atjauninājumi tiks piedāvāti automātiski pēc nepieciešamības.

  • Jums ir jābūt instalētam SHA-2 atjauninājumam(KB4474419),kas ir 2019. gada 23. septembris, vai jaunākam SHA-2 atjauninājumam, un pēc tam restartējiet ierīci, pirms lietojat šo atjauninājumu. Papildinformāciju par SHA-2 atjauninājumiem skatiet rakstā 2019 SHA-2 kodaparakstīšanas atbalsta prasības Windows un WSUS.

  • Ja lietojat Windows Server 2008 R2 SP1, ir jābūt instalētam apkalpošanas grēdas atjauninājumam (Servicing Stack update — SSU)(KB4490628),kas ir datēts ar 2019. gada 12. marts. Pēc atjauninājuma KB4490628 instalēšanas ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunāko SSU atjauninājumu skatiet adv990001 | Jaunākie apkalpošanas steka atjauninājumi.

  • Ja lietojat Windows Server 2008 SP2, ir jābūt instalētam apkalpošanas grēdas atjauninājumam (Servicing Stack update — SSU)(KB4493730),kas ir datēts ar 2019. gada 9. aprīli. Pēc atjauninājuma KB4493730 instalēšanas ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunākajiem SSU atjauninājumiem skatiet ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.

  • Klientiem ir jāiegādājas paplašinātais drošības atjauninājums (ESU) lokālām Windows Server 2008 SP2 vai Windows Server 2008 R2 SP1 versijām pēc paplašinātā atbalsta beigām 2020. gada 14. janvārī. Klientiem, kuri ir iegādājušies ESU, ir jāatbilst KB4522133 procedūras, lai turpinātu saņemt drošības atjauninājumus. Papildinformāciju par ESU un atbalstītajiem izdevumiem skatiet rakstā KB4497181.

Svarīgi!Pēc šo nepieciešamo atjauninājumu instalēšanas ir jārestartē ierīce.

Instalēt atjauninājumu

Lai novērstu drošības ievainojamību, instalējiet drošības Windows un iespējojiet ieviešanas režīmu, izpildot šīs darbības:

  1. Izvietojiet 2021. gada 12. janvāra atjauninājumu visās klientu un serveru ierīcēs.

  2. Kad visas klienta un servera ierīces ir atjauninātas, var iespējot pilnu aizsardzību, iestatot reģistra vērtību uz 1.

1. darbība. Windows atjaunināšana

Instalējiet 2021. gada 12. Windows vai jaunāku versiju, lai Windows uz visām klienta un servera ierīcēm.

Windows Servera produkts

KB #

Atjaunināšanas veids

Windows Server, versija 20H2 (servera pamata instalēšana)

4598242

Drošības atjauninājums

Windows Server, versija 2004 (Server Core instalēšana)

4598242

Drošības atjauninājums

Windows Server, versija 1909 (Server Core instalēšana)

4598229

Drošības atjauninājums

Windows Server, versija 1903 (Server Core instalēšana)

4598229

Drošības atjauninājums

Windows Server 2019 (Server Core instalēšana)

4598230

Drošības atjauninājums

Windows Server 2019

4598230

Drošības atjauninājums

Windows Server 2016 (Server Core instalēšana)

4598243

Drošības atjauninājums

Windows Server 2016

4598243

Drošības atjauninājums

Windows Server 2012 R2 (Server Core instalēšana)

4598285

Ikmēneša apkopojums

4598275

Tikai drošība

Windows Server 2012 R2

4598285

Ikmēneša apkopojums

4598275

Tikai drošība

Windows Server 2012 (Server Core instalēšana)

4598278

Ikmēneša apkopojums

4598297

Tikai drošība

Windows Server 2012

4598278

Ikmēneša apkopojums

4598297

Tikai drošība

Windows Server 2008 R2 1. servisa pakotne

4598279

Ikmēneša apkopojums

4598289

Tikai drošība

Windows Server 2008 2. servisa pakotne

4598288

Ikmēneša apkopojums

4598287

Tikai drošība

2. darbība. Ieviešanas režīma iespējošana

Svarīgi Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai mainītu reģistru. Tomēr, nepareizi mainot reģistru, iespējamas nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā aprakstīts. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to maināt. Tādējādi, ja radīsies kāda problēma, varēsit reģistru atjaunot. Papildinformāciju par to, kā dublēt un atjaunot reģistru, skatiet rakstā Reģistra dublēšana un atjaunošana programmā Windows.

Kad visas klienta un servera ierīces ir atjauninātas, varat iespējot pilnu aizsardzību, izvietojot ieviešanas režīmu. Lai to izdarītu, veiciet tālāk norādītās darbības.

  1. Ar peles labo pogu noklikšķinietuz Sākt , noklikšķinietuz Palaist , lodziņā Palaist ierakstiet cmd un pēc tam nospiediet taustiņu kombināciju Ctrl+Shift+Enter.

  2. Administratora komandu uzvednē ierakstiet regedit un pēc tam nospiediet taustiņu Enter.

  3. Atrodiet šādu reģistra apakšatslēgu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Ar peles labo pogu noklikšķinietuz Drukāt , izvēlietiesJauns un pēc tam noklikšķiniet uz DWORD VALUE (32 bitu) vērtība.

  2. Ierakstiet RpcAuthnLevelPrivacyEnabled un pēc tam nospiediet taustiņu Enter.

  3. Ar peles labo pogu noklikšķiniet uz RpcAuthnLevelPrivacyEnabled un pēc tam noklikšķiniet uz Modificēt.

  4. Lodziņā Vērtības dati ierakstiet1 un pēc tam noklikšķiniet uz Labi.

Piezīme. Šajā atjauninājumā ieviests atbalsts RpcAuthnLevelPrivacyEnabled reģistra vērtībai, lai palielinātu printera IRemoteWinspool autorizācijas līmeni.

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Vērtība

RpcAuthnLevelPrivacyEnabled

Datu tips

REG_DWORD

Dati

1.Iespējo ieviešanas režīmu. Pirms servera puses ieviešanas režīma iespējošanas pārliecinieties, vai visas klienta ierīces ir Windows 2021. gada 12. janvārī vai jaunākā versijā izlaisto Windows atjauninājumu. Šis labojums palielina printera IRemoteWinspool RPC interfeisa autorizācijas līmeni un servera pusē pievieno jaunu politiku un reģistra vērtību, lai ieviestu klientam jauno autorizācijas līmeni, ja tiek lietots ieviešanas režīms. Ja klienta ierīcei nav lietots 2021. gada 12. janvāra drošības atjauninājums vai jaunāka Windows atjaunināšana, drukas pieredze tiks pārtraukta, ja klients izveido savienojumu ar serveri, izmantojot IRemoteWinspool interfeisu.

0:Nav ieteicams. Atspējo printera IRemoteWinspool palielināt autentifikācijaslīmeni, un jūsu ierīces nav aizsargātas.

Noklusējums

Noklusējuma darbība pēc atjauninājumu instalēšanas, ja reģistra atslēga nav iestatīta:

  • 2021. gada 12. janvāra vai jaunākas versijas atjauninājumiem noklusējuma darbība ir 0 (nulle), ja tā nav iestatīta.

  • 2021. gada 14. septembra vai jaunākas versijas atjauninājumiem noklusējuma darbība ir 1 (viens), ja tie nav iestatīti.

Vai nepieciešama restartēšana?

Jā, ir nepieciešama spolēšanas pakalpojuma restartēšana vai restartēšana.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.