Podsumowanie

Aktualizacje zabezpieczeń wydane 6 lipca 2021 r. i później zawierają zabezpieczenia przed luką w wykonywaniu kodu zdalnego w usłudze bufora wydruku usługi Windows (spoolsv.exe), nazywanej "PrintNightmare", która została udokumentowana w dokumencie  CVE-2021-34527. Po zainstalowaniu aktualizacji z lipca 2021 r. i nowszych administratorzy, w tym grupy administratorów delegowanych, takie jak operatorzy drukarek, nie mogą zainstalować podpisanych i niepodpisanych sterowników drukarek na serwerze wydruku. Domyślnie tylko administratorzy mogą zainstalować na serwerze wydruku sterowniki drukarek zarówno podpisane, jak i niepodpisane. 

Uwaga Przed zainstalowaniem aktualizacji niezapasowanych i nowszych z lipca 202 Windows 1 r. zawierających zabezpieczenia dla oprogramowania CVE-2021-34527 grupa zabezpieczeń operatorów drukarek mogła zainstalować na serwerze drukarek zarówno podpisane, jak i niepodpisane sterowniki drukarek. Począwszy od aktualizacji niezapasowej z lipca 2021 r., poświadczenia administratora będą wymagane do zainstalowania podpisanych i niepodpisanych sterowników drukarek na serwerze drukarek. Opcjonalnie, aby zastąpić wszystkie ustawienia zasad grupy Point i Print Restrictions i zapewnić, że tylko administratorzy mogą zainstalować sterowniki drukarek na serwerze wydruku, skonfiguruj wartość rejestru RestrictDriverInstallationToAdministrators na wartość 1.

Zalecamy natychmiastowe zainstalowanie najnowszych aktualizacji pakietu Windows opublikowanych 6 lipca 2021 r. lub później we wszystkich obsługiwanych systemach operacyjnych firmy Windows i serwera, począwszy od urządzeń, które obecnie hostują usługę bufora wydruku. Następnie ustaw ustawienia "Podczas instalowania sterowników dla nowego połączenia" i "Podczas aktualizowania sterowników dla istniejącego połączenia" w ustawieniu Ograniczenia punktowe i zasady grupy na wartość "Pokaż monit o ostrzeżenie i podwyższenie".

Rozwiązanie

  1. Zainstaluj aktualizacje "Pozapasmowe" z lipca 2021 r. lub nowsze.

  2. Sprawdź, czy są spełnione następujące warunki:

  • Rejestr Ustawienia: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) lub nie zdefiniowano (ustawienie domyślne)

    • UpdatePromptSettings = 0 (DWORD) lub nie zdefiniowano (ustawienie domyślne)

  • zasady grupy: Nie skonfigurowano ograniczeń punktowych i zasady grupy.

Jeśli oba warunki są spełnione, wówczas cve-2021-34527 nie jest narażone na żadne dalsze działania. Jeśli którykolwiek z warunków nie jest prawdziwy, jest narażony. Wykonaj poniższe czynności, aby zmienić ustawienia Ograniczeń punktowych i zasady grupy na bezpieczną konfigurację.

  1. Otwórz narzędzie edytora zasad grupy i przejdź do strony Konfiguracja komputera > szablony administracyjne dla > drukarki. 

  2. Skonfiguruj ustawienia ograniczeń punktowych i zasady grupy wydruku w następujący sposób:

    1. Ustaw dla ustawienia Ograniczenia punktowe i zasady grupy wartość "Włączone".

    2. "Podczas instalowania sterowników dla nowego połączenia": "Pokaż monit o ostrzeżenie i podwyższenie".

    3. "Podczas aktualizowania sterowników dla istniejącego połączenia": "Pokaż monit o ostrzeżenie i podwyższenie".

tekst alternatywny

Ważne Zdecydowanie zalecamy zastosowanie tych zasad do wszystkich komputerów hostujących usługę bufora wydruku.

Wymagania dotyczące ponownego uruchamiania: Ta zmiana zasad nie wymaga ponownego uruchomienia urządzenia ani usługi buforu wydruku po zastosowaniu tych ustawień. 

3. Użyj następujących kluczy rejestru, aby potwierdzić, że zasady grupy został prawidłowo zastosowany:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Ostrzeżenie Ustawienie wartości innych niż zero może ułatwić pracę urządzeń, na których zainstalowano aktualizację CVE-2021-34527.

Uwaga Skonfigurowanie tych ustawień nie powoduje wyłączenia funkcji Point i Print.

4. [Zalecane] Zastępuje ograniczenia punktowe i drukowania, aby tylko administratorzy mogą instalować sterowniki drukarek na serwerach drukarek. Odbywa się to przy użyciu klucza rejestru RestrictDriverInstallationToAdministrators. Aktualizacje wydane 6 lipca 2021 r. lub nowsze mają domyślnie wartość 0 (wyłączone) do czasu aktualizacji opublikowanych 10 sierpnia 2021 r.  Aktualizacje wydane 10 sierpnia 2021 r. lub nowsze mają domyślnie wartość 1 (włączone).  Aby uzyskać więcej informacji na temat sposobu ustawienia pozycji RestrictDriverInstallationToAdministrators i innych związanych z drukowaniem rekomendacji, zobacz KB5005652 — zarządzanie nowym zachowaniem domyślnego sterownika punktowego i drukowania (CVE-2021-34481)

Więcej informacji

Czy poprawki dla cve-2021-34527 mają wpływ na domyślny scenariusz instalacji sterownika Point i Print dla urządzenia klienckiego, które łączy się z udostępnioną drukarką sieciową i instaluje sterownik wydruku?

Nie, poprawki dla oprogramowania CVE-2021-34527 nie wpływają bezpośrednio na domyślny scenariusz instalacji sterownika Point i Print dla urządzenia klienckiego, które łączy się z udostępnioną drukarką sieciową i instaluje sterownik wydruku. W takim przypadku urządzenie klienckie łączy się z serwerem wydruku, a następnie pobiera i instaluje sterowniki z tego zaufanego serwera. Ten scenariusz różni się od scenariusza, w którym atakujący próbuje zainstalować złośliwy sterownik na samym serwerze wydruku, lokalnie lub zdalnie.

Facebook LinkedIn Adres e-mail

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders