Аннотация
Уязвимости обхода безопасности существуют в том случае, если привязка удаленного вызова процедуры принтера (RPC) обрабатывает проверку подлинности для удаленного интерфейса Winspool. Обновление Windows позволяет решить эту уязвимость, увеличив уровень проверки подлинности RPC и введя новый ключ политики и реестра, чтобы клиенты могли отключить или включить режим принудительных мер на стороне сервера, чтобы повысить уровень проверки подлинности.
Дополнительные информацию об уязвимости см. в | Windows Print Spooler Spoofing Vulnerability.
Принять меры Чтобы защитить среду и предотвратить с простои, необходимо сделать следующее:
|
Время обновления
Эти Windows выпускаются в два этапа:
-
Начальный этап развертывания Windows обновлений, выпущенных 12 января 2021 г. или после них.
-
Этап обеспечения Windows обновлений, выпущенных в будущем.
12 января 2021 г.: начальный этап развертывания
Начальный этап развертывания начинается с обновления Windows 12 января 2021 г., которое позволяет клиентам серверов самостоятельно включить этот повышенный уровень безопасности в зависимости от готовности среды.
Этот выпуск:
-
Адреса CVE-2021–1678 (в режиме развертывания по умолчанию установлено значение Отключено).
-
Добавляет поддержку реестра RpcAuthnLevelPrivacyEnabled, чтобы повысить уровень авторизации для защиты принтера IRemoteWinspool.
Решение состоит в установке обновлений Windows на всех клиентских и серверных устройствах.
14 сентября 2021 г.: этап обеспечения соблюдения
Выпуск будет завершен 14 сентября 2021 г. На этапе принудительного применения изменения в CVE-2021–1678 будут применяться путем увеличения уровня авторизации без необходимости устанавливать значение реестра.
Руководство по установке
Перед установкой этого обновления
Для применения этого обновления необходимо установить следующие необходимые обновления: При использовании Windows обновления эти необходимые обновления будут предлагаться автоматически.
-
Необходимо установить обновление SHA-2(KB4474419)от 23 сентября 2019 г. или более позднее обновление SHA-2, а затем перезапустить устройство, прежде чем применять это обновление. Дополнительные сведения об обновлениях SHA-2 см. в требованиях к поддержке подписи кода SHA-2 версии 2019для Windows и WSUS.
-
Для Windows Server 2008 R2 с пакетом обновления 1 (SP1) необходимо установить обновление стека обслуживания(KB4490628)от 12 марта 2019 г. После установки обновления KB4490628 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последнем обновлении SSU см. в | Последние обновления для стека обслуживания.
-
Для Windows Server 2008 с пакетом обновления 2 (SP2) необходимо установить обновление стека обслуживания(KB4493730)от 9 апреля 2019 г. После установки обновления KB4493730 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последних обновлениях SSU см. в | Последние обновления для стека обслуживания.
-
Клиентам необходимо приобрести расширенное обновление системы безопасности (ESU) для локальной версии Windows Server 2008 с SP2 или Windows Server 2008 R2 с SP1 после окончания расширенной поддержки 14 января 2020 г. Клиенты, которые приобрели ESU, должны следовать процедурам ВК4522133, чтобы продолжать получать обновления для системы безопасности. Дополнительные сведения о ESU и поддерживаемых выпусках см. в KB4497181.
Важно!После установки этих необходимых обновлений необходимо перезапустить устройство.
Установка обновления
Чтобы устранить уязвимость безопасности, установите обновления Windows и в режиме принудительных действий:
-
Развернем обновление от 12 января 2021 г. на всех клиентских и серверных устройствах.
-
После обновления всех клиентских и серверных устройств можно включить полную защиту, задав для реестра значение 1.
Шаг 1. Установка Windows обновления
Установите обновление от 12 января 2021 Windows или более поздней версии Windows на все клиентские и серверные устройства.
Windows Серверный продукт |
КБ # |
Тип обновления |
Windows Сервер версии 20H2 (установка ядра сервера) |
Обновление системы безопасности |
|
Windows Server, версия 2004 (установка Core сервера) |
Обновление системы безопасности |
|
Windows Сервер версии 1909 (установка core сервера) |
Обновление системы безопасности |
|
Windows Server, версия 1903 (установка Core сервера) |
Обновление системы безопасности |
|
Windows Server 2019 (установка Core сервера) |
Обновление системы безопасности |
|
Windows Server 2019 |
Обновление системы безопасности |
|
Windows Server 2016 (установка core сервера) |
Обновление системы безопасности |
|
Windows Server 2016 |
Обновление системы безопасности |
|
Windows Server 2012 R2 (установка core сервера) |
Ежемесячный скат |
|
Только безопасность |
||
Windows Server 2012 R2 |
Ежемесячный скат |
|
Только безопасность |
||
Windows Server 2012 (установка core сервера) |
Ежемесячный скат |
|
Только безопасность |
||
Windows Server 2012 |
Ежемесячный скат |
|
Только безопасность |
||
Windows Server 2008 R2 с пакетом обновления 1 |
Ежемесячный скат |
|
Только безопасность |
||
Пакет обновления 2 (SP2) для Windows Server 2008 |
Ежемесячный скат |
|
Только безопасность |
Шаг 2. Включить режим обеспечения соблюдения
Важно! В этом разделе, методе или задаче содержатся действия по изменению реестра. Однако ошибки при изменении реестра могут привести к серьезным проблемам. Поэтому следует точно выполнять приведенные инструкции. Чтобы защититься, перед изменением реестра необходимо создать его. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой Windows.
После обновления всех клиентских и серверных устройств можно включить полную защиту, разверив режим принудительных мер. Для этого выполните следующие действия:
-
Щелкните правой кнопкоймыши кнопку Начните, выберите выполнить, введите cmd в поле Выполнить, а затем нажмите CTRL+SHIFT+ВВОД.
-
В командной области Администратор введите regedit и нажмите ввод.
-
Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Щелкните правой кнопкой мышикнопку Печать , выберите Новый, а затем — Значение DWORD (32-битное) Значение.
-
Введите RpcAuthnLevelPrivacyEnabled и нажмите ввод.
-
Щелкните правой кнопкой мыши RpcAuthnLevelPrivacyEnabled ивыберитеизменить .
-
В поле Значение введите1 и нажмите кнопку ОК.
Примечание. Это обновление поддерживает значение реестра RpcAuthnLevelPrivacyEnabled, чтобы повысить уровень авторизации для принтера IRemoteWinspool.
Подменю реестра |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Значение |
RpcAuthnLevelPrivacyEnabled |
Тип данных |
REG_DWORD |
Данные |
1.Включает режим обеспечения соблюдения. Перед тем как включить режим принуживания для серверов, убедитесь, что на всех клиентских устройствах установлено обновление Windows от 12 января 2021 г. или Windows более поздней версии. Это исправление увеличивает уровень авторизации для принтера IRemoteWinspool RPC и добавляет новое значение политики и реестра на стороне сервера, чтобы принудительно использовать новый уровень авторизации, если применяется режим принудительного применения. Если на клиентском устройстве не применено обновление для системы безопасности от 12 января 2021 г. или более поздней версии Windows, печать будет нарушена при подключении клиента к серверу с помощью интерфейса IRemoteWinspool. 0:не рекомендуется. Отключает увеличение уровня проверки подлинности для принтера IRemoteWinspool,а ваши устройства не защищены. |
По умолчанию |
Поведение по умолчанию после установки обновлений, когда не за установлена клавиша реестра:
|
Требуется ли перезапуск? |
Да, требуется перезапуск устройства или перезапуск службы выгрузки. |