Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Rezumat

Există o vulnerabilitate de ocolire de securitate în modul în care legarea Printer Remote Procedure Call (RPC) gestionează autentificarea pentru interfața Usbpool la distanță. Actualizarea Windows această vulnerabilitate prin creșterea nivelului de autentificare RPC și introducerea unei noi politici și a unei chei de registry pentru a le permite clienților să dezactiveze sau să activez modul de impunere pe partea server pentru a mări nivelul de autentificare.   

Pentru a afla mai multe despre vulnerabilitate, consultați rapoarte CVE-2021-1678 | Windows Imprimați o vulnerabilitate pentru falsitatea derulatorului de imprimare.

Luați măsuri

Pentru a vă proteja mediul și a preveni depărtări, trebuie să faceți următoarele:

  1. Actualizați toate dispozitivele client și server, instalând actualizarea din 12 ianuarie 2021 Windows actualizarea mai Windows actualizare. Rețineți că instalarea actualizării Windows nu atenuează complet vulnerabilitatea de securitate și poate afecta configurația curentă a imprimării. Trebuie să efectuați Pasul 2.

  2. Activarea modului de impunere pe serverul de imprimare. Modul de impunere va fi activat pe toate Windows la o dată viitoare.

Temporizare actualizări

Aceste Windows noi actualizări vor fi lansate în două faze:

  • Faza de implementare inițială pentru Windows lansate la sau după 12 ianuarie 2021.

  • Faza de impunere pentru actualizările Windows lansate la anumite date viitoare.

12 ianuarie 2021: Etapa de implementare inițială

Faza de implementare inițială începe cu actualizarea Windows lansată la 12 ianuarie 2021, oferind clienților server capacitatea de a activa acest nivel de securitate sporit pe cont propriu, pe baza pregătirea mediului lor.

Această versiune:

  • Adrese CVE-2021-1678 (în modul de implementare setată la Dezactivat în mod implicit).

  • Adaugă suport pentru valoarea registry RpcAuthnLevelPrivacyEnabled pentru a activa creșterea nivelului de autorizare pentru protecția IRemoteWinspool a imprimantei.

Atenuarea constă în instalarea actualizărilor de Windows pe toate dispozitivele client și la nivel de server.

14 septembrie 2021: Etapa de impunere

Lansări vor intra în etapa de impunere pe 14 septembrie 2021. Etapa de impunere impune modificările pentru adresa CVE-2021-1678 prin creșterea nivelului de autorizare fără a fi nevoie să setați valoarea de registry.

Instrucțiuni pentru instalare

Înainte de a instala această actualizare

Trebuie să aveți următoarele actualizări necesare instalate înainte de a aplica această actualizare. Dacă utilizați această Windows, aceste actualizări necesare vor fi oferite automat, după cum este necesar.

  • Trebuie să aveți instalată actualizarea SHA-2(KB4474419)care este cu 23 septembrie 2019 sau o actualizare SHA-2 mai recentă, apoi să reporniți dispozitivul înainte de a aplica această actualizare. Pentru mai multe informații despre actualizările SHA-2, consultați Cerința de asistență pentru semnarea codului SHA-2 2 2019 pentru Windows și WSUS.

  • Pentru Windows Server 2008 R2 SP1, trebuie să fi instalat actualizarea stivei de servicii (SSU)(KB4490628)care este datată la 12 martie 2019. După ce instalați actualizarea KB4490628, vă recomandăm să instalați cea mai recentă actualizare SSU. Pentru mai multe informații despre cea mai recentă actualizare SSU, consultați ADV990001 | Cele mai recente actualizări ale stivei de servicii.

  • Pentru Windows Server 2008 SP2, trebuie să fi instalat actualizarea stivei de servicii (SSU) (KB4493730)care este datată 9 aprilie 2019. După ce instalați actualizarea KB4493730, vă recomandăm să instalați cea mai recentă actualizare SSU. Pentru mai multe informații despre cele mai recente actualizări SSU, consultați ADV990001 | Cele mai recente actualizări ale stivei de servicii.

  • Clienții trebuie să achiziționeze Actualizarea de securitate extinsă (Extended Security Update - ESU) pentru versiunile locale de Windows Server 2008 SP2 sau Windows Server 2008 R2 SP1 după ce suportul extins s-a încheiat la 14 ianuarie 2020. Clienții care au achiziționat ESU trebuie să urmeze procedurile din KB4522133 pentru a continua să primească actualizări de securitate. Pentru mai multe informații despre ESU și edițiile acceptate, consultați KB4497181.

Important Trebuie să reporniți dispozitivul după ce instalați aceste actualizări necesare.

Instalați actualizarea

Pentru a rezolva vulnerabilitatea de securitate, instalați actualizările automate Windows activați modul de impunere, urmând acești pași:

  1. Implementați actualizarea din 12 ianuarie 2021 pe toate dispozitivele client și server.

  2. După ce au fost actualizate toate dispozitivele client și server, protecția completă poate fi activată setând valoarea de registry la 1.

Pasul 1: Instalați actualizarea Windows actualizare

Instalați actualizarea din 12 ianuarie 2021 Windows o actualizare sau o versiune Windows mai recentă a tuturor dispozitivelor client și server.

Windows Produs server

KB #

Tipul actualizării

Windows Server, versiunea 20H2 (Server Core Installation)

4598242

Actualizare de securitate

Windows Server, versiunea 2004 (instalare Server Core)

4598242

Actualizare de securitate

Windows Server, versiunea 1909 (instalare Server Core)

4598229

Actualizare de securitate

Windows Server, versiunea 1903 (instalare Server Core)

4598229

Actualizare de securitate

Windows Server 2019 (instalare server de bază)

4598230

Actualizare de securitate

Windows Server 2019

4598230

Actualizare de securitate

Windows Server 2016 (instalare server de bază)

4598243

Actualizare de securitate

Windows Server 2016

4598243

Actualizare de securitate

Windows Server 2012 R2 (instalare server de bază)

4598285

Monthly Rollup

4598275

Doar securitate

Windows Server 2012 R2

4598285

Monthly Rollup

4598275

Doar securitate

Windows Server 2012 (instalare server de bază)

4598278

Monthly Rollup

4598297

Doar securitate

Windows Server 2012

4598278

Monthly Rollup

4598297

Doar securitate

Windows Server 2008 R2 cu pachetul Service Pack 1

4598279

Monthly Rollup

4598289

Doar securitate

Windows Server 2008 Service Pack 2

4598288

Monthly Rollup

4598287

Doar securitate

Pasul 2: Activarea modului de impunere

Important Această secțiune, metodă sau activitate conțin pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru protecție suplimentară, faceți o parte din registry înainte de a-l modifica. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru mai multe informații despre cum să faceți backup și să restaurați registry-ul, consultați Cum să faceți backup și să restaurați registry în Windows.

După ce au fost actualizate toate dispozitivele client și server, puteți activa protecția completă prin implementarea modului de impunere. Pentru a face acest lucru, urmați acești pași:

  1. Faceți clic dreapta pe Start, facețiclic pe Rulare , tastați cmd în caseta Rulare, apoi apăsați Ctrl+Shift+Enter.

  2. În linia de comandă Administrator, tastați regedit, apoi apăsați pe Enter.

  3. Găsiți următoarea subcheie de registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Faceți clic dreapta pe Print, alegeți New, apoi faceți clic pe DWORD VALUE (32-bit) Value.

  2. Tastați RpcAuthnLevelPrivacyEnabled, apoi apăsați pe Enter.

  3. Faceți clic dreapta pe RpcAuthnLevelPrivacyEnabled, apoi faceți clic pe Modificare.

  4. În caseta Value data, tastați 1, apoi faceți clic pe OK.

Notă Această actualizare introduce suport pentru valoarea registry RpcAuthnLevelPrivacyEnabled, pentru a mări nivelul de autorizare pentru imprimanta IRemoteWinspool.

Subcheie de registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Valoare

RpcAuthnLevelPrivacyEnabled

Tip de date

REG_DWORD

Date

1:Activează modul de impunere. Înainte de a activa modul de impunere pentru partea server, asigurați-vă că toate dispozitivele client au instalat actualizarea Windows lansată pe 12 ianuarie 2021 sau o actualizare Windows mai recentă. Această remediere mărește nivelul de autorizare pentru imprimanta IRemoteWinspool interfață RPC și adaugă o nouă valoare de politică și registry pe partea server pentru a-i impune clientului să utilizeze noul nivel de autorizare dacă se aplică noul mod de impunere. Dacă dispozitivul client nu are actualizarea de securitate din 12 ianuarie 2021 sau o actualizare Windows mai recentă aplicată, experiența de imprimare va fi întreruptă atunci când clientul se conectează la server prin interfața IRemoteWinspool.

0:Nerecomandat. Dezactivează nivelul de autentificare crește pentru imprimanta IRemoteWinspoolși dispozitivele dvs. nu sunt protejate.

Implicit

Comportament implicit după instalarea actualizărilor atunci când nu este setată cheia de registry:

  • 12 ianuarie 2021 sau actualizările mai recente au comportamentul implicit 0 (zero) atunci când nu este setat.

  • 14 septembrie 2021 sau mai recente actualizări au comportamentul implicit 1 (unu) atunci când nu este setat.

Este necesară o Repornire?

Da, este necesară o repornire a dispozitivului sau o repornire a serviciului derulator.

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.