Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Аннотация

Уязвимости обхода безопасности существуют в том случае, если привязка удаленного вызова процедуры принтера (RPC) обрабатывает проверку подлинности для удаленного интерфейса Winspool. Обновление Windows позволяет решить эту уязвимость, увеличив уровень проверки подлинности RPC и введя новый ключ политики и реестра, чтобы клиенты могли отключить или включить режим принудительных мер на стороне сервера, чтобы повысить уровень проверки подлинности.   

Дополнительные информацию об уязвимости см. в | Windows Print Spooler Spoofing Vulnerability.

Принять меры

Чтобы защитить среду и предотвратить с простои, необходимо сделать следующее:

  1. Обновив все клиентские и серверные устройства, установите обновление от 12 января 2021 Windows или Windows обновления. Следует помнить, что установка Windows не полностью устраняет уязвимость системы безопасности и может повлиять на текущую настройку печати. Необходимо выполнить шаг 2.

  2. Включить режим принуживания на сервере печати. Режим принуживания будет включен на всех Windows устройствах в будущем.

Время обновления

Эти Windows выпускаются в два этапа:

  • Начальный этап развертывания Windows обновлений, выпущенных 12 января 2021 г. или после них.

  • Этап обеспечения Windows обновлений, выпущенных в будущем.

12 января 2021 г.: начальный этап развертывания

Начальный этап развертывания начинается с обновления Windows 12 января 2021 г., которое позволяет клиентам серверов самостоятельно включить этот повышенный уровень безопасности в зависимости от готовности среды.

Этот выпуск:

  • Адреса CVE-2021–1678 (в режиме развертывания по умолчанию установлено значение Отключено).

  • Добавляет поддержку реестра RpcAuthnLevelPrivacyEnabled, чтобы повысить уровень авторизации для защиты принтера IRemoteWinspool.

Решение состоит в установке обновлений Windows на всех клиентских и серверных устройствах.

14 сентября 2021 г.: этап обеспечения соблюдения

Выпуск будет завершен 14 сентября 2021 г. На этапе принудительного применения изменения в CVE-2021–1678 будут применяться путем увеличения уровня авторизации без необходимости устанавливать значение реестра.

Руководство по установке

Перед установкой этого обновления

Для применения этого обновления необходимо установить следующие необходимые обновления: При использовании Windows обновления эти необходимые обновления будут предлагаться автоматически.

  • Необходимо установить обновление SHA-2(KB4474419)от 23 сентября 2019 г. или более позднее обновление SHA-2, а затем перезапустить устройство, прежде чем применять это обновление. Дополнительные сведения об обновлениях SHA-2 см. в требованиях к поддержке подписи кода SHA-2 версии 2019для Windows и WSUS.

  • Для Windows Server 2008 R2 с пакетом обновления 1 (SP1) необходимо установить обновление стека обслуживания(KB4490628)от 12 марта 2019 г. После установки обновления KB4490628 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последнем обновлении SSU см. в | Последние обновления для стека обслуживания.

  • Для Windows Server 2008 с пакетом обновления 2 (SP2) необходимо установить обновление стека обслуживания(KB4493730)от 9 апреля 2019 г. После установки обновления KB4493730 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последних обновлениях SSU см. в | Последние обновления для стека обслуживания.

  • Клиентам необходимо приобрести расширенное обновление системы безопасности (ESU) для локальной версии Windows Server 2008 с SP2 или Windows Server 2008 R2 с SP1 после окончания расширенной поддержки 14 января 2020 г. Клиенты, которые приобрели ESU, должны следовать процедурам ВК4522133, чтобы продолжать получать обновления для системы безопасности. Дополнительные сведения о ESU и поддерживаемых выпусках см. в KB4497181.

Важно!После установки этих необходимых обновлений необходимо перезапустить устройство.

Установка обновления

Чтобы устранить уязвимость безопасности, установите обновления Windows и в режиме принудительных действий:

  1. Развернем обновление от 12 января 2021 г. на всех клиентских и серверных устройствах.

  2. После обновления всех клиентских и серверных устройств можно включить полную защиту, задав для реестра значение 1.

