Podsumowanie
W przypadku powiązania połączenia RPC (Printer Remote Procedure Call) występuje luka w zabezpieczeniach podczas obejścia zabezpieczeń interfejsu zdalnego buforu usługi Winspool. Aktualizacja Windows rozwiązuje tę lukę, zwiększając poziom uwierzytelniania RPC i wprowadzając nowe zasady i klucz rejestru w celu umożliwienia klientom wyłączenia lub włączenia trybu wymuszenie na serwerze w celu zwiększenia poziomu uwierzytelniania.
Aby dowiedzieć się więcej o tej lukie, zobacz CVE-2021-1678 | Windows Luka w zabezpieczeniach przed fałszerem bufora wydruku.
Działanie Aby chronić środowisko i zapobiec usterce, należy wykonać następujące czynności:
|
Chronometraż aktualizacji
Aktualizacje Windows zostaną wydane w dwóch fazach:
-
Faza wdrożenie wstępne dla nowych Windows opublikowanych 12 stycznia 2021 r. lub później.
-
Faza wymuszania stosowania nowych Windows opublikowanych w przyszłości.
12 stycznia 2021 r.: Etap wdrożenia początkowego
Etap wdrożenie wstępne zaczyna się od aktualizacji Windows wydanej 12 stycznia 2021 r. przez umożliwienie klientom serwera samodzielnie włączenia tego zwiększonego poziomu zabezpieczeń w zależności od gotowości ich środowiska.
Ta wersja:
-
Adresy CVE-2021-1678 (w trybie wdrażania ustawionym domyślnie jako Wyłączone).
-
Dodaje obsługę wartości rejestru RpcAuthnLevelPrivacyEnabled, aby umożliwić zwiększenie poziomu autoryzacji drukarki IRemoteWinspool.
Środki zaradcze obejmują instalację aktualizacji Windows na wszystkich urządzeniach klienckich i na poziomie serwera.
14 września 2021 r.: Faza wymuszania
14 września 2021 r. przechodzimy do fazy wymuszczenia. Faza wymuszania wymusza zmiany dotyczące adresów CVE-2021-1678, zwiększając poziom autoryzacji bez konieczności ustawienia wartości rejestru.
Wskazówki dotyczące instalacji
Przed zainstalowaniem tej aktualizacji
Przed zastosowaniem tej aktualizacji należy zainstalować następujące wymagane aktualizacje. Jeśli będziesz używać Windows, te wymagane aktualizacje będą oferowane automatycznie, jeśli będzie to konieczne.
-
Musisz mieć zainstalowaną aktualizację SHA-2(KB4474419)z datą 23 września 2019 r. lub późniejszą aktualizację SHA-2, a następnie uruchomić ponownie urządzenie przed zastosowaniem tej aktualizacji. Aby uzyskać więcej informacji na temat aktualizacji SHA-2, zobacz Wymaganie obsługi podpisywania kodu SHA-2 2dla programu Windows i programu WSUS.
-
W Windows Server 2008 R2 z dodatkiem SP1 należy zainstalować aktualizację stosu obsługi (SSU)(KB4490628)z datą 12 marca 2019 r. Po zainstalowaniu aktualizacji KB4490628 zalecamy zainstalowanie najnowszej aktualizacji SSU. Aby uzyskać więcej informacji na temat najnowszej aktualizacji SSU, zobacz ADV990001 | Najnowsze aktualizacje stosu obsługi.
-
W Windows Server 2008 z dodatkiem SP2 należy zainstalować aktualizację stosu obsługi (SSU)(KB4493730)z datą 9 kwietnia 2019 r. Po zainstalowaniu aktualizacji KB4493730 zalecamy zainstalowanie najnowszej aktualizacji usługi SSU. Aby uzyskać więcej informacji o najnowszych aktualizacjach SSU, zobacz adv990001 | Najnowsze aktualizacje stosu obsługi.
-
Klienci są zobowiązani do zakupu rozszerzonej aktualizacji zabezpieczeń (ESU) dla lokalnych wersji programu Windows Server 2008 z dodatkiem SP2 lub Windows Server 2008 R2 z dodatkiem SP1 po zakończeniu wsparcia rozszerzonego 14 stycznia 2020 r. Klienci, którzy kupili usługę ESU, muszą wykonać procedury z artykułu KB4522133, aby nadal otrzymywać aktualizacje zabezpieczeń. Aby uzyskać więcej informacji na temat programu ESU i obsługiwanych wersji, zobacz KB4497181.
Ważne Po zainstalowaniu tych wymaganych aktualizacji należy ponownie uruchomić urządzenie.
