บทสรุป

การอัปเดตความปลอดภัยที่เผยแพร่ในวันที่ 6 กรกฎาคม 2021 มีการป้องกันช่องโหว่การกระจัดคิวโค้ดระยะไกลในบริการตัวจัดคิวงานพิมพ์ Windows (spoolsv.exe) ที่เรียกว่า   "PrintNightmare" ซึ่งได้บันทึกในCVE-2021-34527 หลังจากติดตั้งการอัปเดตของเดือนกรกฎาคม 2021 และใหม่กว่า ผู้ที่ไม่ใช่ผู้ดูแลระบบ รวมถึงกลุ่มผู้ดูแลระบบที่ได้รับมอบสิทธิ์ เช่น ตัวให้บริการเครื่องพิมพ์ ไม่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ที่เซ็นชื่อและไม่ได้รับการรับรองไปยังเซิร์ฟเวอร์การพิมพ์ ตามค่าเริ่มต้น เฉพาะผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ทั้งแบบเซ็นชื่อและไม่ได้รับการรับรองไปยังเซิร์ฟเวอร์การพิมพ์ได้ 

หมายเหตุ ก่อนที่จะติดตั้งการอัปเดตที่ล้าสมัยของเดือนกรกฎาคม 2021 และใหม่กว่า Windows ที่มีการป้องกัน CVE-2021-34527 กลุ่มความปลอดภัยของตัวให้บริการเครื่องพิมพ์สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ทั้งแบบมีลายเซ็นและไม่ได้เซ็นชื่อบนเซิร์ฟเวอร์เครื่องพิมพ์ ตั้งแต่การอัปเดตที่ล้าสมัยในเดือนกรกฎาคม 2021 คุณจะต้องติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ที่ได้รับการรับรองและไม่ได้รับการรับรองบนเซิร์ฟเวอร์เครื่องพิมพ์ อีกทางหนึ่งคือ เมื่อต้องการแทนที่การตั้งค่านโยบายกลุ่มข้อจํากัดจุดและการพิมพ์ทั้งหมด และตรวจสอบให้แน่ใจว่ามีเพียงผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์บนเซิร์ฟเวอร์การพิมพ์ กําหนดค่ารีจิสทรีRestrictDriverInstallationToAdministrators เป็น 1

เราขอแนะให้คุณติดตั้งการอัปเดต Windows ล่าสุดที่เผยแพร่ในวันที่ 6 กรกฎาคม 2021 หรือหลังจากวันที่ 6 กรกฎาคม 2021 บนไคลเอ็นต์ Windows และระบบปฏิบัติการเซิร์ฟเวอร์ที่สนับสนุนทั้งหมด โดยเริ่มต้นด้วยอุปกรณ์ที่โฮสต์บริการตัวจัดคิวงานพิมพ์ในปัจจุบัน จากนั้น ให้ตั้งค่าการตั้งค่า "เมื่อติดตั้งโปรแกรมควบคุมให้กับการเชื่อมต่อใหม่" และ "เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่" ในการตั้งค่านโยบายกลุ่มข้อจํากัดการพิมพ์และจุดพิมพ์เป็น "แสดงคําเตือนและพร้อมท์ยกระดับ"

การแก้ไขปัญหา

  1. ติดตั้งการอัปเดตไม่อยู่ในแถบนอกเดือนกรกฎาคม 2021 หรือใหม่กว่า

  2. ตรวจสอบว่าเงื่อนไขต่อไปนี้เป็นจริงหรือไม่

  • รีจิสทรีการตั้งค่า: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) หรือไม่ได้กําหนด (การตั้งค่าเริ่มต้น)

    • UpdatePromptSettings = 0 (DWORD) หรือไม่ได้กําหนดไว้ (การตั้งค่าเริ่มต้น)

  • นโยบายกลุ่ม: คุณยังไม่ได้กําหนดค่านโยบายกลุ่มข้อจํากัดเกี่ยวกับจุดและการพิมพ์

ถ้าทั้งสองเงื่อนไขเป็นจริง คุณจะไม่เสี่ยงต่อ CVE-2021-34527 และไม่ต้องมีการลงมือใดๆ เพิ่มเติม ถ้าเงื่อนไขใดเงื่อนไขหนึ่งไม่เป็นจริง คุณจะมีความเสี่ยง Follow the steps below to change the Point and Print Restrictions Group Policy to a secure configuration.

  1. เปิดเครื่องมือตัวแก้ไขนโยบายกลุ่ม และไปที่ การกําหนดค่าคอมพิวเตอร์ >การดูแลระบบของ>เครื่องพิมพ์ 

  2. กําหนดค่าการตั้งค่านโยบายกลุ่มข้อจํากัดการชี้และการพิมพ์ ดังนี้

    1. ตั้งค่านโยบายกลุ่มข้อจํากัดของจุดและการพิมพ์เป็น "เปิดใช้งาน"

    2. "เมื่อติดตั้งโปรแกรมควบคุมเพื่อการเชื่อมต่อใหม่": "แสดงคําเตือนและพร้อมท์ยกระดับ"

    3. "เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่": "แสดงคําเตือนและพร้อมท์ยกระดับ"

ข้อความแสดงแทน

สําคัญ เราขอแนะให้ คุณใช้นโยบายนี้กับเครื่องทั้งหมดที่โฮสต์บริการตัวจัดคิวงานพิมพ์

ความต้องการในการรีสตาร์ต: การเปลี่ยนแปลงนโยบายนี้ไม่ต้องมีการรีสตาร์ตของอุปกรณ์หรือบริการตัวจัดคิวงานพิมพ์หลังจากใช้การตั้งค่าเหล่านี้ 

3. ใช้รีจิสทรีคีย์ต่อไปนี้เพื่อยืนยันว่านโยบายกลุ่มถูกใช้งานอย่างถูกต้อง:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

คําเตือน การตั้งค่าเหล่านี้เป็นค่าที่ไม่ใช่ศูนย์จะปรับให้อุปกรณ์ที่คุณติดตั้งการอัปเดต CVE-2021-34527 ถูกโจมตี

หมายเหตุ การกําหนดค่าการตั้งค่าเหล่านี้จะไม่ปิดใช้งานฟีเจอร์จุดและการพิมพ์

4. [แนะนนะ] การแทนที่จุดและข้อจํากัดการพิมพ์เพื่อให้เฉพาะผู้ดูแลระบบสามารถติดตั้งโปรแกรมควบคุมการพิมพ์บนเซิร์ฟเวอร์เครื่องพิมพ์ได้ เสร็จสิ้นการใช้รีจิสทรีคีย์ RestrictDriverInstallationToAdministrators การอัปเดตที่เผยแพร่เมื่อวันที่ 6 กรกฎาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 0 (ปิดใช้งาน) จนกว่าการอัปเดตจะเผยแพร่ในวันที่ 10 สิงหาคม 2021  การอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 1 (เปิดใช้งาน)  For more information on set RestrictDriverInstallationToAdministrators and other print related recommendations, see KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481)

ข้อมูลเพิ่มเติม

การแก้ไขของ CVE-2021-34527 ส่งผลกระทบต่อสถานการณ์สมมติการติดตั้งจุดและโปรแกรมควบคุมการพิมพ์เริ่มต้นบนอุปกรณ์ไคลเอ็นต์ที่เชื่อมต่อและติดตั้งโปรแกรมควบคุมการพิมพ์ของเครื่องพิมพ์เครือข่ายที่แชร์หรือไม่

ไม่ การแก้ไขของ CVE-2021-34527 ไม่มีผลต่อสถานการณ์สมมติการติดตั้งโปรแกรมควบคุมจุดและการพิมพ์เริ่มต้นโดยตรงบนอุปกรณ์ไคลเอ็นต์ที่เชื่อมต่อกับและติดตั้งโปรแกรมควบคุมการพิมพ์ของเครื่องพิมพ์เครือข่ายที่แชร์ ในกรณีนี้ อุปกรณ์ไคลเอ็นต์จะเชื่อมต่อกับเซิร์ฟเวอร์การพิมพ์ และดาวน์โหลดและติดตั้งโปรแกรมควบคุมจากเซิร์ฟเวอร์ที่เชื่อถือได้ สถานการณ์นี้แตกต่างจากสถานการณ์ที่มีช่องโหว่ที่ผู้โจมตีพยายามติดตั้งโปรแกรมควบคุมที่เป็นอันตรายบนเซิร์ฟเวอร์การพิมพ์ไม่ว่าจะภายในหรือระยะไกล

Facebook LinkedIn อีเมล

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders