Rezime
Postoji bezbednosni zaobilaženje ranjivosti u načinu na koji se povezivanje poziva udaljene procedure štampača (RPC) rukuje potvrdom identiteta za udaljeni Winspool interfejs. Ispravka Windows da reši ovu ranjivost povećanjem nivoa RPC potvrde identiteta i uvođenjem novih smernica i ključa registratora kako bi se klijentima omogućio onemogućavanje ili omogućavanje režima sprovođenja na strani servera kako bi se povećao nivo potvrde identiteta.
Da biste saznali više o ranjivosti, pogledajte tj. CVE-2021-1678 | Windows Štampanje ranjivosti i iskakanja nalevo na štampanju.
|
Preuzmi radnju Morate da uradite sledeće da biste zaštitili okruženje i sprečili prekšćanja:
|
Vremenski protok ispravki
Ove Windows ispravke će biti objavljene u dve faze:
-
Početna faza primene za Windows ispravke objavljene 12. januara 2021. ili posle 12. januara 2021.
-
Faza sprovođenja za Windows ažuriranja objavljenih u nekom budućem datumu.
12. januar 2021.: Faza početne primene
Početna faza primene počinje ispravkom Windows objavljenom 12. januara 2021. tako što klijentima servera omogućava da omoguće ovaj povećani nivo bezbednosti na osnovu spremnosti okruženja.
Ovo izdanje:
-
Adrese CVE-2021-1678 (u režimu primene podrazumevano je postavljeno na Isključeno).
-
Dodaje podršku za vrednost registratora RpcAuthnLevelPrivacyEnabled kako bi se omogućilo povećanje nivoa autorizacije za štampač IRemoteWinspool zaštitu.
Mitigation se sastoji od instalacije ispravki Windows na svim klijentima i uređajima na nivou servera.
14. septembar 2021: Faza sprovođenja
Prelazi na fazu sprovođenja 14. septembra 2021. Faza sprovođenja nameće promene koje se primenjuju na CVE-2021-1678 tako što povećava nivo autorizacije bez postavljanja vrednosti registratora.
Uputstvo za instalaciju
Pre instaliranja ove ispravke
Morate da imate sledeće potrebne ispravke instalirane pre nego što primenite ovu ispravku. Ako koristite Windows ažuriranje, te potrebne ispravke biće automatski po potrebi ponuđene.
-
Morate da imate instaliranu SHA-2 ispravku (KB4474419) koja je dat 23. septembra 2019. ili novija SHA-2 ispravka, a zatim ponovo pokrenite uređaj pre nego što primenite ovu ispravku. Dodatne informacije o ispravkama za SHA-2 potražite u 2019 sha-2zahtevu za podršku za potpisivanje kodova za Windows i WSUS.
-
Za Windows Server 2008 R2 SP1, morate da imate instaliranu ispravku steka servisiranog steka (SSU) (KB4490628) koja je datna 12. marta 2019. Kada instalirate ispravku KB4490628, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijoj ispravki za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.
-
Za Windows Server 2008 SP2 morate da instalirate ispravku servisiranog steka (SSU) (KB4493730)koja je dat 9. aprila 2019. Nakon instalacije ispravke KB4493730, preporučujemo da instalirate najnoviju SSU ispravku. Više informacija o najnovijim ispravkama za SSU potražite u temi ADV990001 | Najnovije ispravke servisnog steka.
-
Klijenti treba da kupe proširenu bezbednosnu ispravku (ESU) za verzije na lokaciji sistema Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 posle produžene podrške koja je završena 14. januara 2020. Klijenti koji su kupili ESU moraju da prate procedure iz KB4522133 da bi nastavili da primaju bezbednosne ispravke. Dodatne informacije o ESU i o tome koja su izdanja podržana potražite u kB4497181.
Važno Morate ponovo da pokrenete uređaj kada instalirate ove potrebne ispravke.
Instalirajte ispravku
Da biste rešili bezbednosnu ranjivost, instalirajte ispravke Windows omogućite režim sprovođenja tako što ćete pratiti ove korake:
-
Primenite ispravku od 12. januara 2021. na sve uređaje klijenta i servera.
-
Kada se ažuriraju svi klijentski i serverski uređaji, potpunu zaštitu možete da omogućite tako što ćete vrednost registratora postaviti na 1.
1. korak: Instaliranje Windows ažuriranja
Instalirajte ispravku od 12. januara 2021. Windows ili noviju Windows na sve klijentske i serverske uređaje.
|
Windows Serverski proizvod |
KB # |
Tip ažuriranja |
|
Windows Server, verzija 20H2 (Core instalacija servera) |
Bezbednosna ispravka |
|
|
Windows Server, verzija 2004 (Instalacija na serveru – Core) |
Bezbednosna ispravka |
|
|
Windows Server, verzija 1909 (Instalacija na serveru – Core) |
Bezbednosna ispravka |
|
|
Windows Server, verzija 1903 (Instalacija na serveru – Core) |
Bezbednosna ispravka |
|
|
Windows Server 2019 (Instalacija sistema Server Core) |
Bezbednosna ispravka |
|
|
Windows Server 2019 |
Bezbednosna ispravka |
|
|
Windows Server 2016 (Instalacija sistema Server Core) |
Bezbednosna ispravka |
|
|
Windows Server 2016 |
Bezbednosna ispravka |
|
|
Windows Server 2012 R2 (instalacija serverske core) |
Mesečna zbirna ispravka |
|
|
Samo bezbednost |
||
|
Windows Server 2012 R2 |
Mesečna zbirna ispravka |
|
|
Samo bezbednost |
||
|
Windows Server 2012 (Instalacija sistema Server Core) |
Mesečna zbirna ispravka |
|
|
Samo bezbednost |
||
|
Windows Server 2012 |
Mesečna zbirna ispravka |
|
|
Samo bezbednost |
||
|
Windows Server 2008 R2 sa servisnim paketom 1 |
Mesečna zbirna ispravka |
|
|
Samo bezbednost |
||
|
Windows Server 2008 servisni paket 2 |
Mesečna zbirna ispravka |
|
|
Samo bezbednost |
2. korak: Omogućavanje režima sprovođenja
Važno Ovaj odeljak, metod ili zadatak sadrže korake koji vam govori kako da promenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno promenite registrator. Zbog toga pažljivo pratite ove korake. Radi dodatne zaštite, pre promene promenite registrator. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da načinite rezervnu kopiju i vratite registrator u prethodno stanje potražite u temi Kako da rezervne kopije i vraćanje u prethodno stanje registratora u prethodno stanje Windows.
Kada se ažuriraju svi klijentski i serverski uređaji, možete da omogućite punu zaštitu primenom režima sprovođenja. Da biste to uradio, sledite ove korake:
-
Kliknite desnim tasterom miša na Start, izaberite stavku Pokreni, otkucajte cmd u polju Pokreni, a zatim pritisnite kombinaciju tastera Ctrl+Shift+Enter.
-
Na komandnoj liniji Administrator otkucajte regedit, a zatim pritisnite taster Enter.
-
Pronađite sledeći potključ registratora:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Kliknite desnim tasterom miša na stavku Odštampaj, odaberitestavku Novo , a zatim izaberite stavku DWORD VALUE (32-bitna) vrednost.
-
Otkucajte RpcAuthnLevelPrivacyEnabled, a zatim pritisnite taster Enter.
-
Kliknite desnim tasterom miša na stavku RpcAuthnLevelPrivacyEnabled, a zatim izaberite stavku Izmeni.
-
U polju Podaci o vrednosti otkucajte1 i kliknite na dugme U redu.
Napomišite Ova ispravka uvodi podršku za RpcAuthnLevelPrivacyEnabled vrednost registratora radi povećanja nivoa autorizacije za štampač IRemoteWinspool.
|
Potključ registratora |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Vrednost |
RpcAuthnLevelPrivacyEnabled |
|
Tip podataka |
REG_DWORD |
|
Podaci |
1:Omogućava režim sprovođenja. Pre nego što omogućite režim sprovođenja za režim sprovođenja na strani servera, uverite se da su svi klijentski uređaji instalirali Windows ispravku objavljenu 12. januara 2021. ili noviju Windows ispravke. Ova ispravka povećava nivo autorizacije za štampač IRemoteWinspool RPC interfejs i dodaje nove smernice i vrednost registratora na strani servera kako bi nasnalo klijenta da koristi novi nivo autorizacije ako je primenjen režim sprovođenja. Ako klijentski uređaj nema bezbednosnu ispravku od 12. januara 2021. ili noviju Windows ispravku, iskustvo štampanja će se prekinuti kada se klijent poveže sa serverom putem IRemoteWinspool interfejsa. 0:Ne preporučuje se. Onemogućava nivo potvrde identiteta za štampač IRemoteWinspool,a vaši uređaji nisu zaštićeni. |
|
Podrazumevano |
Podrazumevano ponašanje nakon instaliranja ispravki kada ključ registratora nije podešen:
|
|
Da li je potrebno ponovno pokretanje? |
Da, potrebno je ponovno pokretanje uređaja ili ponovno pokretanje usluge kašnjenja. |
