บทสรุป

การอัปเดตความปลอดภัยที่เผยแพร่ในวันที่ 6 กรกฎาคม 2021 มีการป้องกันช่องโหว่การกระจัดคิวโค้ดระยะไกลในบริการตัวจัดคิวงานพิมพ์ Windows (spoolsv.exe) ที่เรียกว่า   "PrintNightmare" ซึ่งได้บันทึกในCVE-2021-34527 หลังจากติดตั้งการอัปเดตของเดือนกรกฎาคม 2021 และใหม่กว่า ผู้ที่ไม่ใช่ผู้ดูแลระบบ รวมถึงกลุ่มผู้ดูแลระบบที่ได้รับมอบสิทธิ์ เช่น ตัวให้บริการเครื่องพิมพ์ ไม่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ที่เซ็นชื่อและไม่ได้รับการรับรองไปยังเซิร์ฟเวอร์การพิมพ์ ตามค่าเริ่มต้น เฉพาะผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ทั้งแบบเซ็นชื่อและไม่ได้รับการรับรองไปยังเซิร์ฟเวอร์การพิมพ์ได้ 

หมายเหตุ ก่อนที่จะติดตั้งการอัปเดตที่ล้าสมัยของเดือนกรกฎาคม 2021 และใหม่กว่า Windows ที่มีการป้องกัน CVE-2021-34527 กลุ่มความปลอดภัยของตัวให้บริการเครื่องพิมพ์สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ทั้งแบบมีลายเซ็นและไม่ได้เซ็นชื่อบนเซิร์ฟเวอร์เครื่องพิมพ์ ตั้งแต่การอัปเดตที่ล้าสมัยในเดือนกรกฎาคม 2021 คุณจะต้องติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ที่ได้รับการรับรองและไม่ได้รับการรับรองบนเซิร์ฟเวอร์เครื่องพิมพ์ อีกทางหนึ่งคือ เมื่อต้องการแทนที่การตั้งค่านโยบายกลุ่มข้อจํากัดจุดและการพิมพ์ทั้งหมด และตรวจสอบให้แน่ใจว่ามีเพียงผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์บนเซิร์ฟเวอร์การพิมพ์ กําหนดค่ารีจิสทรีRestrictDriverInstallationToAdministrators เป็น 1

เราขอแนะให้คุณติดตั้งการอัปเดต Windows ล่าสุดที่เผยแพร่ในวันที่ 6 กรกฎาคม 2021 หรือหลังจากวันที่ 6 กรกฎาคม 2021 บนไคลเอ็นต์ Windows และระบบปฏิบัติการเซิร์ฟเวอร์ที่สนับสนุนทั้งหมด โดยเริ่มต้นด้วยอุปกรณ์ที่โฮสต์บริการตัวจัดคิวงานพิมพ์ในปัจจุบัน จากนั้น ให้ตั้งค่าการตั้งค่า "เมื่อติดตั้งโปรแกรมควบคุมให้กับการเชื่อมต่อใหม่" และ "เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่" ในการตั้งค่านโยบายกลุ่มข้อจํากัดการพิมพ์และจุดพิมพ์เป็น "แสดงคําเตือนและพร้อมท์ยกระดับ"

การแก้ไขปัญหา

  1. ติดตั้งการอัปเดตไม่อยู่ในแถบนอกเดือนกรกฎาคม 2021 หรือใหม่กว่า

  2. ตรวจสอบว่าเงื่อนไขต่อไปนี้เป็นจริงหรือไม่

  • รีจิสทรีการตั้งค่า: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) หรือไม่ได้กําหนด (การตั้งค่าเริ่มต้น)

    • UpdatePromptSettings = 0 (DWORD) หรือไม่ได้กําหนดไว้ (การตั้งค่าเริ่มต้น)

  • นโยบายกลุ่ม: คุณยังไม่ได้กําหนดค่านโยบายกลุ่มข้อจํากัดเกี่ยวกับจุดและการพิมพ์

ถ้าทั้งสองเงื่อนไขเป็นจริง คุณจะไม่เสี่ยงต่อ CVE-2021-34527 และไม่ต้องมีการลงมือใดๆ เพิ่มเติม ถ้าเงื่อนไขใดเงื่อนไขหนึ่งไม่เป็นจริง คุณจะมีความเสี่ยง Follow the steps below to change the Point and Print Restrictions Group Policy to a secure configuration.

  1. เปิดเครื่องมือตัวแก้ไขนโยบายกลุ่ม และไปที่ การกําหนดค่าคอมพิวเตอร์ >การดูแลระบบของ>เครื่องพิมพ์ 

  2. กําหนดค่าการตั้งค่านโยบายกลุ่มข้อจํากัดการชี้และการพิมพ์ ดังนี้

    1. ตั้งค่านโยบายกลุ่มข้อจํากัดของจุดและการพิมพ์เป็น "เปิดใช้งาน"

    2. "เมื่อติดตั้งโปรแกรมควบคุมเพื่อการเชื่อมต่อใหม่": "แสดงคําเตือนและพร้อมท์ยกระดับ"

    3. "เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่": "แสดงคําเตือนและพร้อมท์ยกระดับ"

ข้อความแสดงแทน

สําคัญ เราขอแนะให้ คุณใช้นโยบายนี้กับเครื่องทั้งหมดที่โฮสต์บริการตัวจัดคิวงานพิมพ์

ความต้องการในการรีสตาร์ต: การเปลี่ยนแปลงนโยบายนี้ไม่ต้องมีการรีสตาร์ตของอุปกรณ์หรือบริการตัวจัดคิวงานพิมพ์หลังจากใช้การตั้งค่าเหล่านี้ 

3. ใช้รีจิสทรีคีย์ต่อไปนี้เพื่อยืนยันว่านโยบายกลุ่มถูกใช้งานอย่างถูกต้อง:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

คําเตือน การตั้งค่าเหล่านี้เป็นค่าที่ไม่ใช่ศูนย์จะปรับให้อุปกรณ์ที่คุณติดตั้งการอัปเดต CVE-2021-34527 ถูกโจมตี

หมายเหตุ การกําหนดค่าการตั้งค่าเหล่านี้จะไม่ปิดใช้งานฟีเจอร์จุดและการพิมพ์

4. [แนะนนะ] การแทนที่จุดและข้อจํากัดการพิมพ์เพื่อให้เฉพาะผู้ดูแลระบบสามารถติดตั้งโปรแกรมควบคุมการพิมพ์บนเซิร์ฟเวอร์เครื่องพิมพ์ได้ เสร็จสิ้นการใช้รีจิสทรีคีย์ RestrictDriverInstallationToAdministrators การอัปเดตที่เผยแพร่เมื่อวันที่ 6 กรกฎาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 0 (ปิดใช้งาน) จนกว่าการอัปเดตจะเผยแพร่ในวันที่ 10 สิงหาคม 2021  การอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 1 (เปิดใช้งาน)  For more information on set RestrictDriverInstallationToAdministrators and other print related recommendations, see KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481)

ข้อมูลเพิ่มเติม

การแก้ไขของ CVE-2021-34527 ส่งผลกระทบต่อสถานการณ์สมมติการติดตั้งจุดและโปรแกรมควบคุมการพิมพ์เริ่มต้นบนอุปกรณ์ไคลเอ็นต์ที่เชื่อมต่อและติดตั้งโปรแกรมควบคุมการพิมพ์ของเครื่องพิมพ์เครือข่ายที่แชร์หรือไม่

ไม่ การแก้ไขของ CVE-2021-34527 ไม่มีผลต่อสถานการณ์สมมติการติดตั้งโปรแกรมควบคุมจุดและการพิมพ์เริ่มต้นโดยตรงบนอุปกรณ์ไคลเอ็นต์ที่เชื่อมต่อกับและติดตั้งโปรแกรมควบคุมการพิมพ์ของเครื่องพิมพ์เครือข่ายที่แชร์ ในกรณีนี้ อุปกรณ์ไคลเอ็นต์จะเชื่อมต่อกับเซิร์ฟเวอร์การพิมพ์ และดาวน์โหลดและติดตั้งโปรแกรมควบคุมจากเซิร์ฟเวอร์ที่เชื่อถือได้ สถานการณ์นี้แตกต่างจากสถานการณ์ที่มีช่องโหว่ที่ผู้โจมตีพยายามติดตั้งโปรแกรมควบคุมที่เป็นอันตรายบนเซิร์ฟเวอร์การพิมพ์ไม่ว่าจะภายในหรือระยะไกล

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย