สรุป
ช่องโหว่การเลี่ยงผ่านด้านความปลอดภัยมีอยู่ในวิธีที่การผูกข้อมูล Printer Remote Procedure Call (RPC) จัดการการรับรองความถูกต้อง For the remote Winspool interface การอัปเดต Windowsระบุช่องโหว่นี้ด้วยการเพิ่มระดับการรับรองความถูกต้อง RPC และแนะนํานโยบายและคีย์รีจิสทรีใหม่เพื่ออนุญาตให้ลูกค้าปิดใช้งานหรือเปิดใช้งานโหมดการบังคับใช้ทางฝั่งเซิร์ฟเวอร์เพื่อเพิ่มระดับการรับรองความถูกต้อง
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ ให้ดูที่CVE-2021-1678 | Windows Print Spooler Spoofing Vulnerability.
ใช้การแอคชัน เมื่อต้องการป้องกันสภาพแวดล้อมของคุณ และป้องกันไฟไม่ส้ราง คุณต้อง:
|
การจับเวลาของการอัปเดต
การอัปเดตWindowsเหล่านี้จะถูกเผยแพร่ในสองขั้นตอน:
-
ขั้นตอนการปรับใช้เบื้องต้นWindowsการอัปเดตที่เผยแพร่ในวันที่ 12 มกราคม 2021 หรือหลังวันที่ 12 มกราคม 2021
-
ระยะการบังคับใช้Windowsการอัปเดตล่าสุดที่เผยแพร่ในอนาคต
12 มกราคม 2021: ระยะการปรับใช้เริ่มต้น
ขั้นการปรับใช้เริ่มต้นจะเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 12 มกราคม 2021 โดยให้ความสามารถแก่ลูกค้าเซิร์ฟเวอร์เพื่อเปิดใช้งานระดับความปลอดภัยที่เพิ่มขึ้นนี้โดยยึดตามความพร้อมของสภาพแวดล้อม
รุ่นนี้:
-
ที่อยู่ CVE-2021-1678 ( ในโหมด การปรับใช้ ถูกตั้งค่าเป็นปิด ตามค่าเริ่มต้น)
-
เพิ่มการสนับสนุนค่า รีจิสทรี RpcAuthnLevelPrivacyEnabled เพื่อเปิดใช้งานการเพิ่มระดับการอนุญาตของเครื่องพิมพ์การป้องกัน IRemoteWinspool
การลดความเสี่ยงประกอบด้วยการติดตั้งการอัปเดตWindowsบนอุปกรณ์ไคลเอ็นต์และอุปกรณ์ระดับเซิร์ฟเวอร์ทั้งหมด
14 กันยายน 2021: ระยะการบังคับใช้
การเปลี่ยนรุ่นสู่ขั้นตอนการบังคับใช้ในวันที่ 14 กันยายน 2021 ขั้น การบังคับใช้ บังคับใช้การเปลี่ยนแปลงที่อยู่ CVE-2021-1678 โดยการเพิ่มระดับการอนุญาตโดยไม่ต้องตั้งค่ารีจิสทรี
คู่มือการติดตั้ง
ก่อนที่จะติดตั้งการอัปเดตนี้
คุณต้องติดตั้งการอัปเดตที่ต้องใช้ต่อไปนี้ก่อนที่คุณจะใช้การอัปเดตนี้ ถ้าคุณใช้การอัปเดตWindows การอัปเดตที่ต้องใช้เหล่านี้จะมีให้โดยอัตโนมัติตามต้องการ
-
คุณต้องมีการอัปเดต SHA-2 (KB4474419) ที่วันที่ 23 กันยายน 2019 หรือการอัปเดต SHA-2 ที่ใหม่กว่าติดตั้งอยู่ แล้วรีสตาร์ตอุปกรณ์ของคุณก่อนที่คุณจะใช้การอัปเดตนี้ For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.
-
For Windows Server 2008 R2 SP1, you must have installed the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. หลังจากติดตั้ง การอัปเดต KB4490628 แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด For more information about the latest SSU update, see ADV990001 | อัปเดตสแตกการบริการล่าสุด
-
For Windows Server 2008 SP2, you must have installed the servicing stack update (SSU) (KB4493730) that is dated 9 เมษายน 2019. หลังจากติดตั้ง การอัปเดต KB4493730 แล้ว เราขอแนะนนะให้คุณติดตั้งการอัปเดต SSU ล่าสุด For more information about the latest SSU updates, see ADV990001 | อัปเดตสแตกการบริการล่าสุด
-
ลูกค้าจะต้องซื้อExtended Security Update (ESU)ในเวอร์ชันภายในองค์กรของ Windows Server 2008 SP2 หรือ Windows Server 2008 R2 SP1 หลังจากการสนับสนุนเพิ่มเติมสิ้นสุดลงในวันที่ 14 มกราคม 2020 ลูกค้าที่ซื้อ ESU จะต้องปฏิบัติตามขั้นตอนใน KB4522133 เพื่อรับการอัปเดตความปลอดภัยต่อไป For more information on ESU and which edition are supported, see KB4497181.
สําคัญ คุณต้องรีสตาร์ตอุปกรณ์ของคุณหลังจากที่คุณติดตั้งการอัปเดตที่ต้องมีเหล่านี้
ติดตั้งการอัปเดต
เมื่อต้องการแก้ไขช่องโหว่ด้านความปลอดภัย ให้ติดตั้งการอัปเดตWindowsเปิดใช้งานโหมดการบังคับใช้โดยปฏิบัติตามขั้นตอนเหล่านี้:
-
ปรับใช้การอัปเดตวันที่ 12 มกราคม 2021 กับอุปกรณ์ไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมด
-
หลังจากอัปเดตอุปกรณ์ไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมดแล้ว คุณสามารถเปิดใช้งานการป้องกันทั้งหมดได้โดยการตั้งค่ารีจิสทรีเป็น 1
ขั้นตอนที่ 1: ติดตั้งWindowsอัปเดต
ติดตั้งการอัปเดตวันที่ 12 มกราคม 2021 WindowsหรือการอัปเดตWindowsใหม่กว่าไปยังอุปกรณ์ไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมด
Windows ผลิตภัณฑ์เซิร์ฟเวอร์ |
KB # |
ชนิดของการอัปเดต |
Windows เซิร์ฟเวอร์ เวอร์ชัน 20H2 (การติดตั้งเซิร์ฟเวอร์หลัก) |
การอัปเดตความปลอดภัย |
|
Windows เซิร์ฟเวอร์ เวอร์ชัน 2004 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows เซิร์ฟเวอร์ เวอร์ชัน 1909 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows เซิร์ฟเวอร์ เวอร์ชัน 1903 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows เซิร์ฟเวอร์ 2019 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2019 |
การอัปเดตความปลอดภัย |
|
Windows เซิร์ฟเวอร์ 2016 (การติดตั้ง Server Core) |
การอัปเดตความปลอดภัย |
|
Windows Server 2016 |
การอัปเดตความปลอดภัย |
|
Windows Server 2012 R2 (การติดตั้ง Server Core) |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2012 R2 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2012 (การติดตั้ง Server Core) |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2012 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2008 R2 Service Pack 1 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
||
Windows Server 2008 Service Pack 2 |
Rollup รายเดือน |
|
เฉพาะด้านความปลอดภัย |
ขั้นตอนที่ 2: เปิดใช้งานโหมดการบังคับใช้
ที่สำคัญ ส่วน วิธีการ หรืองานนี้มีขั้นตอนที่บอกวิธีเปลี่ยนรีจิสทรีให้คุณ อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่าคุณได้ปฏิบัติตามขั้นตอนเหล่านี้อย่างระมัดระวัง For added protection, back up the registry before you change it. จากนั้นคุณสามารถคืนค่ารีจิสทรีถ้ามีปัญหาเกิดขึ้น For more information about how to back up and restore the registry, see How to back up and restore the registry in Windows.
หลังจากที่ไคลเอ็นต์และอุปกรณ์เซิร์ฟเวอร์ทั้งหมดได้รับการอัปเดต คุณสามารถเปิดใช้งานการป้องกันโดยการปรับใช้โหมด การบังคับใช้ ได้ โดยทำตามขั้นตอนต่อไปนี้:
-
คลิกขวาที่เริ่มคลิกเรียกใช้พิมพ์cmdในกล่องเรียกใช้ แล้วกดCtrl+Shift+Enter
-
ที่พร้อมท์ของผู้ดูแลระบบ ให้พิมพ์regeditแล้วกดEnter
-
ค้นหาคีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
คลิกขวา พิมพ์เลือกใหม่ แล้วคลิกค่าDWORD (32 บิต)
-
พิมพ์RpcAuthnLevelPrivacyEnabledแล้วกดEnter
-
คลิกขวาที่RpcAuthnLevelPrivacyEnabledแล้วคลิกปรับเปลี่ยน
-
ในกล่อง ข้อมูล ค่า ให้พิมพ์ 1แล้วคลิกตกลง
หมายเหตุ การอัปเดตนี้แนะนรการสนับสนุนค่ารีจิสทรี RpcAuthnLevelPrivacyEnabledเพื่อเพิ่มระดับการอนุญาตของเครื่องพิมพ์IRemoteWinspool
ซับคีย์รีจิสทรี |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
ค่า |
RpcAuthnLevelPrivacyEnabled |
ชนิดข้อมูล |
REG_DWORD |
Data |
1:เปิดใช้งาน โหมด การบังคับใช้ ก่อนที่คุณจะเปิดใช้งานโหมดการบังคับใช้ฝั่งเซิร์ฟเวอร์ ตรวจสอบให้แน่ใจว่าอุปกรณ์ไคลเอ็นต์ทั้งหมดได้ติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 12 มกราคม 2021 หรือการอัปเดตWindowsใหม่กว่า การแก้ไขนี้จะเพิ่มระดับการอนุญาตของเครื่องพิมพ์ส่วนติดต่อIRemoteWinspool RPC และเพิ่มค่านโยบายและรีจิสทรีใหม่บนฝั่งเซิร์ฟเวอร์เพื่อบังคับใช้ไคลเอ็นต์ให้ใช้ระดับการอนุญาตใหม่ถ้าใช้โหมดการบังคับใช้ ถ้าอุปกรณ์ไคลเอ็นต์ไม่มีการอัปเดตความปลอดภัยวันที่ 12 มกราคม 2021 หรือปรับใช้การอัปเดต Windows ที่ใหม่กว่า ประสบการณ์การพิมพ์จะใช้งานไม่ได้เมื่อไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ผ่านส่วนติดต่อIRemoteWinspool 0: ไม่แนะนนะให้ ปิดใช้งานระดับการรับรองความถูกต้องที่เพิ่มขึ้นของเครื่องพิมพ์ IRemoteWinspoolและอุปกรณ์ของคุณไม่ได้รับการป้องกัน |
ค่าเริ่มต้น |
ลักษณะการงานเริ่มต้นหลังจากติดตั้งการอัปเดตเมื่อไม่ได้ตั้งค่ารีจิสทรีคีย์:
|
ต้องการการรีสตาร์ตหรือไม่ |
ใช่ ต้องรีสตาร์ตอุปกรณ์หรือรีสตาร์ตบริการตัวจัดคิวงาน |