Resumo
Existe uma vulnerabilidade de falha de segurança na forma como a autenticação de alças de encadernação de Chamada de Procedimento Remoto (RPC) da impressora da interface do Winspool remoto. A atualização do Windows aborda esta vulnerabilidade ao aumentar o nível de autenticação RPC e ao introduzir uma nova política e chave de registo para permitir aos clientes desativar ou ativar o modo de Imposição no lado do servidor para aumentar o nível de autenticação.
Para saber mais sobre a vulnerabilidade, consulte OCVE-2021-1678 | Windows Vulnerabilidade de Spooler de Impressão .
Tomar medidas Para proteger o seu ambiente e impedir intranques, tem de fazer o seguinte:
|
Temporizá-lo das atualizações
Estas Windows atualizações serão lançadas em duas fases:
-
A fase de implementação inicial das atualizações Windows lançadas a 12 de janeiro de 2021 ou depois.
-
A fase de imposição Windows atualizações lançadas em algumas datas futuras.
12 de janeiro de 2021: Fase de Implementação Inicial
A fase de implementação inicial começa com a atualização do Windows lançada a 12 de janeiro de 2021, ao fornecer a capacidade de os clientes servidores ativarem este nível de segurança aumentado de forma a que se baseiem na prontidão dos seus ambientes.
Esta versão:
-
Endereços CVE-2021-1678 (no modo de Implementação definido como Desativo por predefinição).
-
Adiciona suporte para o valor de registo RpcAuthnLevelPrivacyEnabled para ativar o aumento do nível de autorização para a proteção IRemoteWinspool da impressora.
A mitigação consiste na instalação da Windows atualizações em todos os dispositivos cliente e ao nível do servidor.
14 de Setembro de 2021: Fase de Imposição
A transição do lançamento para a fase de imposição, a 14 de setembro de 2021. A fase de imposição impõe as alterações a endereço CVE-2021-1678 ao aumentar o nível de autorização sem ter de definir o valor de registo.
Orientação para a instalação
Antes de instalar esta atualização
Tem de ter as seguintes atualizações necessárias instaladas antes de aplicar esta atualização. Se utilizar o Windows Atualização, estas atualizações necessárias serão disponibilizadas automaticamente, conforme necessário.
-
Tem de ter a atualização SHA-2(KB4474419)com a data de 23 de setembro de 2019 ou uma atualização SHA-2 posterior instalada e, em seguida, reinicie o seu dispositivo antes de aplicar esta atualização. Para obter mais informações sobre as atualizações SHA-2, consulte Requisito de Suporte de Assinatura de Código SHA-2 para o Windows e WSUS.
-
Para o Windows Server 2008 R2 SP1, tem de ter instalado a atualização da pilha de atualizações servicing (SSU) (KB4490628)com a data de 12 de março de 2019. Após instalar a atualização KB4490628, recomendamos que instale a atualização SSU mais recente. Para obter mais informações sobre a atualização SSU mais recente, consulte ADV990001 | Atualizações da Pilha de Atualizações da Atualização de Serviço Mais Recentes.
-
Para o Windows Server 2008 SP2, tem de ter instalado a atualização da pilha de atualizações de atualizações servicing (SSU) (KB4493730)que tem a data de 9 de abril de 2019. Após instalar a atualização KB4493730, recomendamos que instale a atualização SSU mais recente. Para obter mais informações sobre as atualizações SSU mais recentes, consulte ADV990001 | Atualizações da Pilha de Atualizações da Atualização de Serviço Mais Recentes.
-
Os clientes têm de comprar a Atualização de Segurança Alargada (ESU) para versões no local do Windows Server 2008 SP2 ou Windows Server 2008 R2 SP1 após o suporte prolongado terminar a 14 de janeiro de 2020. Os clientes que tenham comprado a ESU têm de seguir os procedimentos em KB4522133 para continuar a receber atualizações de segurança. Para obter mais informações sobre a ESU e quais as edições suportadas, consulte KB4497181.
ImportanteTem de reiniciar o dispositivo depois de instalar estas atualizações necessárias.
Instalar a atualização
Para resolver a vulnerabilidade de segurança, instale o Windows atualizações e ative o modo de Imposição ao seguir estes passos:
-
Implementar a atualização de 12 de janeiro de 2021 para todos os dispositivos cliente e servidor.
-
Depois de todos os dispositivos cliente e servidor ter sido atualizados, a proteção total pode ser ativada ao definir o valor de registo como 1.
Passo 1: instalar a atualização Windows atualização
Instale a atualização de Windows de 12 de janeiro de 2021 ou uma atualização Windows para todos os dispositivos cliente e servidor.
Windows Produto de servidor |
BDC # |
Tipo de atualização |
Windows Server, versão 20H2 (Instalação Core do Servidor) |
Atualização de Segurança |
|
Windows Server, versão 2004 (instalação Server Core) |
Atualização de Segurança |
|
Windows Server, versão 1909 (instalação Server Core) |
Atualização de Segurança |
|
Windows Server, versão 1903 (instalação Server Core) |
Atualização de Segurança |
|
Windows Server 2019 (instalação Server Core) |
Atualização de Segurança |
|
Windows Server 2019 |
Atualização de Segurança |
|
Windows Server 2016 (instalação Core do Servidor) |
Atualização de Segurança |
|
Windows Server 2016 |
Atualização de Segurança |
|
Windows Server 2012 R2 (instalação Core do Servidor) |
Rollup Mensal |
|
Apenas Segurança |
||
Windows Server 2012 R2 |
Rollup Mensal |
|
Apenas Segurança |
||
Windows Server 2012 (instalação Core do Servidor) |
Rollup Mensal |
|
Apenas Segurança |
||
Windows Server 2012 |
Rollup Mensal |
|
Apenas Segurança |
||
Windows Server 2008 R2 Service Pack 1 |
Rollup Mensal |
|
Apenas Segurança |
||
Windows Server 2008 Service Pack 2 |
Rollup Mensal |
|
Apenas Segurança |
Passo 2: Ativar o Modo de Imposição
Importante Esta secção, método ou tarefa contém passos que lhe dizem como alterar o registo. No entanto, podem ocorrer problemas graves se alterar o registo incorretamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma proteção adicional, eis uma segurança do registo antes de o alterar. Deste modo, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma segurança e restaurar o registo, consulte Como fazer uma segurança e restaurar o registo no Windows.
Depois de todos os dispositivos cliente e servidor ter sido atualizados, pode ativar a proteção total ao implementar o modo de Imposição. Para tal, siga estes passos:
-
Clique com o botão direito dorato em Iniciar, clique em Executar , escreva cmd na caixa Executar e, em seguida, prima Ctrl+Shift+Enter.
-
Na aviso de comandos de Administrador, escreva regedit e, em seguida, prima Enter.
-
Localize a seguinte subconsciente de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Clique com o botão direito do ratoem Imprimir, escolha Novo e, em seguida, clique em Valor DWORD (32 bits).
-
Escreva RpcAuthnLevelPrivacyEnabled e, em seguida, prima Enter.
-
Clique com o botão direito do rato em RpcAuthnLevelPrivacyEnabled e, em seguida, clique em Modificar.
-
Na caixa Dados do valor, escreva 1 e, em seguida, clique em OK.
Note Esta atualização introduz o suporte do valor de registo RpcAuthnLevelPrivacyEnabled para aumentar o nível de autorização para a impressora IRemoteWinspool.
Subconsciente de registo |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Valor |
RpcAuthnLevelPrivacyEnabled |
Tipo de dados |
REG_DWORD |
Dados |
1: Ativa o modo de Imposição. Antes de ativar o modo de Imposição para o lado do servidor, certifique-se de que todos os dispositivos cliente instalaram a atualização Windows lançada a 12 de janeiro de 2021 ou uma atualização Windows posterior. Esta correção aumenta o nível de autorização da impressora IRemoteWinspool RPC interface e adiciona uma nova política e valor de registo no lado do servidor para impor o cliente de modo a utilizar o novo nível de autorização, se estiver aplicado o Modo de Imposição. Se o dispositivo cliente não tiver a atualização de segurança de 12 de janeiro de 2021 ou uma atualização Windows posterior aplicada, a experiência de impressão será interrompida quando o cliente se ligar ao servidor através da interface IRemoteWinspool. 0: Não recomendado. Desativa o nível de autenticação de aumento para a impressora IRemoteWinspoole os seus dispositivos não estão protegidos. |
Predefinição |
Comportamento predefinido após instalar as atualizações quando a chave de registo não está definida:
|
É necessário reiniciar? |
Sim, é necessário reiniciar um dispositivo ou reiniciar o serviço de spooler. |