Instalowanie aktualizacji
Aby rozwiązać problem z luką w zabezpieczeniach, zainstaluj aktualizacje Windows i włącz tryb wymusze, korzystając z następujących kroków:
-
Wdać aktualizację z 12 stycznia 2021 r. na wszystkich urządzeniach klienckich i serwerowych.
-
Po zaktualizowaniu wszystkich urządzeń klienckich i serwerowych można włączyć pełną ochronę, ustawiając wartość rejestru na 1.
Krok 1. Instalowanie Windows aktualizacji
Zainstaluj aktualizację z 12 stycznia 2021 r Windows lub późniejszą aktualizację do wszystkich urządzeń Windows klienta i serwera.
Windows Produkt serwerowy |
KB # |
Typ aktualizacji |
Windows Server, wersja 20H2 (Server Core Installation) |
Aktualizacja zabezpieczeń |
|
Windows Server, wersja 2004 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
Windows Server, wersja 1909 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
Windows Server, wersja 1903 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
Windows Server 2019 (instalacja server core) |
Aktualizacja zabezpieczeń |
|
Windows Server 2019 |
Aktualizacja zabezpieczeń |
|
Windows Server 2016 (instalacja programu Server Core) |
Aktualizacja zabezpieczeń |
|
Windows Server 2016 |
Aktualizacja zabezpieczeń |
|
Windows Server 2012 R2 (instalacja z podstawowymi elementami serwera) |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2012 R2 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2012 (instalacja programu Server Core) |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2012 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Windows Server 2008 R2 z dodatkiem Service Pack 1 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
||
Dodatek Service Pack 2 dla systemu Windows Server 2008 |
Comiesięczny raport zbiorczy |
|
Tylko zabezpieczenia |
Krok 2. Włączanie trybu wymuszania
Ważne W tej sekcji, metodzie lub zadaniu znajdują się kroki informujące o tym, jak zmienić rejestr. Niepoprawna zmiana rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać podane czynności. Aby uzyskać dodatkową ochronę, przed zmianą rejestru należy uzyskać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji o tym, jak przywrócić kopię zapasową rejestru i przywrócić go, zobacz Jak przywrócić kopię zapasową rejestru w programie Windows.
Po zaktualizowaniu wszystkich urządzeń klienckich i serwerowych możesz włączyć pełną ochronę, wdrażając tryb wymuszania. W tym celu wykonaj następujące czynności:
-
Kliknij prawym przyciskiem myszy przycisk Start,kliknij polecenie Uruchom,wpisz cmd w polu Uruchom, a następnie naciśnij klawisze Ctrl+Shift+Enter.
-
W wierszu polecenia Administrator wpisz polecenie regedit, a następnie naciśnij klawisz Enter.
-
Odszukaj następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Kliknij prawym przyciskiem myszy pozycję Drukuj,wybierz pozycję Nowy,a następnie kliknij pozycję WARTOŚĆ DWORD (32-bitowa).
-
Wpisz RpcAuthnLevelPrivacyEnabled, a następnie naciśnij klawisz Enter.
-
Kliknij prawym przyciskiem myszy pozycję RpcAuthnLevelPrivacyEnabled, a następnie kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz wartość 1, a następnie kliknij przycisk OK.
Uwaga 16. W tej aktualizacji wprowadzono obsługę wartości rejestru RpcAuthnLevelPrivacyEnabled w celu zwiększenia poziomu autoryzacji drukarki IRemoteWinspool.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Wartość |
RpcAuthnLevelPrivacyEnabled |
Typ danych |
REG_DWORD |
Dane |
1.Włącza tryb wymuszania. Przed włączeniem trybu wymusowania dla serwera upewnij się, że wszystkie urządzenia klienckie mają zainstalowaną aktualizację systemu Windows opublikowaną 12 stycznia 2021 r. lub Windows aktualizacji. Ta poprawka zwiększa poziom autoryzacji drukarki IRemoteWinspool RPC i dodaje nowe wartości zasad i rejestru po stronie serwera w celu wymuszania używania nowego poziomu autoryzacji przez klienta po zastosowaniu trybu wymuszenia. Jeśli na urządzeniu klienckim nie zastosowano aktualizacji zabezpieczeń z 12 stycznia 2021 r. lub nowszej aktualizacji programu Windows, środowisko drukowania zostanie przerwane, gdy klient połączy się z serwerem za pośrednictwem interfejsu buforu IRemoteWinspool. 0:Nie zalecamy. Wyłącza wyższy poziom uwierzytelniania drukarki IRemoteWinspool,a urządzenia nie są chronione. |
Domyślne |
Zachowanie domyślne po zainstalowaniu aktualizacji, gdy klucz rejestru nie jest ustawiony:
|
Czy jest wymagane ponowne uruchomienie? |
Tak, jest wymagane ponowne uruchomienie urządzenia lub ponowne uruchomienie usługi bufora. |