Kopsavilkums
Drošības apiešanas ievainojamība pastāv veidā, kā printera attālās procedūras zvana (RPC) saistīšana apstrādā attālās Winspool interfeisa autentifikāciju. Šis Windows novērš šo ievainojamību, palielinot RPC autentifikācijas līmeni un ieviešot jaunu politiku un reģistra atslēgu, lai klientiem ļautu serverī atspējot vai iespējot ieviešanas režīmu, lai palielinātu autentifikācijas līmeni.
Lai uzzinātu vairāk par ievainojamību, skatiet CVE-2021-1678 | Windows Drukas spolētāja izlikšanās ievainojamība
|
Rīcība Lai aizsargātu vidi un novērstu darbības pārtraukumi, rīkojieties šādi:
|
Atjauninājumu hronometrāža
Šie Windows atjauninājumi tiks izlaisti divos posmos:
-
Sākotnējais izvietošanas posms visiem Windows 2021. gada 12. janvārī vai pēc tam.
-
Vēlāk izlaisto Windows ieviešanas posms.
2021. gada 12. janvāris: sākotnējā izvietošanas fāze
Sākotnējais izvietošanas posms sākas ar Windows atjauninājumu, kas izlaists 2021. gada 12. janvārī, nodrošinot serveru klientiem iespēju iespējot šo paaugstināto drošības līmeni paši, pamatojoties uz vides gatavību.
Šajā laidienā:
-
Adreses CVE-2021-1678 (izvietošanas režīmā iestatīts uz Izslēgts pēc noklusējuma).
-
Pievieno atbalstu RpcAuthnLevelPrivacyEnabled reģistra vērtībai, lai iespējotu printera IRemoteWinspool aizsardzības autorizācijas līmeņa palielināšanu.
Risku mazināšana ietver jaunāko atjauninājumu Windows visās klienta un servera līmeņa ierīcēs.
2021. gada 14. septembris: ieviešanas posms
Laidiens pāriet ieviešanas posmā 2021. gada 14. septembrī. Ieviešanas posms ieviesīs izmaiņas CVE-2021-1678 adresē, palielinot autorizācijas līmeni bez nepieciešamības iestatīt reģistra vērtību.
Norādījumi par instalēšanu
Pirms šī atjauninājuma instalēšanas
Lai varētu lietot šo atjauninājumu, jābūt instalētiem tālāk minētajiem nepieciešamajiem atjauninājumiem. Ja izmantojat Windows Update, šie nepieciešamie atjauninājumi tiks piedāvāti automātiski pēc nepieciešamības.
-
Jums ir jābūt instalētam SHA-2 atjauninājumam(KB4474419),kas ir 2019. gada 23. septembris, vai jaunākam SHA-2 atjauninājumam, un pēc tam restartējiet ierīci, pirms lietojat šo atjauninājumu. Papildinformāciju par SHA-2 atjauninājumiem skatiet rakstā 2019 SHA-2 kodaparakstīšanas atbalsta prasības Windows un WSUS.
-
Ja lietojat Windows Server 2008 R2 SP1, ir jābūt instalētam apkalpošanas grēdas atjauninājumam (Servicing Stack update — SSU)(KB4490628),kas ir datēts ar 2019. gada 12. marts. Pēc atjauninājuma KB4490628 instalēšanas ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunāko SSU atjauninājumu skatiet adv990001 | Jaunākie apkalpošanas steka atjauninājumi.
-
Ja lietojat Windows Server 2008 SP2, ir jābūt instalētam apkalpošanas grēdas atjauninājumam (Servicing Stack update — SSU)(KB4493730),kas ir datēts ar 2019. gada 9. aprīli. Pēc atjauninājuma KB4493730 instalēšanas ieteicams instalēt jaunāko SSU atjauninājumu. Papildinformāciju par jaunākajiem SSU atjauninājumiem skatiet ADV990001 | Jaunākie apkalpošanas steka atjauninājumi.
-
Klientiem ir jāiegādājas paplašinātais drošības atjauninājums (ESU) lokālām Windows Server 2008 SP2 vai Windows Server 2008 R2 SP1 versijām pēc paplašinātā atbalsta beigām 2020. gada 14. janvārī. Klientiem, kuri ir iegādājušies ESU, ir jāatbilst KB4522133 procedūras, lai turpinātu saņemt drošības atjauninājumus. Papildinformāciju par ESU un atbalstītajiem izdevumiem skatiet rakstā KB4497181.
Svarīgi!Pēc šo nepieciešamo atjauninājumu instalēšanas ir jārestartē ierīce.
Instalēt atjauninājumu
Lai novērstu drošības ievainojamību, instalējiet drošības Windows un iespējojiet ieviešanas režīmu, izpildot šīs darbības:
-
Izvietojiet 2021. gada 12. janvāra atjauninājumu visās klientu un serveru ierīcēs.
-
Kad visas klienta un servera ierīces ir atjauninātas, var iespējot pilnu aizsardzību, iestatot reģistra vērtību uz 1.
1. darbība. Windows atjaunināšana
Instalējiet 2021. gada 12. Windows vai jaunāku versiju, lai Windows uz visām klienta un servera ierīcēm.
|
Windows Servera produkts |
KB # |
Atjaunināšanas veids |
|
Windows Server, versija 20H2 (servera pamata instalēšana) |
Drošības atjauninājums |
|
|
Windows Server, versija 2004 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server, versija 1909 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server, versija 1903 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server 2019 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server 2019 |
Drošības atjauninājums |
|
|
Windows Server 2016 (Server Core instalēšana) |
Drošības atjauninājums |
|
|
Windows Server 2016 |
Drošības atjauninājums |
|
|
Windows Server 2012 R2 (Server Core instalēšana) |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2012 R2 |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2012 (Server Core instalēšana) |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2012 |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2008 R2 1. servisa pakotne |
Ikmēneša apkopojums |
|
|
Tikai drošība |
||
|
Windows Server 2008 2. servisa pakotne |
Ikmēneša apkopojums |
|
|
Tikai drošība |
2. darbība. Ieviešanas režīma iespējošana
Svarīgi Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai mainītu reģistru. Tomēr, nepareizi mainot reģistru, iespējamas nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā aprakstīts. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to maināt. Tādējādi, ja radīsies kāda problēma, varēsit reģistru atjaunot. Papildinformāciju par to, kā dublēt un atjaunot reģistru, skatiet rakstā Reģistra dublēšana un atjaunošana programmā Windows.
Kad visas klienta un servera ierīces ir atjauninātas, varat iespējot pilnu aizsardzību, izvietojot ieviešanas režīmu. Lai to izdarītu, veiciet tālāk norādītās darbības.
-
Ar peles labo pogu noklikšķinietuz Sākt , noklikšķinietuz Palaist , lodziņā Palaist ierakstiet cmd un pēc tam nospiediet taustiņu kombināciju Ctrl+Shift+Enter.
-
Administratora komandu uzvednē ierakstiet regedit un pēc tam nospiediet taustiņu Enter.
-
Atrodiet šādu reģistra apakšatslēgu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Ar peles labo pogu noklikšķinietuz Drukāt , izvēlietiesJauns un pēc tam noklikšķiniet uz DWORD VALUE (32 bitu) vērtība.
-
Ierakstiet RpcAuthnLevelPrivacyEnabled un pēc tam nospiediet taustiņu Enter.
-
Ar peles labo pogu noklikšķiniet uz RpcAuthnLevelPrivacyEnabled un pēc tam noklikšķiniet uz Modificēt.
-
Lodziņā Vērtības dati ierakstiet1 un pēc tam noklikšķiniet uz Labi.
Piezīme. Šajā atjauninājumā ieviests atbalsts RpcAuthnLevelPrivacyEnabled reģistra vērtībai, lai palielinātu printera IRemoteWinspool autorizācijas līmeni.
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Vērtība |
RpcAuthnLevelPrivacyEnabled |
|
Datu tips |
REG_DWORD |
|
Dati |
1.Iespējo ieviešanas režīmu. Pirms servera puses ieviešanas režīma iespējošanas pārliecinieties, vai visas klienta ierīces ir Windows 2021. gada 12. janvārī vai jaunākā versijā izlaisto Windows atjauninājumu. Šis labojums palielina printera IRemoteWinspool RPC interfeisa autorizācijas līmeni un servera pusē pievieno jaunu politiku un reģistra vērtību, lai ieviestu klientam jauno autorizācijas līmeni, ja tiek lietots ieviešanas režīms. Ja klienta ierīcei nav lietots 2021. gada 12. janvāra drošības atjauninājums vai jaunāka Windows atjaunināšana, drukas pieredze tiks pārtraukta, ja klients izveido savienojumu ar serveri, izmantojot IRemoteWinspool interfeisu. 0:Nav ieteicams. Atspējo printera IRemoteWinspool palielināt autentifikācijaslīmeni, un jūsu ierīces nav aizsargātas. |
|
Noklusējums |
Noklusējuma darbība pēc atjauninājumu instalēšanas, ja reģistra atslēga nav iestatīta:
|
|
Vai nepieciešama restartēšana? |
Jā, ir nepieciešama spolēšanas pakalpojuma restartēšana vai restartēšana. |
