Oppsummering

Sikkerhetsoppdateringer utgitt den og etter 6. juli 2021 inneholder beskyttelse for et sikkerhetsproblem som kan forårsake ekstern kjøring av kode i tjenesten Windows Print Spooler (spoolsv.exe) som kalles   PrintNightmare, dokumentert i CVE-2021-34527. Når du har installert oppdateringene for juli 2021 og nyere, kan ikke administratorer, inkludert delegerte administratorgrupper som skriveroperatører, installere signerte og usignerte skriverdrivere på en utskriftsserver. Som standard kan bare administratorer installere både signerte og usignerte skriverdrivere på en utskriftsserver. 

Obs! Før du installerer utsolgte og nyere Windows-oppdateringer for juli 2021 som inneholder beskyttelse for CVE-2021-34527, kan skriveroperatørenes sikkerhetsgruppe installere både signerte og usignerte skriverdrivere på en skriverserver. Fra og med oppdateringen for utgående juli 2021 må administratorlegitimasjonen installere signerte og usignerte skriverdrivere på en skriverserver. Hvis du vil overstyre alle gruppepolicyinnstillinger for Pek og Skriv ut og sikre at bare administratorer kan installere skriverdrivere på en utskriftsserver, konfigurerer du registerverdien RestrictDriverInstallationToAdministrators til 1.

Vi anbefaler at du umiddelbart installerer de nyeste Windows-oppdateringene utgitt den eller etter 6. juli 2021 på alle støttede Windows-klient- og serveroperativsystemet, og starter med enheter som for øyeblikket er vert for utskriftskøtjenesten. Deretter angir du innstillingen «Når du installerer drivere for en ny tilkobling» og «Når du oppdaterer drivere for en eksisterende tilkobling» i gruppepolicyinnstillingen For punkt- og utskriftsbegrensninger til Vis advarsel og høydeledetekst.

Løsning

  1. Installer oppdateringene for utgående eller nyere versjoner av juli 2021.

  2. Kontroller om følgende betingelser er oppfylt:

  • Register Innstillinger: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) eller ikke definert (standardinnstilling)

    • UpdatePromptSettings = 0 (DWORD) eller ikke definert (standardinnstilling)

  • Gruppepolicy: Du har ikke konfigurert gruppepolicyen For punkt- og utskriftsbegrensninger.

Hvis begge betingelsene er oppfylt, er du ikke sårbar for CVE-2021-34527, og ingen ytterligere handling er nødvendig. Hvis en av betingelsene ikke er sann, er du sårbar. Følg fremgangsmåten nedenfor for å endre gruppepolicyen for punkt- og utskriftsbegrensninger til en sikker konfigurasjon.

  1. Åpne redigeringsverktøyet for gruppepolicy, og gå til Datamaskinkonfigurasjon > Administrative maler > Skrivere. 

  2. Konfigurer gruppepolicyinnstillingen For punkt- og utskriftsbegrensninger på følgende måte:

    1. Sett innstillingen For punkt- og utskriftsbegrensninger til Aktivert.

    2. «Når du installerer drivere for en ny tilkobling»: «Vis advarsel og høydeledetekst».

    3. «Når du oppdaterer drivere for en eksisterende tilkobling»: «Vis advarsel og høydeledetekst».

alternativ tekst

Viktig Vi anbefaler på det sterkeste at du bruker denne policyen på alle maskiner som er vert for utskriftskøtjenesten.

Omstartskrav: Denne policyendringen krever ikke omstart av enheten eller utskriftskøtjenesten etter at du har brukt disse innstillingene. 

3. Bruk følgende registernøkler til å bekrefte at gruppepolicyen ble brukt riktig:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Advarsel Hvis du angir disse til verdier som ikke er null, blir enhetene du har installert oppdateringen FOR ÅS-2021-34527 sårbar.

Obs! Når du konfigurerer disse innstillingene, deaktiveres ikke pek og skriv ut-funksjonen.

4. [Anbefalt] Overstyr punkt- og utskriftsbegrensninger slik at bare administratorer kan installere skriverdrivere på skriverservere. Dette gjøres ved hjelp av registernøkkelen RestrictDriverInstallationToAdministrators. Oppdateringer utgitt 6. juli 2021 eller nyere har standardverdien 0 (deaktivert) til oppdateringer utgitt 10. august 2021.  Oppdateringer utgitt 10. august 2021 eller nyere har standardverdien 1 (aktivert).  Hvis du vil ha mer informasjon om hvordan du angir RestrictDriverInstallationToAdministrators og andre utskriftsrelaterte anbefalinger, kan du se KB5005652 – Administrere virkemåten for installasjon av nye pek og skriv ut standarddriver (CVE-2021-34481)

Mer informasjon

Påvirker feilrettingene for CVE-2021-34527 standard scenario for installasjon av pek- og skriverdriver for en klientenhet som kobler til og installerer en skriverdriver for en delt nettverksskriver?

Nei, løsningene for CVE-2021-34527 påvirker ikke installasjonsscenarioet for pek- og skriverdriveren direkte for en klientenhet som kobler til og installerer en skriverdriver for en delt nettverksskriver. I dette tilfellet kobles en klientenhet til en utskriftsserver og laster ned og installerer driverne fra den klarerte serveren. Dette scenarioet er forskjellig fra det sårbare scenarioet der en angriper prøver å installere en ondsinnet driver på selve utskriftsserveren, enten lokalt eller eksternt.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.