Samenvatting
Er bestaat een beveiligingsoverwegingsprobleem in de manier waarop de RPC-binding (Printer Remote Procedure Call) verificatie voor de externe Winspool-interface verwerkt. De Windows-update lost dit beveiligingsprobleem op door het RPC-verificatieniveau te verhogen en een nieuw beleid en registersleutel in te voeren, zodat klanten de afdwingingsmodus aan de serverzijde kunnen uitschakelen of inschakelen om het verificatieniveau te verhogen.
Zie CVE-2021-1678-| Windows Print Spooler Spoofing Vulnerability.
Actie ondernemen Als u uw omgeving wilt beschermen en uitval wilt voorkomen, moet u het volgende doen:
|
Tijdsinstellingen voor updates
Deze Windows updates worden in twee fasen uitgebracht:
-
De eerste implementatiefase voor Windows updates die zijn uitgebracht op of na 12 januari 2021.
-
De afdwingingsfase voor Windows updates die op een bepaalde toekomstige datum worden uitgebracht.
12 januari 2021: Eerste implementatiefase
De eerste implementatiefase begint met de Windows-update die is uitgebracht op 12 januari 2021 door serverklanten de mogelijkheid te bieden om dit verhoogde beveiligingsniveau zelf in te stellen op basis van de gereedheid van hun omgeving.
Deze release:
-
Adressen CVE-2021-1678 (in de implementatiemodus standaard ingesteld op Uit).
-
Hiermee wordt ondersteuning toegevoegd voor de RpcAuthnLevelPrivacyEnabled-registerwaarde om het autorisatieniveau voor printer IRemoteWinspool-beveiliging te verhogen.
Beperking bestaat uit de installatie van de Windows updates op alle apparaten op client- en serverniveau.
14 september 2021: Fase van handhaving
De release wordt op 14 september 2021 in de uitvoeringsfase overgegaan. Met de uitvoeringsfase worden de wijzigingen afgedwongen voor cve-2021-1678 door het autorisatieniveau te verhogen zonder de registerwaarde in te stellen.
Installatie-richtlijnen
Voordat u deze update installeert
U moet de volgende vereiste updates hebben geïnstalleerd voordat u deze update kunt toepassen. Als u Windows update gebruikt, worden deze vereiste updates automatisch aangeboden wanneer dat nodig is.
-
U moet de SHA-2-update(KB4474419)van 23 september 2019 of een latere SHA-2-update hebben geïnstalleerd en vervolgens uw apparaat opnieuw opstarten voordat u deze update gaat toepassen. Zie 2019 SHA-2 Code Signing Support requirement for Windows en WSUS voormeer informatie over SHA-2-updates.
-
Voor Windows Server 2008 R2 SP1 moet u de update voor de servicestack(SSU) (KB4490628)van 12 maart 2019 hebben geïnstalleerd. Nadat de update KB4490628 is geïnstalleerd, raden we u aan de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-update | Meest recente updates voor onderhoudsstapels.
-
Voor Windows Server 2008 SP2 moet u de update voor de servicestack(SSU) (KB4493730)van 9 april 2019 hebben geïnstalleerd. Nadat update KB4493730 is geïnstalleerd, raden we u aan de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-updates | Meest recente updates voor onderhoudsstapels.
-
Klanten zijn verplicht om de Extended Security Update (ESU) te kopen voor on-premises versies van Windows Server 2008 SP2 of Windows Server 2008 R2 SP1 nadat de uitgebreide ondersteuning is beëindigd op 14 januari 2020. Klanten die de ESU hebben gekocht, moeten de procedures in KB4522133 volgen om beveiligingsupdates te blijven ontvangen. Zie KB4497181voor meer informatie over ESU en welke edities worden ondersteund.
BelangrijkU moet uw apparaat opnieuw opstarten nadat u deze vereiste updates hebt geïnstalleerd.
De update installeren
Als u het beveiligingsprobleem wilt oplossen, installeert u de Windows updates en schakelt u de afdwingingsmodus in door de volgende stappen uit te voeren:
-
Implementeer de update van 12 januari 2021 naar alle client- en serverapparaten.
-
Nadat alle client- en serverapparaten zijn bijgewerkt, kan volledige beveiliging worden ingeschakeld door de registerwaarde in te stellen op 1.
Stap 1: De Windows installeren
Installeer de update van 12 januari 2021 Windows of een latere update Windows alle client- en serverapparaten.
Windows Serverproduct |
KB # |
Type update |
Windows Server, versie 20H2 (Server Core Installation) |
Beveiligingsupdate |
|
Windows Server, versie 2004 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server, versie 1909 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server, versie 1903 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server 2019 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server 2019 |
Beveiligingsupdate |
|
Windows Server 2016 (Server Core-installatie) |
Beveiligingsupdate |
|
Windows Server 2016 |
Beveiligingsupdate |
|
Windows Server 2012 R2 (Server Core-installatie) |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 R2 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 (Server Core-installatie) |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2012 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2008 R2 Service Pack 1 |
Maandelijkse rollup |
|
Alleen beveiliging |
||
Windows Server 2008 Service Pack 2 |
Maandelijkse rollup |
|
Alleen beveiliging |
Stap 2: Afdwingingsmodus inschakelen
Belangrijk Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register wijzigt. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-upmaken en herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.
Nadat alle client- en serverapparaten zijn bijgewerkt, kunt u volledige beveiliging inschakelen door de modus Afdwingen te implementeren. Ga hiervoor als volgt te werk:
-
Klik met de rechtermuisknop op Start, klik op Uitvoeren,typ cmd in het vak Uitvoeren en druk vervolgens op Ctrl+Shift+Enter.
-
Typ regedit bij de opdrachtprompt Beheerder en druk op Enter.
-
Zoek de volgende register subsleutel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Klik met de rechtermuisknop op Afdrukken,kies Nieuwen klik vervolgens op DWORD WAARDE (32-bits) Waarde.
-
Typ RpcAuthnLevelPrivacyEnabled en druk vervolgens op Enter.
-
Klik met de rechtermuisknop op RpcAuthnLevelPrivacyEnabled en klik vervolgens op Wijzigen.
-
Typ 1 in het vak Waardegegevens en klik vervolgens op Ok.
Opmerking Deze update introduceert ondersteuning voor de RpcAuthnLevelPrivacyEnabled registerwaarde om het autorisatieniveau voor printer IRemoteWinspool te verhogen.
Subsleutel Register |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Waarde |
RpcAuthnLevelPrivacyEnabled |
Gegevenstype |
REG_DWORD |
Data |
1: De modus Afdwingen inschakelen. Voordat u de modus Afdwingen inschakelen voor serverzijde, moet u controleren of alle clientapparaten de Windows-update hebben geïnstalleerd die is uitgebracht op 12 januari 2021 of een latere Windows update. Met deze oplossing wordt het autorisatieniveau voor de RPC-interface van printer IRemoteWinspool verhoogd en worden er een nieuw beleid en een registerwaarde toegevoegd aan de serverzijde om de client af te dwingen het nieuwe autorisatieniveau te gebruiken als de afdwingingsmodus wordt toegepast. Als op het clientapparaat de beveiligingsupdate van 12 januari 2021 of een latere Windows-update niet is toegepast, wordt de afdrukervaring verbroken wanneer de client verbinding maakt met de server via de interface IRemoteWinspool. 0: Niet aanbevolen. Hiermee wordt het verificatieniveau voor printer IRemoteWinspooluitgeschakeld en zijn uw apparaten niet beveiligd. |
Standaard |
Standaardgedrag na het installeren van updates wanneer registersleutel niet is ingesteld:
|
Is een herstart vereist? |
Ja, een apparaat opnieuw opstarten of een herstart van de spoolerservice is vereist. |