Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Podsumowanie

W przypadku powiązania połączenia RPC (Printer Remote Procedure Call) występuje luka w zabezpieczeniach podczas obejścia zabezpieczeń interfejsu zdalnego buforu usługi Winspool. Aktualizacja Windows rozwiązuje tę lukę, zwiększając poziom uwierzytelniania RPC i wprowadzając nowe zasady i klucz rejestru w celu umożliwienia klientom wyłączenia lub włączenia trybu wymuszenie na serwerze w celu zwiększenia poziomu uwierzytelniania.   

Aby dowiedzieć się więcej o tej lukie, zobacz CVE-2021-1678 | Windows Luka w zabezpieczeniach przed fałszerem bufora wydruku.

Działanie

Aby chronić środowisko i zapobiec usterce, należy wykonać następujące czynności:

  1. Zaktualizuj wszystkie urządzenia klienckie i serwerowe, instalując aktualizację z 12 stycznia 2021 Windows lub późniejszą Windows aktualizacji. Należy pamiętać, że zainstalowanie aktualizacji Windows nie w pełni ogranicza luki w zabezpieczeniach i może mieć wpływ na bieżącą konfigurację wydruku. Musisz wykonać krok 2.

  2. Włącz tryb wymusowania na serwerze wydruku. W przyszłości tryb wymuszania zostanie włączony na Windows urządzeniach.

Chronometraż aktualizacji

Aktualizacje Windows zostaną wydane w dwóch fazach:

  • Faza wdrożenie wstępne dla nowych Windows opublikowanych 12 stycznia 2021 r. lub później.

  • Faza wymuszania stosowania nowych Windows opublikowanych w przyszłości.

12 stycznia 2021 r.: Etap wdrożenia początkowego

Etap wdrożenie wstępne zaczyna się od aktualizacji Windows wydanej 12 stycznia 2021 r. przez umożliwienie klientom serwera samodzielnie włączenia tego zwiększonego poziomu zabezpieczeń w zależności od gotowości ich środowiska.

Ta wersja:

  • Adresy CVE-2021-1678 (w trybie wdrażania ustawionym domyślnie jako Wyłączone).

  • Dodaje obsługę wartości rejestru RpcAuthnLevelPrivacyEnabled, aby umożliwić zwiększenie poziomu autoryzacji drukarki IRemoteWinspool.

Środki zaradcze obejmują instalację aktualizacji Windows na wszystkich urządzeniach klienckich i na poziomie serwera.

14 września 2021 r.: Faza wymuszania

14 września 2021 r. przechodzimy do fazy wymuszczenia. Faza wymuszania wymusza zmiany dotyczące adresów CVE-2021-1678, zwiększając poziom autoryzacji bez konieczności ustawienia wartości rejestru.

Wskazówki dotyczące instalacji

Przed zainstalowaniem tej aktualizacji

Przed zastosowaniem tej aktualizacji należy zainstalować następujące wymagane aktualizacje. Jeśli będziesz używać Windows, te wymagane aktualizacje będą oferowane automatycznie, jeśli będzie to konieczne.

  • Musisz mieć zainstalowaną aktualizację SHA-2(KB4474419)z datą 23 września 2019 r. lub późniejszą aktualizację SHA-2, a następnie uruchomić ponownie urządzenie przed zastosowaniem tej aktualizacji. Aby uzyskać więcej informacji na temat aktualizacji SHA-2, zobacz Wymaganie obsługi podpisywania kodu SHA-2 2dla programu Windows i programu WSUS.

  • W Windows Server 2008 R2 z dodatkiem SP1 należy zainstalować aktualizację stosu obsługi (SSU)(KB4490628)z datą 12 marca 2019 r. Po zainstalowaniu aktualizacji KB4490628 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji na temat najnowszej aktualizacji SSU, zobacz ADV990001 | Najnowsze aktualizacje stosu obsługi.

  • W Windows Server 2008 z dodatkiem SP2 należy zainstalować aktualizację stosu obsługi (SSU)(KB4493730)z datą 9 kwietnia 2019 r. Po zainstalowaniu aktualizacji KB4493730 zalecamy zainstalowanie najnowszej aktualizacji usługi SSU. Aby uzyskać więcej informacji o najnowszych aktualizacjach SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.

  • Klienci są zobowiązani do zakupu rozszerzonej aktualizacji zabezpieczeń (ESU) dla lokalnych wersji programu Windows Server 2008 z dodatkiem SP2 lub Windows Server 2008 R2 z dodatkiem SP1 po zakończeniu wsparcia rozszerzonego 14 stycznia 2020 r. Klienci, którzy kupili usługę ESU, muszą wykonać procedury z artykułu KB4522133, aby nadal otrzymywać aktualizacje zabezpieczeń. Aby uzyskać więcej informacji na temat programu ESU i obsługiwanych wersji, zobacz KB4497181.

Ważne Po zainstalowaniu tych wymaganych aktualizacji należy ponownie uruchomić urządzenie.

Instalowanie aktualizacji

Aby rozwiązać problem z luką w zabezpieczeniach, zainstaluj aktualizacje Windows i włącz tryb wymusze, korzystając z następujących kroków:

  1. Wdać aktualizację z 12 stycznia 2021 r. na wszystkich urządzeniach klienckich i serwerowych.

  2. Po zaktualizowaniu wszystkich urządzeń klienckich i serwerowych można włączyć pełną ochronę, ustawiając wartość rejestru na 1.

Krok 1. Instalowanie Windows aktualizacji

Zainstaluj aktualizację z 12 stycznia 2021 r Windows lub późniejszą aktualizację do wszystkich urządzeń Windows klienta i serwera.

Windows Produkt serwerowy

KB #

Typ aktualizacji

Windows Server, wersja 20H2 (Server Core Installation)

4598242

Aktualizacja zabezpieczeń

Windows Server, wersja 2004 (instalacja server core)

4598242

Aktualizacja zabezpieczeń

Windows Server, wersja 1909 (instalacja server core)

4598229

Aktualizacja zabezpieczeń

Windows Server, wersja 1903 (instalacja server core)

4598229

Aktualizacja zabezpieczeń

Windows Server 2019 (instalacja server core)

4598230

Aktualizacja zabezpieczeń

Windows Server 2019

4598230

Aktualizacja zabezpieczeń

Windows Server 2016 (instalacja programu Server Core)

4598243

Aktualizacja zabezpieczeń

Windows Server 2016

4598243

Aktualizacja zabezpieczeń

Windows Server 2012 R2 (instalacja z podstawowymi elementami serwera)

4598285

Comiesięczny raport zbiorczy

4598275

Tylko zabezpieczenia

Windows Server 2012 R2

4598285

Comiesięczny raport zbiorczy

4598275

Tylko zabezpieczenia

Windows Server 2012 (instalacja programu Server Core)

4598278

Comiesięczny raport zbiorczy

4598297

Tylko zabezpieczenia

Windows Server 2012

4598278

Comiesięczny raport zbiorczy

4598297

Tylko zabezpieczenia

Windows Server 2008 R2 z dodatkiem Service Pack 1

4598279

Comiesięczny raport zbiorczy

4598289

Tylko zabezpieczenia

Dodatek Service Pack 2 dla systemu Windows Server 2008

4598288

Comiesięczny raport zbiorczy

4598287

Tylko zabezpieczenia

Krok 2. Włączanie trybu wymuszania

Ważne W tej sekcji, metodzie lub zadaniu znajdują się kroki informujące o tym, jak zmienić rejestr. Niepoprawna zmiana rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać podane czynności. Aby uzyskać dodatkową ochronę, przed zmianą rejestru należy uzyskać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji o tym, jak przywrócić kopię zapasową rejestru i przywrócić go, zobacz Jak przywrócić kopię zapasową rejestru w programie Windows.

Po zaktualizowaniu wszystkich urządzeń klienckich i serwerowych możesz włączyć pełną ochronę, wdrażając tryb wymuszania. W tym celu wykonaj następujące czynności:

  1. Kliknij prawym przyciskiem myszy przycisk Start,kliknij polecenie Uruchom,wpisz cmd w polu Uruchom, a następnie naciśnij klawisze Ctrl+Shift+Enter.

  2. W wierszu polecenia Administrator wpisz polecenie regedit, a następnie naciśnij klawisz Enter.

  3. Odszukaj następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Kliknij prawym przyciskiem myszy pozycję Drukuj,wybierz pozycję Nowy,a następnie kliknij pozycję WARTOŚĆ DWORD (32-bitowa).

  2. Wpisz RpcAuthnLevelPrivacyEnabled, a następnie naciśnij klawisz Enter.

  3. Kliknij prawym przyciskiem myszy pozycję RpcAuthnLevelPrivacyEnabled, a następnie kliknij polecenie Modyfikuj.

  4. W polu Dane wartości wpisz wartość 1, a następnie kliknij przycisk OK.

Uwaga 16. W tej aktualizacji wprowadzono obsługę wartości rejestru RpcAuthnLevelPrivacyEnabled w celu zwiększenia poziomu autoryzacji drukarki IRemoteWinspool.

Podklucz rejestru

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Wartość

RpcAuthnLevelPrivacyEnabled

Typ danych

REG_DWORD

Dane

1.Włącza tryb wymuszania. Przed włączeniem trybu wymusowania dla serwera upewnij się, że wszystkie urządzenia klienckie mają zainstalowaną aktualizację systemu Windows opublikowaną 12 stycznia 2021 r. lub Windows aktualizacji. Ta poprawka zwiększa poziom autoryzacji drukarki IRemoteWinspool RPC i dodaje nowe wartości zasad i rejestru po stronie serwera w celu wymuszania używania nowego poziomu autoryzacji przez klienta po zastosowaniu trybu wymuszenia. Jeśli na urządzeniu klienckim nie zastosowano aktualizacji zabezpieczeń z 12 stycznia 2021 r. lub nowszej aktualizacji programu Windows, środowisko drukowania zostanie przerwane, gdy klient połączy się z serwerem za pośrednictwem interfejsu buforu IRemoteWinspool.

0:Nie zalecamy. Wyłącza wyższy poziom uwierzytelniania drukarki IRemoteWinspool,a urządzenia nie są chronione.

Domyślne

Zachowanie domyślne po zainstalowaniu aktualizacji, gdy klucz rejestru nie jest ustawiony:

  • W aktualizacjach z 12 stycznia 2021 r. lub nowszych zachowanie domyślne wynosi 0 (zero), jeśli nie jest ustawione.

  • W aktualizacjach z 14 września 2021 r. lub nowszych zachowanie domyślne wynosi 1 (jeden), jeśli nie jest ustawione.

Czy jest wymagane ponowne uruchomienie?

Tak, jest wymagane ponowne uruchomienie urządzenia lub ponowne uruchomienie usługi bufora.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.