บทสรุป
การอัปเดตความปลอดภัยที่เผยแพร่ในวันที่ 6 กรกฎาคม 2021 มีการป้องกันช่องโหว่การกระจัดคิวโค้ดระยะไกลในบริการตัวจัดคิวงานพิมพ์ Windows (spoolsv.exe) ที่เรียกว่า "PrintNightmare" ซึ่งได้บันทึกในCVE-2021-34527 หลังจากติดตั้งการอัปเดตของเดือนกรกฎาคม 2021 และใหม่กว่า ผู้ที่ไม่ใช่ผู้ดูแลระบบ รวมถึงกลุ่มผู้ดูแลระบบที่ได้รับมอบสิทธิ์ เช่น ตัวให้บริการเครื่องพิมพ์ ไม่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ที่เซ็นชื่อและไม่ได้รับการรับรองไปยังเซิร์ฟเวอร์การพิมพ์ ตามค่าเริ่มต้น เฉพาะผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ทั้งแบบเซ็นชื่อและไม่ได้รับการรับรองไปยังเซิร์ฟเวอร์การพิมพ์ได้
หมายเหตุ ก่อนที่จะติดตั้งการอัปเดตที่ล้าสมัยของเดือนกรกฎาคม 2021 และใหม่กว่า Windows ที่มีการป้องกัน CVE-2021-34527 กลุ่มความปลอดภัยของตัวให้บริการเครื่องพิมพ์สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ทั้งแบบมีลายเซ็นและไม่ได้เซ็นชื่อบนเซิร์ฟเวอร์เครื่องพิมพ์ ตั้งแต่การอัปเดตที่ล้าสมัยในเดือนกรกฎาคม 2021 คุณจะต้องติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ที่ได้รับการรับรองและไม่ได้รับการรับรองบนเซิร์ฟเวอร์เครื่องพิมพ์ อีกทางหนึ่งคือ เมื่อต้องการแทนที่การตั้งค่านโยบายกลุ่มข้อจํากัดจุดและการพิมพ์ทั้งหมด และตรวจสอบให้แน่ใจว่ามีเพียงผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์บนเซิร์ฟเวอร์การพิมพ์ กําหนดค่ารีจิสทรีRestrictDriverInstallationToAdministrators เป็น 1
เราขอแนะให้คุณติดตั้งการอัปเดต Windows ล่าสุดที่เผยแพร่ในวันที่ 6 กรกฎาคม 2021 หรือหลังจากวันที่ 6 กรกฎาคม 2021 บนไคลเอ็นต์ Windows และระบบปฏิบัติการเซิร์ฟเวอร์ที่สนับสนุนทั้งหมด โดยเริ่มต้นด้วยอุปกรณ์ที่โฮสต์บริการตัวจัดคิวงานพิมพ์ในปัจจุบัน จากนั้น ให้ตั้งค่าการตั้งค่า "เมื่อติดตั้งโปรแกรมควบคุมให้กับการเชื่อมต่อใหม่" และ "เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่" ในการตั้งค่านโยบายกลุ่มข้อจํากัดการพิมพ์และจุดพิมพ์เป็น "แสดงคําเตือนและพร้อมท์ยกระดับ"
การแก้ไขปัญหา
-
ติดตั้งการอัปเดตไม่อยู่ในแถบนอกเดือนกรกฎาคม 2021 หรือใหม่กว่า
-
ตรวจสอบว่าเงื่อนไขต่อไปนี้เป็นจริงหรือไม่
-
รีจิสทรีการตั้งค่า: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) หรือไม่ได้กําหนด (การตั้งค่าเริ่มต้น)
-
UpdatePromptSettings = 0 (DWORD) หรือไม่ได้กําหนดไว้ (การตั้งค่าเริ่มต้น)
-
-
นโยบายกลุ่ม: คุณยังไม่ได้กําหนดค่านโยบายกลุ่มข้อจํากัดเกี่ยวกับจุดและการพิมพ์
ถ้าทั้งสองเงื่อนไขเป็นจริง คุณจะไม่เสี่ยงต่อ CVE-2021-34527 และไม่ต้องมีการลงมือใดๆ เพิ่มเติม ถ้าเงื่อนไขใดเงื่อนไขหนึ่งไม่เป็นจริง คุณจะมีความเสี่ยง Follow the steps below to change the Point and Print Restrictions Group Policy to a secure configuration.
-
เปิดเครื่องมือตัวแก้ไขนโยบายกลุ่ม และไปที่ การกําหนดค่าคอมพิวเตอร์ >การดูแลระบบของ>เครื่องพิมพ์
-
กําหนดค่าการตั้งค่านโยบายกลุ่มข้อจํากัดการชี้และการพิมพ์ ดังนี้
-
ตั้งค่านโยบายกลุ่มข้อจํากัดของจุดและการพิมพ์เป็น "เปิดใช้งาน"
-
"เมื่อติดตั้งโปรแกรมควบคุมเพื่อการเชื่อมต่อใหม่": "แสดงคําเตือนและพร้อมท์ยกระดับ"
-
"เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่": "แสดงคําเตือนและพร้อมท์ยกระดับ"
-
สําคัญ เราขอแนะให้ คุณใช้นโยบายนี้กับเครื่องทั้งหมดที่โฮสต์บริการตัวจัดคิวงานพิมพ์
ความต้องการในการรีสตาร์ต: การเปลี่ยนแปลงนโยบายนี้ไม่ต้องมีการรีสตาร์ตของอุปกรณ์หรือบริการตัวจัดคิวงานพิมพ์หลังจากใช้การตั้งค่าเหล่านี้
3. ใช้รีจิสทรีคีย์ต่อไปนี้เพื่อยืนยันว่านโยบายกลุ่มถูกใช้งานอย่างถูกต้อง:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
คําเตือน การตั้งค่าเหล่านี้เป็นค่าที่ไม่ใช่ศูนย์จะปรับให้อุปกรณ์ที่คุณติดตั้งการอัปเดต CVE-2021-34527 ถูกโจมตี
หมายเหตุ การกําหนดค่าการตั้งค่าเหล่านี้จะไม่ปิดใช้งานฟีเจอร์จุดและการพิมพ์
4. [แนะนนะ] การแทนที่จุดและข้อจํากัดการพิมพ์เพื่อให้เฉพาะผู้ดูแลระบบสามารถติดตั้งโปรแกรมควบคุมการพิมพ์บนเซิร์ฟเวอร์เครื่องพิมพ์ได้ เสร็จสิ้นการใช้รีจิสทรีคีย์ RestrictDriverInstallationToAdministrators การอัปเดตที่เผยแพร่เมื่อวันที่ 6 กรกฎาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 0 (ปิดใช้งาน) จนกว่าการอัปเดตจะเผยแพร่ในวันที่ 10 สิงหาคม 2021 การอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 1 (เปิดใช้งาน) For more information on set RestrictDriverInstallationToAdministrators and other print related recommendations, see KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481)
ข้อมูลเพิ่มเติม
การแก้ไขของ CVE-2021-34527 ส่งผลกระทบต่อสถานการณ์สมมติการติดตั้งจุดและโปรแกรมควบคุมการพิมพ์เริ่มต้นบนอุปกรณ์ไคลเอ็นต์ที่เชื่อมต่อและติดตั้งโปรแกรมควบคุมการพิมพ์ของเครื่องพิมพ์เครือข่ายที่แชร์หรือไม่
ไม่ การแก้ไขของ CVE-2021-34527 ไม่มีผลต่อสถานการณ์สมมติการติดตั้งโปรแกรมควบคุมจุดและการพิมพ์เริ่มต้นโดยตรงบนอุปกรณ์ไคลเอ็นต์ที่เชื่อมต่อกับและติดตั้งโปรแกรมควบคุมการพิมพ์ของเครื่องพิมพ์เครือข่ายที่แชร์ ในกรณีนี้ อุปกรณ์ไคลเอ็นต์จะเชื่อมต่อกับเซิร์ฟเวอร์การพิมพ์ และดาวน์โหลดและติดตั้งโปรแกรมควบคุมจากเซิร์ฟเวอร์ที่เชื่อถือได้ สถานการณ์นี้แตกต่างจากสถานการณ์ที่มีช่องโหว่ที่ผู้โจมตีพยายามติดตั้งโปรแกรมควบคุมที่เป็นอันตรายบนเซิร์ฟเวอร์การพิมพ์ไม่ว่าจะภายในหรือระยะไกล