Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

สรุป

ช่องโหว่การเลี่ยงผ่านด้านความปลอดภัยมีอยู่ในวิธีที่การผูกข้อมูล Printer Remote Procedure Call (RPC) จัดการการรับรองความถูกต้อง For the remote Winspool interface การอัปเดต Windowsระบุช่องโหว่นี้ด้วยการเพิ่มระดับการรับรองความถูกต้อง RPC และแนะนํานโยบายและคีย์รีจิสทรีใหม่เพื่ออนุญาตให้ลูกค้าปิดใช้งานหรือเปิดใช้งานโหมดการบังคับใช้ทางฝั่งเซิร์ฟเวอร์เพื่อเพิ่มระดับการรับรองความถูกต้อง   

เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ ให้ดูที่CVE-2021-1678 | Windows Print Spooler Spoofing Vulnerability.

ใช้การแอคชัน

เมื่อต้องการป้องกันสภาพแวดล้อมของคุณ และป้องกันไฟไม่ส้ราง คุณต้อง:

  1. อัปเดตอุปกรณ์ไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมดโดยการติดตั้งการอัปเดตในวันที่ 12 มกราคม 2021 WindowsหรือการอัปเดตWindowsที่ใหม่กว่า โปรดทราบว่า การติดตั้งการอัปเดต Windowsจะลดความเสี่ยงด้านความปลอดภัยทั้งหมดและอาจส่งผลต่อการตั้งค่าการพิมพ์ปัจจุบันของคุณ คุณต้องปฏิบัติตามขั้นตอนที่ 2

  2. เปิดใช้งานโหมดการบังคับใช้บนเซิร์ฟเวอร์การพิมพ์ โหมดการบังคับใช้จะถูกเปิดใช้งานบนอุปกรณ์Windowsทุกเครื่องในอนาคต

การจับเวลาของการอัปเดต

การอัปเดตWindowsเหล่านี้จะถูกเผยแพร่ในสองขั้นตอน:

  • ขั้นตอนการปรับใช้เบื้องต้นWindowsการอัปเดตที่เผยแพร่ในวันที่ 12 มกราคม 2021 หรือหลังวันที่ 12 มกราคม 2021

  • ระยะการบังคับใช้Windowsการอัปเดตล่าสุดที่เผยแพร่ในอนาคต

12 มกราคม 2021: ระยะการปรับใช้เริ่มต้น

ขั้นการปรับใช้เริ่มต้นจะเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 12 มกราคม 2021 โดยให้ความสามารถแก่ลูกค้าเซิร์ฟเวอร์เพื่อเปิดใช้งานระดับความปลอดภัยที่เพิ่มขึ้นนี้โดยยึดตามความพร้อมของสภาพแวดล้อม

รุ่นนี้:

  • ที่อยู่ CVE-2021-1678 ( ในโหมด การปรับใช้ ถูกตั้งค่าเป็นปิด ตามค่าเริ่มต้น)

  • เพิ่มการสนับสนุนค่า รีจิสทรี RpcAuthnLevelPrivacyEnabled เพื่อเปิดใช้งานการเพิ่มระดับการอนุญาตของเครื่องพิมพ์การป้องกัน IRemoteWinspool

การลดความเสี่ยงประกอบด้วยการติดตั้งการอัปเดตWindowsบนอุปกรณ์ไคลเอ็นต์และอุปกรณ์ระดับเซิร์ฟเวอร์ทั้งหมด

14 กันยายน 2021: ระยะการบังคับใช้

การเปลี่ยนรุ่นสู่ขั้นตอนการบังคับใช้ในวันที่ 14 กันยายน 2021 ขั้น การบังคับใช้ บังคับใช้การเปลี่ยนแปลงที่อยู่ CVE-2021-1678 โดยการเพิ่มระดับการอนุญาตโดยไม่ต้องตั้งค่ารีจิสทรี

คู่มือการติดตั้ง

ก่อนที่จะติดตั้งการอัปเดตนี้

คุณต้องติดตั้งการอัปเดตที่ต้องใช้ต่อไปนี้ก่อนที่คุณจะใช้การอัปเดตนี้ ถ้าคุณใช้การอัปเดตWindows การอัปเดตที่ต้องใช้เหล่านี้จะมีให้โดยอัตโนมัติตามต้องการ

  • คุณต้องมีการอัปเดต SHA-2 (KB4474419) ที่วันที่ 23 กันยายน 2019 หรือการอัปเดต SHA-2 ที่ใหม่กว่าติดตั้งอยู่ แล้วรีสตาร์ตอุปกรณ์ของคุณก่อนที่คุณจะใช้การอัปเดตนี้ For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

