Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Rezime

Postoji bezbednosni zaobilaženje ranjivosti u načinu na koji se povezivanje poziva udaljene procedure štampača (RPC) rukuje potvrdom identiteta za udaljeni Winspool interfejs. Ispravka Windows da reši ovu ranjivost povećanjem nivoa RPC potvrde identiteta i uvođenjem novih smernica i ključa registratora kako bi se klijentima omogućio onemogućavanje ili omogućavanje režima sprovođenja na strani servera kako bi se povećao nivo potvrde identiteta.   

Da biste saznali više o ranjivosti, pogledajte tj. CVE-2021-1678 | Windows Štampanje ranjivosti i iskakanja nalevo na štampanju.

Preuzmi radnju

Morate da uradite sledeće da biste zaštitili okruženje i sprečili prekšćanja:

  1. Ažurirajte sve uređaje klijenta i servera tako što Windows ispravku od 12. januara 2021. ili noviju Windows ažuriranja. Imajte na umu Windows da instaliranje ispravke ne u potpunosti ublažava bezbednosnu ranjivost i može da utiče na trenutnu instalaciju štampanja. Morate da izvršite 2. korak.

  2. Omogućavanje režima sprovođenja na serveru za štampanje. Režim sprovođenja biće omogućen na svim Windows uređajima u nekom budućem periodu.

Vremenski protok ispravki

Ove Windows ispravke će biti objavljene u dve faze:

  • Početna faza primene za Windows ispravke objavljene 12. januara 2021. ili posle 12. januara 2021.

  • Faza sprovođenja za Windows ažuriranja objavljenih u nekom budućem datumu.

12. januar 2021.: Faza početne primene

Početna faza primene počinje ispravkom Windows objavljenom 12. januara 2021. tako što klijentima servera omogućava da omoguće ovaj povećani nivo bezbednosti na osnovu spremnosti okruženja.

Ovo izdanje:

  • Adrese CVE-2021-1678 (u režimu primene podrazumevano je postavljeno na Isključeno).

  • Dodaje podršku za vrednost registratora RpcAuthnLevelPrivacyEnabled kako bi se omogućilo povećanje nivoa autorizacije za štampač IRemoteWinspool zaštitu.

Mitigation se sastoji od instalacije ispravki Windows na svim klijentima i uređajima na nivou servera.

14. septembar 2021: Faza sprovođenja

Prelazi na fazu sprovođenja 14. septembra 2021. Faza sprovođenja nameće promene koje se primenjuju na CVE-2021-1678 tako što povećava nivo autorizacije bez postavljanja vrednosti registratora.

Uputstvo za instalaciju

Pre instaliranja ove ispravke

Morate da imate sledeće potrebne ispravke instalirane pre nego što primenite ovu ispravku. Ako koristite Windows ažuriranje, te potrebne ispravke biće automatski po potrebi ponuđene.

  • Morate da imate instaliranu SHA-2 ispravku (KB4474419) koja je dat 23. septembra 2019. ili novija SHA-2 ispravka, a zatim ponovo pokrenite uređaj pre nego što primenite ovu ispravku. Dodatne informacije o ispravkama za SHA-2 potražite u 2019 sha-2zahtevu za podršku za potpisivanje kodova za Windows i WSUS.

  • Za Windows Server 2008 R2 SP1, morate da imate instaliranu ispravku steka servisiranog steka (SSU) (KB4490628) koja je datna 12. marta 2019. Kada instalirate ispravku KB4490628, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijoj ispravki za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.

  • Za Windows Server 2008 SP2 morate da instalirate ispravku servisiranog steka (SSU) (KB4493730)koja je dat 9. aprila 2019. Nakon instalacije ispravke KB4493730, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijim ispravkama za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.

  • Klijenti treba da kupe proširenu bezbednosnu ispravku (ESU) za verzije na lokaciji sistema Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 posle produžene podrške koja je završena 14. januara 2020. Klijenti koji su kupili ESU moraju da prate procedure iz KB4522133 da bi nastavili da primaju bezbednosne ispravke. Dodatne informacije o ESU i o tome koja su izdanja podržana potražite u kB4497181.

Važno Morate ponovo da pokrenete uređaj kada instalirate ove potrebne ispravke.

Instalirajte ispravku

Da biste rešili bezbednosnu ranjivost, instalirajte ispravke Windows omogućite režim sprovođenja tako što ćete pratiti ove korake:

  1. Primenite ispravku od 12. januara 2021. na sve uređaje klijenta i servera.

  2. Kada se ažuriraju svi klijentski i serverski uređaji, potpunu zaštitu možete da omogućite tako što ćete vrednost registratora postaviti na 1.

1. korak: Instaliranje Windows ažuriranja

Instalirajte ispravku od 12. januara 2021. Windows ili noviju Windows na sve klijentske i serverske uređaje.

Windows Serverski proizvod

KB #

Tip ažuriranja

Windows Server, verzija 20H2 (Core instalacija servera)

4598242

Bezbednosna ispravka

Windows Server, verzija 2004 (Instalacija na serveru – Core)

4598242

Bezbednosna ispravka

Windows Server, verzija 1909 (Instalacija na serveru – Core)

4598229

Bezbednosna ispravka

Windows Server, verzija 1903 (Instalacija na serveru – Core)

4598229

Bezbednosna ispravka

Windows Server 2019 (Instalacija sistema Server Core)

4598230

Bezbednosna ispravka

Windows Server 2019

4598230

Bezbednosna ispravka

Windows Server 2016 (Instalacija sistema Server Core)

4598243

Bezbednosna ispravka

Windows Server 2016

4598243

Bezbednosna ispravka

Windows Server 2012 R2 (instalacija serverske core)

4598285

Mesečna zbirna ispravka

4598275

Samo bezbednost

Windows Server 2012 R2

4598285

Mesečna zbirna ispravka

4598275

Samo bezbednost

Windows Server 2012 (Instalacija sistema Server Core)

4598278

Mesečna zbirna ispravka

4598297

Samo bezbednost

Windows Server 2012

4598278

Mesečna zbirna ispravka

4598297

Samo bezbednost

Windows Server 2008 R2 sa servisnim paketom 1

4598279

Mesečna zbirna ispravka

4598289

Samo bezbednost

Windows Server 2008 servisni paket 2

4598288

Mesečna zbirna ispravka

4598287

Samo bezbednost

2. korak: Omogućavanje režima sprovođenja

Važno Ovaj odeljak, metod ili zadatak sadrže korake koji vam govori kako da promenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno promenite registrator. Zbog toga pažljivo pratite ove korake. Radi dodatne zaštite, pre promene promenite registrator. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da načinite rezervnu kopiju i vratite registrator u prethodno stanje potražite u temi Kako da rezervne kopije i vraćanje u prethodno stanje registratora u prethodno stanje Windows.

Kada se ažuriraju svi klijentski i serverski uređaji, možete da omogućite punu zaštitu primenom režima sprovođenja. Da biste to uradio, sledite ove korake:

  1. Kliknite desnim tasterom miša na Start, izaberite stavku Pokreni, otkucajte cmd u polju Pokreni, a zatim pritisnite kombinaciju tastera Ctrl+Shift+Enter.

  2. Na komandnoj liniji Administrator otkucajte regedit, a zatim pritisnite taster Enter.

  3. Pronađite sledeći potključ registratora:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Kliknite desnim tasterom miša na stavku Odštampaj, odaberitestavku Novo , a zatim izaberite stavku DWORD VALUE (32-bitna) vrednost.

  2. Otkucajte RpcAuthnLevelPrivacyEnabled, a zatim pritisnite taster Enter.

  3. Kliknite desnim tasterom miša na stavku RpcAuthnLevelPrivacyEnabled, a zatim izaberite stavku Izmeni.

  4. U polju Podaci o vrednosti otkucajte1 i kliknite na dugme U redu.

Napomišite Ova ispravka uvodi podršku za RpcAuthnLevelPrivacyEnabled vrednost registratora radi povećanja nivoa autorizacije za štampač IRemoteWinspool.

Potključ registratora

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Vrednost

RpcAuthnLevelPrivacyEnabled

Tip podataka

REG_DWORD

Podaci

1:Omogućava režim sprovođenja. Pre nego što omogućite režim sprovođenja za režim sprovođenja na strani servera, uverite se da su svi klijentski uređaji instalirali Windows ispravku objavljenu 12. januara 2021. ili noviju Windows ispravke. Ova ispravka povećava nivo autorizacije za štampač IRemoteWinspool RPC interfejs i dodaje nove smernice i vrednost registratora na strani servera kako bi nasnalo klijenta da koristi novi nivo autorizacije ako je primenjen režim sprovođenja. Ako klijentski uređaj nema bezbednosnu ispravku od 12. januara 2021. ili noviju Windows ispravku, iskustvo štampanja će se prekinuti kada se klijent poveže sa serverom putem IRemoteWinspool interfejsa.

0:Ne preporučuje se. Onemogućava nivo potvrde identiteta za štampač IRemoteWinspool,a vaši uređaji nisu zaštićeni.

Podrazumevano

Podrazumevano ponašanje nakon instaliranja ispravki kada ključ registratora nije podešen:

  • Ispravke od 12. januara 2021. ili kasnije imaju podrazumevano ponašanje od 0 (nula) kada nisu postavljene.

  • 14. septembar 2021. ili kasnije ispravke imaju podrazumevano ponašanje od 1 (jedan) kada nisu postavljene.

Da li je potrebno ponovno pokretanje?

Da, potrebno je ponovno pokretanje uređaja ili ponovno pokretanje usluge kašnjenja.

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.