Шаг 1. Установка Windows обновления

Установите обновление от 12 января 2021 Windows или более поздней версии Windows на все клиентские и серверные устройства.

Windows Серверный продукт

КБ #

Тип обновления

Windows Сервер версии 20H2 (установка ядра сервера)

4598242

Обновление системы безопасности

Windows Server, версия 2004 (установка Core сервера)

4598242

Обновление системы безопасности

Windows Сервер версии 1909 (установка core сервера)

4598229

Обновление системы безопасности

Windows Server, версия 1903 (установка Core сервера)

4598229

Обновление системы безопасности

Windows Server 2019 (установка Core сервера)

4598230

Обновление системы безопасности

Windows Server 2019

4598230

Обновление системы безопасности

Windows Server 2016 (установка core сервера)

4598243

Обновление системы безопасности

Windows Server 2016

4598243

Обновление системы безопасности

Windows Server 2012 R2 (установка core сервера)

4598285

Ежемесячный скат

4598275

Только безопасность

Windows Server 2012 R2

4598285

Ежемесячный скат

4598275

Только безопасность

Windows Server 2012 (установка core сервера)

4598278

Ежемесячный скат

4598297

Только безопасность

Windows Server 2012

4598278

Ежемесячный скат

4598297

Только безопасность

Windows Server 2008 R2 с пакетом обновления 1

4598279

Ежемесячный скат

4598289

Только безопасность

Пакет обновления 2 (SP2) для Windows Server 2008

4598288

Ежемесячный скат

4598287

Только безопасность

Шаг 2. Включить режим обеспечения соблюдения

Важно! В этом разделе, методе или задаче содержатся действия по изменению реестра. Однако ошибки при изменении реестра могут привести к серьезным проблемам. Поэтому следует точно выполнять приведенные инструкции. Чтобы защититься, перед изменением реестра необходимо создать его. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой Windows.

После обновления всех клиентских и серверных устройств можно включить полную защиту, разверив режим принудительных мер. Для этого выполните следующие действия:

  1. Щелкните правой кнопкоймыши кнопку Начните, выберите выполнить, введите cmd в поле Выполнить, а затем нажмите CTRL+SHIFT+ВВОД.

  2. В командной области Администратор введите regedit и нажмите ввод.

  3. Найдите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Щелкните правой кнопкой мышикнопку Печать , выберите Новый, а затем — Значение DWORD (32-битное) Значение.

  2. Введите RpcAuthnLevelPrivacyEnabled и нажмите ввод.

  3. Щелкните правой кнопкой мыши RpcAuthnLevelPrivacyEnabled ивыберитеизменить .

  4. В поле Значение введите1 и нажмите кнопку ОК.

Примечание. Это обновление поддерживает значение реестра RpcAuthnLevelPrivacyEnabled, чтобы повысить уровень авторизации для принтера IRemoteWinspool.

Подменю реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Значение

RpcAuthnLevelPrivacyEnabled

Тип данных

REG_DWORD

Данные

1.Включает режим обеспечения соблюдения. Перед тем как включить режим принуживания для серверов, убедитесь, что на всех клиентских устройствах установлено обновление Windows от 12 января 2021 г. или Windows более поздней версии. Это исправление увеличивает уровень авторизации для принтера IRemoteWinspool RPC и добавляет новое значение политики и реестра на стороне сервера, чтобы принудительно использовать новый уровень авторизации, если применяется режим принудительного применения. Если на клиентском устройстве не применено обновление для системы безопасности от 12 января 2021 г. или более поздней версии Windows, печать будет нарушена при подключении клиента к серверу с помощью интерфейса IRemoteWinspool.

0:не рекомендуется. Отключает увеличение уровня проверки подлинности для принтера IRemoteWinspool,а ваши устройства не защищены.

По умолчанию

Поведение по умолчанию после установки обновлений, когда не за установлена клавиша реестра:

  • В обновлениях от 12 января 2021 г. и более поздних версий по умолчанию установлено значение 0 (ноль).

  • В обновлениях от 14 сентября 2021 г. и более поздних версий по умолчанию за установлено значение 1 (один).

Требуется ли перезапуск?

Да, требуется перезапуск устройства или перезапуск службы выгрузки.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.