  • For Windows Server 2008 R2 SP1, you must have installed the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. หลังจากติดตั้ง การอัปเดต KB4490628 แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด For more information about the latest SSU update, see ADV990001 | อัปเดตสแตกการบริการล่าสุด

  • For Windows Server 2008 SP2, you must have installed the servicing stack update (SSU) (KB4493730) that is dated 9 เมษายน 2019. หลังจากติดตั้ง การอัปเดต KB4493730 แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด For more information about the latest SSU updates, see ADV990001 | อัปเดตสแตกการบริการล่าสุด

  • ลูกค้าจะต้องซื้อExtended Security Update (ESU)ในเวอร์ชันภายในองค์กรของ Windows Server 2008 SP2 หรือ Windows Server 2008 R2 SP1 หลังจากการสนับสนุนเพิ่มเติมสิ้นสุดลงในวันที่ 14 มกราคม 2020 ลูกค้าที่ซื้อ ESU จะต้องปฏิบัติตามขั้นตอนใน KB4522133 เพื่อรับการอัปเดตความปลอดภัยต่อไป For more information on ESU and which edition are supported, see KB4497181.

สําคัญ คุณต้องรีสตาร์ตอุปกรณ์ของคุณหลังจากที่คุณติดตั้งการอัปเดตที่ต้องมีเหล่านี้

ติดตั้งการอัปเดต

เมื่อต้องการแก้ไขช่องโหว่ด้านความปลอดภัย ให้ติดตั้งการอัปเดตWindowsเปิดใช้งานโหมดการบังคับใช้โดยปฏิบัติตามขั้นตอนเหล่านี้:

  1. ปรับใช้การอัปเดตวันที่ 12 มกราคม 2021 กับอุปกรณ์ไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมด

  2. หลังจากอัปเดตอุปกรณ์ไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมดแล้ว คุณสามารถเปิดใช้งานการป้องกันทั้งหมดได้โดยการตั้งค่ารีจิสทรีเป็น 1

ขั้นตอนที่ 1: ติดตั้งWindowsอัปเดต

ติดตั้งการอัปเดตวันที่ 12 มกราคม 2021 WindowsหรือการอัปเดตWindowsใหม่กว่าไปยังอุปกรณ์ไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมด

Windows ผลิตภัณฑ์เซิร์ฟเวอร์

KB #

ชนิดของการอัปเดต

Windows เซิร์ฟเวอร์ เวอร์ชัน 20H2 (การติดตั้งเซิร์ฟเวอร์หลัก)

4598242

การอัปเดตความปลอดภัย

Windows เซิร์ฟเวอร์ เวอร์ชัน 2004 (การติดตั้ง Server Core)

4598242

การอัปเดตความปลอดภัย

Windows เซิร์ฟเวอร์ เวอร์ชัน 1909 (การติดตั้ง Server Core)

4598229

การอัปเดตความปลอดภัย

Windows เซิร์ฟเวอร์ เวอร์ชัน 1903 (การติดตั้ง Server Core)

4598229

การอัปเดตความปลอดภัย

Windows เซิร์ฟเวอร์ 2019 (การติดตั้ง Server Core)

4598230

การอัปเดตความปลอดภัย

Windows Server 2019

4598230

การอัปเดตความปลอดภัย

Windows เซิร์ฟเวอร์ 2016 (การติดตั้ง Server Core)

4598243

การอัปเดตความปลอดภัย

Windows Server 2016

4598243

การอัปเดตความปลอดภัย

Windows Server 2012 R2 (การติดตั้ง Server Core)

4598285

Rollup รายเดือน

4598275

เฉพาะด้านความปลอดภัย

Windows Server 2012 R2

4598285

Rollup รายเดือน

4598275

เฉพาะด้านความปลอดภัย

Windows Server 2012 (การติดตั้ง Server Core)

4598278

Rollup รายเดือน

4598297

เฉพาะด้านความปลอดภัย

Windows Server 2012

4598278

Rollup รายเดือน

4598297

เฉพาะด้านความปลอดภัย

Windows Server 2008 R2 Service Pack 1

4598279

Rollup รายเดือน

4598289

เฉพาะด้านความปลอดภัย

Windows Server 2008 Service Pack 2

4598288

Rollup รายเดือน

4598287

เฉพาะด้านความปลอดภัย

ขั้นตอนที่ 2: เปิดใช้งานโหมดการบังคับใช้

                ที่สำคัญ ส่วน วิธีการ หรืองานนี้มีขั้นตอนที่บอกวิธีเปลี่ยนรีจิสทรีให้คุณ อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่าคุณได้ปฏิบัติตามขั้นตอนเหล่านี้อย่างระมัดระวัง For added protection, back up the registry before you change it. จากนั้นคุณสามารถคืนค่ารีจิสทรีถ้ามีปัญหาเกิดขึ้น For more information about how to back up and restore the registry, see How to back up and restore the registry in Windows.

