Сводка

Обновления для системы безопасности, выпущенные 6 июля 2021 г., содержат защиту от уязвимости удаленного выполнения кода в службе Windows Print Spooler (spoolsv.exe), которая называется   PrintNightmare(PrintNightmare), задокументированная в CVE-2021–34527. После установки обновлений за июль 2021 г. и более поздних версий администраторы, включая делегированную группу администраторов, такие как операторы принтера, не могут установить на сервер печати драйверы принтера с подписью и без подписи. По умолчанию на сервер печати могут устанавливаться как подписанные, так и неподписаные драйверы принтера. 

Примечание Перед установкой внеплановых и более поздних версий обновлений Windows CVE-2021–34527 группа безопасности операторов принтера может установить на сервер принтера как подписанные, так и неподписанных драйверы принтера. Начиная с внепланового обновления за июль 2021 г., для установки на сервер принтера подписанных и неподписанных драйверов принтера потребуются учетные данные администратора. При желании для переопределения всех параметров групповой политики Point и ограничений печати и обеспечения того, что только администраторы могут устанавливать драйверы принтера на сервер печати, настройте значение 1 в реестре RestrictDriverInstallationToAdministrators.

Мы рекомендуем вам немедленно установить последние обновления Windows, выпущенные 6 июля 2021 г. или после 6 июля 2021 г., во всех поддерживаемых клиентских и серверных операционных системах Windows, начиная с устройств, на которые сейчас работает служба печати. Затем в параметрах групповой политики "Настройка точки и ограничений печати" установите в параметрах групповой политики "При установке драйверов для нового подключения" и "При обновлении драйверов для существующего подключения".

"Разрешение"

  1. Установите внеполосы или более поздние обновления за июль 2021 г.

  2. Проверьте, истинны ли следующие условия:

  • Параметры реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) или не определен (значение по умолчанию)

    • UpdatePromptSettings = 0 (DWORD) или не определено (значение по умолчанию)

  • Групповая политика: вы не настроили групповую политику "Ограничения на печать и точках".

Если оба условия истинны, вы не будете уязвими для CVE-2021–34527 и дальнейшие действия не потребуется. Если одно из условий не истинно, вы становятся уязвимыми. Выполните следующие действия, чтобы изменить групповую политику Point и Print Restrictions на безопасную конфигурацию.

  1. Откройте редактор групповой политики и перейдите в меню Конфигурация компьютера > Административные шаблоны > Принтеры. 

  2. Настройте параметры групповой политики Point и Print Restrictions следующим образом:

    1. Установите для параметра групповая политика "Ограничения на печать" параметр "Включено".

    2. "При установке драйверов для нового подключения": "Показать предупреждение и запрос на повышение высоты".

    3. "При обновлении драйверов для существующего подключения": "Показать запрос предупреждения и повышения высоты".

альтернативный текст

Важно Мы настоятельно рекомендуем применить эту политику к всем компьютерам, на которые распространяется служба печати.

Требования к перезапуску: После применения этих параметров это изменение политики не требует перезагрузки устройства или службы печати. 

3. Чтобы подтвердить правильное применение групповой политики, используйте следующие ключи реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Предупреждение При этом устройства, на которых установлено обновление CVE-2021–34527, становятся уязвимыми.

Примечание Настройка этих параметров не отключает функцию "Точка" и "Печать".

4. [Рекомендуется] Переопредить ограничения точки и печати, чтобы только администраторы могли устанавливать драйверы печати на серверах принтера. Для этого используется ключ реестра RestrictDriverInstallationToAdministrators. Для обновлений, выпущенных 6 июля 2021 г. и более поздних версий, по умолчанию задано значение 0 (отключено) до обновления от 10 августа 2021 г.  Обновления, выпущенные 10 августа 2021 г. или более поздней версии, по умолчанию имеют значение 1 (включено).  Дополнительные сведения о том, как настроить предопределение ограниченийУстановкиToAdministrators и другие рекомендации по печати, см. в KB5005652 — управление новыми точками и печатью при установке драйвера по умолчанию (CVE-2021-34481).

Дополнительные сведения

Как исправления для CVE-2021–34527 влияют на сценарий установки драйвера Point и Print по умолчанию для клиентского устройства, которое подключается к общему сетевому принтеру и устанавливает его?

Нет, исправления для CVE-2021–34527 напрямую не влияют на сценарий установки point и print driver по умолчанию для клиентского устройства, которое подключается к общему сетевому принтеру и устанавливает его. В этом случае клиентское устройство подключается к серверу печати и скачивает и устанавливает драйверы с этого надежного сервера. Этот сценарий отличается от ситуации, когда злоумышленник пытается установить вредоносный драйвер на самом сервере печати на локальном или удаленном компьютере.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.