Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Samenvatting

Er bestaat een beveiligingsoverwegingsprobleem in de manier waarop de RPC-binding (Printer Remote Procedure Call) verificatie voor de externe Winspool-interface verwerkt. De Windows-update lost dit beveiligingsprobleem op door het RPC-verificatieniveau te verhogen en een nieuw beleid en registersleutel in te voeren, zodat klanten de afdwingingsmodus aan de serverzijde kunnen uitschakelen of inschakelen om het verificatieniveau te verhogen.   

Zie CVE-2021-1678-| Windows Print Spooler Spoofing Vulnerability.

Actie ondernemen

Als u uw omgeving wilt beschermen en uitval wilt voorkomen, moet u het volgende doen:

  1. Werk alle client- en serverapparaten bij door de update van 12 januari 2021 Windows of een latere update Windows installeren. Let op: het installeren van Windows update beperkt het beveiligingsprobleem niet volledig en kan van invloed zijn op uw huidige afdrukconfiguratie. U moet stap 2 uitvoeren.

  2. De modus Afdwingen op de afdrukserver inschakelen. De afdwingingsmodus wordt op een bepaalde Windows ingeschakeld.

Tijdsinstellingen voor updates

Deze Windows updates worden in twee fasen uitgebracht:

  • De eerste implementatiefase voor Windows updates die zijn uitgebracht op of na 12 januari 2021.

  • De afdwingingsfase voor Windows updates die op een bepaalde toekomstige datum worden uitgebracht.

12 januari 2021: Eerste implementatiefase

De eerste implementatiefase begint met de Windows-update die is uitgebracht op 12 januari 2021 door serverklanten de mogelijkheid te bieden om dit verhoogde beveiligingsniveau zelf in te stellen op basis van de gereedheid van hun omgeving.

Deze release:

  • Adressen CVE-2021-1678 (in de implementatiemodus standaard ingesteld op Uit).

  • Hiermee wordt ondersteuning toegevoegd voor de RpcAuthnLevelPrivacyEnabled-registerwaarde om het autorisatieniveau voor printer IRemoteWinspool-beveiliging te verhogen.

Beperking bestaat uit de installatie van de Windows updates op alle apparaten op client- en serverniveau.

14 september 2021: Fase van handhaving

De release wordt op 14 september 2021 in de uitvoeringsfase overgegaan. Met de uitvoeringsfase worden de wijzigingen afgedwongen voor cve-2021-1678 door het autorisatieniveau te verhogen zonder de registerwaarde in te stellen.

Installatie-richtlijnen

Voordat u deze update installeert

U moet de volgende vereiste updates hebben geïnstalleerd voordat u deze update kunt toepassen. Als u Windows update gebruikt, worden deze vereiste updates automatisch aangeboden wanneer dat nodig is.

  • U moet de SHA-2-update(KB4474419)van 23 september 2019 of een latere SHA-2-update hebben geïnstalleerd en vervolgens uw apparaat opnieuw opstarten voordat u deze update gaat toepassen. Zie 2019 SHA-2 Code Signing Support requirement for Windows en WSUS voormeer informatie over SHA-2-updates.

  • Voor Windows Server 2008 R2 SP1 moet u de update voor de servicestack(SSU) (KB4490628)van 12 maart 2019 hebben geïnstalleerd. Nadat de update KB4490628 is geïnstalleerd, raden we u aan de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-update | Meest recente updates voor onderhoudsstapels.

  • Voor Windows Server 2008 SP2 moet u de update voor de servicestack(SSU) (KB4493730)van 9 april 2019 hebben geïnstalleerd. Nadat update KB4493730 is geïnstalleerd, raden we u aan de nieuwste SSU-update te installeren. Zie ADV990001 voor meer informatie over de meest recente SSU-updates | Meest recente updates voor onderhoudsstapels.

  • Klanten zijn verplicht om de Extended Security Update (ESU) te kopen voor on-premises versies van Windows Server 2008 SP2 of Windows Server 2008 R2 SP1 nadat de uitgebreide ondersteuning is beëindigd op 14 januari 2020. Klanten die de ESU hebben gekocht, moeten de procedures in KB4522133 volgen om beveiligingsupdates te blijven ontvangen. Zie KB4497181voor meer informatie over ESU en welke edities worden ondersteund.

BelangrijkU moet uw apparaat opnieuw opstarten nadat u deze vereiste updates hebt geïnstalleerd.

De update installeren

Als u het beveiligingsprobleem wilt oplossen, installeert u de Windows updates en schakelt u de afdwingingsmodus in door de volgende stappen uit te voeren:

  1. Implementeer de update van 12 januari 2021 naar alle client- en serverapparaten.

  2. Nadat alle client- en serverapparaten zijn bijgewerkt, kan volledige beveiliging worden ingeschakeld door de registerwaarde in te stellen op 1.

Stap 1: De Windows installeren

Installeer de update van 12 januari 2021 Windows of een latere update Windows alle client- en serverapparaten.

Windows Serverproduct

KB #

Type update

Windows Server, versie 20H2 (Server Core Installation)

4598242

Beveiligingsupdate

Windows Server, versie 2004 (Server Core-installatie)

4598242

Beveiligingsupdate

Windows Server, versie 1909 (Server Core-installatie)

4598229

Beveiligingsupdate

Windows Server, versie 1903 (Server Core-installatie)

4598229

Beveiligingsupdate

Windows Server 2019 (Server Core-installatie)

4598230

Beveiligingsupdate

Windows Server 2019

4598230

Beveiligingsupdate

Windows Server 2016 (Server Core-installatie)

4598243

Beveiligingsupdate

Windows Server 2016

4598243

Beveiligingsupdate

Windows Server 2012 R2 (Server Core-installatie)

4598285

Maandelijkse rollup

4598275

Alleen beveiliging

Windows Server 2012 R2

4598285

Maandelijkse rollup

4598275

Alleen beveiliging

Windows Server 2012 (Server Core-installatie)

4598278

Maandelijkse rollup

4598297

Alleen beveiliging

Windows Server 2012

4598278

Maandelijkse rollup

4598297

Alleen beveiliging

Windows Server 2008 R2 Service Pack 1

4598279

Maandelijkse rollup

4598289

Alleen beveiliging

Windows Server 2008 Service Pack 2

4598288

Maandelijkse rollup

4598287

Alleen beveiliging

Stap 2: Afdwingingsmodus inschakelen

           Belangrijk Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register wijzigt. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-upmaken en herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.

Nadat alle client- en serverapparaten zijn bijgewerkt, kunt u volledige beveiliging inschakelen door de modus Afdwingen te implementeren. Ga hiervoor als volgt te werk:

  1. Klik met de rechtermuisknop op Start, klik op Uitvoeren,typ cmd in het vak Uitvoeren en druk vervolgens op Ctrl+Shift+Enter.

  2. Typ regedit bij de opdrachtprompt Beheerder en druk op Enter.

  3. Zoek de volgende register subsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Klik met de rechtermuisknop op Afdrukken,kies Nieuwen klik vervolgens op DWORD WAARDE (32-bits) Waarde.

  2. Typ RpcAuthnLevelPrivacyEnabled en druk vervolgens op Enter.

  3. Klik met de rechtermuisknop op RpcAuthnLevelPrivacyEnabled en klik vervolgens op Wijzigen.

  4. Typ 1 in het vak Waardegegevens en klik vervolgens op Ok.

Opmerking Deze update introduceert ondersteuning voor de RpcAuthnLevelPrivacyEnabled registerwaarde om het autorisatieniveau voor printer IRemoteWinspool te verhogen.

Subsleutel Register

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Waarde

RpcAuthnLevelPrivacyEnabled

Gegevenstype

REG_DWORD

Data

1: De modus Afdwingen inschakelen. Voordat u de modus Afdwingen inschakelen voor serverzijde, moet u controleren of alle clientapparaten de Windows-update hebben geïnstalleerd die is uitgebracht op 12 januari 2021 of een latere Windows update. Met deze oplossing wordt het autorisatieniveau voor de RPC-interface van printer IRemoteWinspool verhoogd en worden er een nieuw beleid en een registerwaarde toegevoegd aan de serverzijde om de client af te dwingen het nieuwe autorisatieniveau te gebruiken als de afdwingingsmodus wordt toegepast. Als op het clientapparaat de beveiligingsupdate van 12 januari 2021 of een latere Windows-update niet is toegepast, wordt de afdrukervaring verbroken wanneer de client verbinding maakt met de server via de interface IRemoteWinspool.

0: Niet aanbevolen. Hiermee wordt het verificatieniveau voor printer IRemoteWinspooluitgeschakeld en zijn uw apparaten niet beveiligd.

Standaard

Standaardgedrag na het installeren van updates wanneer registersleutel niet is ingesteld:

  • Updates van 12 januari 2021 of hoger hebben het standaardgedrag van 0 (nul) wanneer deze niet zijn ingesteld.

  • Updates van 14 september 2021 of hoger hebben het standaardgedrag van 1 (één) wanneer deze niet zijn ingesteld.

Is een herstart vereist?

Ja, een apparaat opnieuw opstarten of een herstart van de spoolerservice is vereist.

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.