หลังจากที่ไคลเอ็นต์และอุปกรณ์เซิร์ฟเวอร์ทั้งหมดได้รับการอัปเดต คุณสามารถเปิดใช้งานการป้องกันโดยการปรับใช้โหมด การบังคับใช้ ได้ โดยทำตามขั้นตอนต่อไปนี้:

  1. คลิกขวาที่เริ่มคลิกเรียกใช้พิมพ์cmdในกล่องเรียกใช้ แล้วกดCtrl+Shift+Enter

  2. ที่พร้อมท์ของผู้ดูแลระบบ ให้พิมพ์regeditแล้วกดEnter

  3. ค้นหาคีย์ย่อยของรีจิสทรีต่อไปนี้:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. คลิกขวา พิมพ์เลือกใหม่ แล้วคลิกค่าDWORD (32 บิต)

  2. พิมพ์RpcAuthnLevelPrivacyEnabledแล้วกดEnter

  3. คลิกขวาที่RpcAuthnLevelPrivacyEnabledแล้วคลิกปรับเปลี่ยน

  4. ในกล่อง ข้อมูล ค่า ให้พิมพ์ 1แล้วคลิกตกลง

หมายเหตุ การอัปเดตนี้แนะนรการสนับสนุนค่ารีจิสทรี RpcAuthnLevelPrivacyEnabledเพื่อเพิ่มระดับการอนุญาตของเครื่องพิมพ์IRemoteWinspool

ซับคีย์รีจิสทรี

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

ค่า

RpcAuthnLevelPrivacyEnabled

ชนิดข้อมูล

REG_DWORD

Data

1:เปิดใช้งาน โหมด การบังคับใช้ ก่อนที่คุณจะเปิดใช้งานโหมดการบังคับใช้ฝั่งเซิร์ฟเวอร์ ตรวจสอบให้แน่ใจว่าอุปกรณ์ไคลเอ็นต์ทั้งหมดได้ติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 12 มกราคม 2021 หรือการอัปเดตWindowsใหม่กว่า การแก้ไขนี้จะเพิ่มระดับการอนุญาตของเครื่องพิมพ์ส่วนติดต่อIRemoteWinspool RPC และเพิ่มค่านโยบายและรีจิสทรีใหม่บนฝั่งเซิร์ฟเวอร์เพื่อบังคับใช้ไคลเอ็นต์ให้ใช้ระดับการอนุญาตใหม่ถ้าใช้โหมดการบังคับใช้ ถ้าอุปกรณ์ไคลเอ็นต์ไม่มีการอัปเดตความปลอดภัยวันที่ 12 มกราคม 2021 หรือปรับใช้การอัปเดต Windows ที่ใหม่กว่า ประสบการณ์การพิมพ์จะใช้งานไม่ได้เมื่อไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ผ่านส่วนติดต่อIRemoteWinspool

0: ไม่แนะนนะให้ ปิดใช้งานระดับการรับรองความถูกต้องที่เพิ่มขึ้นของเครื่องพิมพ์ IRemoteWinspoolและอุปกรณ์ของคุณไม่ได้รับการป้องกัน

ค่าเริ่มต้น

ลักษณะการงานเริ่มต้นหลังจากติดตั้งการอัปเดตเมื่อไม่ได้ตั้งค่ารีจิสทรีคีย์:

  • การอัปเดตวันที่ 12 มกราคม 2021 หรือใหม่กว่าจะพฤติกรรมเริ่มต้นของ 0 (ศูนย์) เมื่อไม่ได้ตั้งค่า

  • การอัปเดตวันที่ 14 กันยายน 2021 หรือใหม่กว่าจะพฤติกรรมเริ่มต้นของ 1 (หนึ่ง) เมื่อไม่ได้ตั้งค่า

ต้องการการรีสตาร์ตหรือไม่

ใช่ ต้องรีสตาร์ตอุปกรณ์หรือรีสตาร์ตบริการตัวจัดคิวงาน

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย