Сводка
Обновления для системы безопасности, выпущенные 6 июля 2021 г., содержат защиту от уязвимости удаленного выполнения кода в службе Windows Print Spooler (spoolsv.exe), которая называется PrintNightmare(PrintNightmare), задокументированная в CVE-2021–34527. После установки обновлений за июль 2021 г. и более поздних версий администраторы, включая делегированную группу администраторов, такие как операторы принтера, не могут установить на сервер печати драйверы принтера с подписью и без подписи. По умолчанию на сервер печати могут устанавливаться как подписанные, так и неподписаные драйверы принтера.
Примечание Перед установкой внеплановых и более поздних версий обновлений Windows CVE-2021–34527 группа безопасности операторов принтера может установить на сервер принтера как подписанные, так и неподписанных драйверы принтера. Начиная с внепланового обновления за июль 2021 г., для установки на сервер принтера подписанных и неподписанных драйверов принтера потребуются учетные данные администратора. При желании для переопределения всех параметров групповой политики Point и ограничений печати и обеспечения того, что только администраторы могут устанавливать драйверы принтера на сервер печати, настройте значение 1 в реестре RestrictDriverInstallationToAdministrators.
Мы рекомендуем вам немедленно установить последние обновления Windows, выпущенные 6 июля 2021 г. или после 6 июля 2021 г., во всех поддерживаемых клиентских и серверных операционных системах Windows, начиная с устройств, на которые сейчас работает служба печати. Затем в параметрах групповой политики "Настройка точки и ограничений печати" установите в параметрах групповой политики "При установке драйверов для нового подключения" и "При обновлении драйверов для существующего подключения".
"Разрешение"
-
Установите внеполосы или более поздние обновления за июль 2021 г.
-
Проверьте, истинны ли следующие условия:
-
Параметры реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) или не определен (значение по умолчанию)
-
UpdatePromptSettings = 0 (DWORD) или не определено (значение по умолчанию)
-
-
Групповая политика: вы не настроили групповую политику "Ограничения на печать и точках".
Если оба условия истинны, вы не будете уязвими для CVE-2021–34527 и дальнейшие действия не потребуется. Если одно из условий не истинно, вы становятся уязвимыми. Выполните следующие действия, чтобы изменить групповую политику Point и Print Restrictions на безопасную конфигурацию.
-
Откройте редактор групповой политики и перейдите в меню Конфигурация компьютера > Административные шаблоны > Принтеры.
-
Настройте параметры групповой политики Point и Print Restrictions следующим образом:
-
Установите для параметра групповая политика "Ограничения на печать" параметр "Включено".
-
"При установке драйверов для нового подключения": "Показать предупреждение и запрос на повышение высоты".
-
"При обновлении драйверов для существующего подключения": "Показать запрос предупреждения и повышения высоты".
-
Важно Мы настоятельно рекомендуем применить эту политику к всем компьютерам, на которые распространяется служба печати.
Требования к перезапуску: После применения этих параметров это изменение политики не требует перезагрузки устройства или службы печати.
3. Чтобы подтвердить правильное применение групповой политики, используйте следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Предупреждение При этом устройства, на которых установлено обновление CVE-2021–34527, становятся уязвимыми.
Примечание Настройка этих параметров не отключает функцию "Точка" и "Печать".
4. [Рекомендуется] Переопредить ограничения точки и печати, чтобы только администраторы могли устанавливать драйверы печати на серверах принтера. Для этого используется ключ реестра RestrictDriverInstallationToAdministrators. Для обновлений, выпущенных 6 июля 2021 г. и более поздних версий, по умолчанию задано значение 0 (отключено) до обновления от 10 августа 2021 г. Обновления, выпущенные 10 августа 2021 г. или более поздней версии, по умолчанию имеют значение 1 (включено). Дополнительные сведения о том, как настроить предопределение ограниченийУстановкиToAdministrators и другие рекомендации по печати, см. в KB5005652 — управление новыми точками и печатью при установке драйвера по умолчанию (CVE-2021-34481).
Дополнительные сведения
Как исправления для CVE-2021–34527 влияют на сценарий установки драйвера Point и Print по умолчанию для клиентского устройства, которое подключается к общему сетевому принтеру и устанавливает его?
Нет, исправления для CVE-2021–34527 напрямую не влияют на сценарий установки point и print driver по умолчанию для клиентского устройства, которое подключается к общему сетевому принтеру и устанавливает его. В этом случае клиентское устройство подключается к серверу печати и скачивает и устанавливает драйверы с этого надежного сервера. Этот сценарий отличается от ситуации, когда злоумышленник пытается установить вредоносный драйвер на самом сервере печати на локальном или удаленном компьютере.