Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Resumo

Existe uma vulnerabilidade de falha de segurança na forma como a autenticação de alças de encadernação de Chamada de Procedimento Remoto (RPC) da impressora da interface do Winspool remoto. A atualização do Windows aborda esta vulnerabilidade ao aumentar o nível de autenticação RPC e ao introduzir uma nova política e chave de registo para permitir aos clientes desativar ou ativar o modo de Imposição no lado do servidor para aumentar o nível de autenticação.   

Para saber mais sobre a vulnerabilidade, consulte OCVE-2021-1678 | Windows Vulnerabilidade de Spooler de Impressão .

Tomar medidas

Para proteger o seu ambiente e impedir intranques, tem de fazer o seguinte:

  1. Atualize todos os dispositivos cliente e servidor ao instalar a atualização de Windows de 12 de janeiro de 2021 ou uma atualização Windows posterior. Tenha em atenção que a instalação Windows atualização de segurança não atenda totalmente a vulnerabilidade de segurança e poderá afetar a sua configuração de impressão atual. Tem de efetuar o Passo 2.

  2. Ativar o modo de Imposição no servidor de impressão. O modo de imposição será ativado em todos Windows dispositivos móveis numa data futura.

Temporizá-lo das atualizações

Estas Windows atualizações serão lançadas em duas fases:

  • A fase de implementação inicial das atualizações Windows lançadas a 12 de janeiro de 2021 ou depois.

  • A fase de imposição Windows atualizações lançadas em algumas datas futuras.

12 de janeiro de 2021: Fase de Implementação Inicial

A fase de implementação inicial começa com a atualização do Windows lançada a 12 de janeiro de 2021, ao fornecer a capacidade de os clientes servidores ativarem este nível de segurança aumentado de forma a que se baseiem na prontidão dos seus ambientes.

Esta versão:

  • Endereços CVE-2021-1678 (no modo de Implementação definido como Desativo por predefinição).

  • Adiciona suporte para o valor de registo RpcAuthnLevelPrivacyEnabled para ativar o aumento do nível de autorização para a proteção IRemoteWinspool da impressora.

A mitigação consiste na instalação da Windows atualizações em todos os dispositivos cliente e ao nível do servidor.

14 de Setembro de 2021: Fase de Imposição

A transição do lançamento para a fase de imposição, a 14 de setembro de 2021. A fase de imposição impõe as alterações a endereço CVE-2021-1678 ao aumentar o nível de autorização sem ter de definir o valor de registo.

Orientação para a instalação

Antes de instalar esta atualização

Tem de ter as seguintes atualizações necessárias instaladas antes de aplicar esta atualização. Se utilizar o Windows Atualização, estas atualizações necessárias serão disponibilizadas automaticamente, conforme necessário.

  • Tem de ter a atualização SHA-2(KB4474419)com a data de 23 de setembro de 2019 ou uma atualização SHA-2 posterior instalada e, em seguida, reinicie o seu dispositivo antes de aplicar esta atualização. Para obter mais informações sobre as atualizações SHA-2, consulte Requisito de Suporte de Assinatura de Código SHA-2 para o Windows e WSUS.

  • Para o Windows Server 2008 R2 SP1, tem de ter instalado a atualização da pilha de atualizações servicing (SSU) (KB4490628)com a data de 12 de março de 2019. Após instalar a atualização KB4490628, recomendamos que instale a atualização SSU mais recente. Para obter mais informações sobre a atualização SSU mais recente, consulte ADV990001 | Atualizações da Pilha de Atualizações da Atualização de Serviço Mais Recentes.

  • Para o Windows Server 2008 SP2, tem de ter instalado a atualização da pilha de atualizações de atualizações servicing (SSU) (KB4493730)que tem a data de 9 de abril de 2019. Após instalar a atualização KB4493730, recomendamos que instale a atualização SSU mais recente. Para obter mais informações sobre as atualizações SSU mais recentes, consulte ADV990001 | Atualizações da Pilha de Atualizações da Atualização de Serviço Mais Recentes.

  • Os clientes têm de comprar a Atualização de Segurança Alargada (ESU) para versões no local do Windows Server 2008 SP2 ou Windows Server 2008 R2 SP1 após o suporte prolongado terminar a 14 de janeiro de 2020. Os clientes que tenham comprado a ESU têm de seguir os procedimentos em KB4522133 para continuar a receber atualizações de segurança. Para obter mais informações sobre a ESU e quais as edições suportadas, consulte KB4497181.

ImportanteTem de reiniciar o dispositivo depois de instalar estas atualizações necessárias.

Instalar a atualização

Para resolver a vulnerabilidade de segurança, instale o Windows atualizações e ative o modo de Imposição ao seguir estes passos:

  1. Implementar a atualização de 12 de janeiro de 2021 para todos os dispositivos cliente e servidor.

  2. Depois de todos os dispositivos cliente e servidor ter sido atualizados, a proteção total pode ser ativada ao definir o valor de registo como 1.

Passo 1: instalar a atualização Windows atualização

Instale a atualização de Windows de 12 de janeiro de 2021 ou uma atualização Windows para todos os dispositivos cliente e servidor.

Windows Produto de servidor

BDC #

Tipo de atualização

Windows Server, versão 20H2 (Instalação Core do Servidor)

4598242

Atualização de Segurança

Windows Server, versão 2004 (instalação Server Core)

4598242

Atualização de Segurança

Windows Server, versão 1909 (instalação Server Core)

4598229

Atualização de Segurança

Windows Server, versão 1903 (instalação Server Core)

4598229

Atualização de Segurança

Windows Server 2019 (instalação Server Core)

4598230

Atualização de Segurança

Windows Server 2019

4598230

Atualização de Segurança

Windows Server 2016 (instalação Core do Servidor)

4598243

Atualização de Segurança

Windows Server 2016

4598243

Atualização de Segurança

Windows Server 2012 R2 (instalação Core do Servidor)

4598285

Rollup Mensal

4598275

Apenas Segurança

Windows Server 2012 R2

4598285

Rollup Mensal

4598275

Apenas Segurança

Windows Server 2012 (instalação Core do Servidor)

4598278

Rollup Mensal

4598297

Apenas Segurança

Windows Server 2012

4598278

Rollup Mensal

4598297

Apenas Segurança

Windows Server 2008 R2 Service Pack 1

4598279

Rollup Mensal

4598289

Apenas Segurança

Windows Server 2008 Service Pack 2

4598288

Rollup Mensal

4598287

Apenas Segurança

Passo 2: Ativar o Modo de Imposição

Importante Esta secção, método ou tarefa contém passos que lhe dizem como alterar o registo. No entanto, podem ocorrer problemas graves se alterar o registo incorretamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma proteção adicional, eis uma segurança do registo antes de o alterar. Deste modo, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma segurança e restaurar o registo, consulte Como fazer uma segurança e restaurar o registo no Windows.

Depois de todos os dispositivos cliente e servidor ter sido atualizados, pode ativar a proteção total ao implementar o modo de Imposição. Para tal, siga estes passos:

  1. Clique com o botão direito dorato em Iniciar, clique em Executar , escreva cmd na caixa Executar e, em seguida, prima Ctrl+Shift+Enter.

  2. Na aviso de comandos de Administrador, escreva regedit e, em seguida, prima Enter.

  3. Localize a seguinte subconsciente de registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Clique com o botão direito do ratoem Imprimir, escolha Novo e, em seguida, clique em Valor DWORD (32 bits).

  2. Escreva RpcAuthnLevelPrivacyEnabled e, em seguida, prima Enter.

  3. Clique com o botão direito do rato em RpcAuthnLevelPrivacyEnabled e, em seguida, clique em Modificar.

  4. Na caixa Dados do valor, escreva 1 e, em seguida, clique em OK.

Note Esta atualização introduz o suporte do valor de registo RpcAuthnLevelPrivacyEnabled para aumentar o nível de autorização para a impressora IRemoteWinspool.

Subconsciente de registo

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Valor

RpcAuthnLevelPrivacyEnabled

Tipo de dados

REG_DWORD

Dados

1: Ativa o modo de Imposição. Antes de ativar o modo de Imposição para o lado do servidor, certifique-se de que todos os dispositivos cliente instalaram a atualização Windows lançada a 12 de janeiro de 2021 ou uma atualização Windows posterior. Esta correção aumenta o nível de autorização da impressora IRemoteWinspool RPC interface e adiciona uma nova política e valor de registo no lado do servidor para impor o cliente de modo a utilizar o novo nível de autorização, se estiver aplicado o Modo de Imposição. Se o dispositivo cliente não tiver a atualização de segurança de 12 de janeiro de 2021 ou uma atualização Windows posterior aplicada, a experiência de impressão será interrompida quando o cliente se ligar ao servidor através da interface IRemoteWinspool.

0: Não recomendado. Desativa o nível de autenticação de aumento para a impressora IRemoteWinspoole os seus dispositivos não estão protegidos.

Predefinição

Comportamento predefinido após instalar as atualizações quando a chave de registo não está definida:

  • As atualizações de 12 de janeiro de 2021 ou posteriores têm o comportamento predefinido de 0 (zero) quando não estão definidas.

  • As atualizações de 14 de setembro de 2021 ou posteriores têm o comportamento predefinido de 1 (um) quando não definido.

É necessário reiniciar?

Sim, é necessário reiniciar um dispositivo ou reiniciar o serviço de spooler.

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.