Özet
Bir güvenlik atlama güvenlik açığı, Uzak Winspool arabirimi için Yazıcı Uzaktan Yordam Çağrısı (RPC) bağlamanın kimlik doğrulamasını işleme yönteminde bulunmaktadır. Kullanıcı Windows güncelleştirmesi, RPC kimlik doğrulama düzeyini artırarak ve müşterilerin kimlik doğrulama düzeyini artırmak için sunucu tarafında Zorlama modunu devre dışı bırakmasına veya etkinleştirmesine olanak sağlayan yeni bir ilke ve kayıt defteri anahtarı ile bu güvenlik açığını gidermektedir.
Bu güvenlik açığı hakkında daha fazla bilgi edinmek için bkz. THE-2021-1678 | Windows Yazdırma BiriktiriciSi Hatalı Yazdırma Güvenlik Açığı.
Harekete Geç Ortamınızı korumak ve kesintileri önlemek için, şunları yapın:
|
Güncelleştirmelerin zamanlaması
Bu Windows güncelleştirmeleri iki aşamada yayınlamayacaktır:
-
12 Ocak 2021 Windows sonra yayımlanan güncelleştirmeler için ilk dağıtım aşaması.
-
Gelecek bir tarihte Windows güncelleştirmeleri zorlama aşaması.
12 Ocak 2021: İlk Dağıtım Aşaması
İlk dağıtım aşaması, sunucu müşterilerinin ortamının hazırlığı nedeniyle bu artırılmış güvenlik düzeyini kendi başına etkinleştirmelerine olanak sağlayarak, 12 Ocak 2021'de yayımlanan Windows güncelleştirmesi ile başlar.
Bu sürüm:
-
DEFALIK-2021-1678 adreslerini kullanır (Dağıtım modunda varsayılan olarak Kapalı olarak ayarlanır).
-
IRemoteWinspool koruması için yetkilendirme düzeyinin artışını etkinleştirmek için RpcAuthnLevelPrivacyEnabled kayıt defteri değeri için destek ekler.
Azaltma, tüm istemci ve sunucu düzeyindeki Windows güncelleştirmelerinin yüklenmesine neden olur.
14 Eylül 2021: Zorlama Aşaması
Sürüm, 14 Eylül 2021'de zorlama aşamasına geçmektedir. Zorlama aşaması, kayıt defteri değerini ayarlamak zorunda kalmadan yetkilendirme düzeyini artırarak BURSI-2021-1678'te yapılan değişiklikleri zorlar.
Yükleme kılavuzu
Bu güncelleştirmeyi yüklemeden önce
Bu güncelleştirmeyi uygulayamadan önce aşağıdaki gerekli güncelleştirmelerin yüklenmiş olması gerekir. Güncelleştirme Güncelleştirme Windows, bu gerekli güncelleştirmeler gerektiğinde otomatik olarak sunulacaktır.
-
23 Eylül 2019 tarihine kadar olan SHA-2 güncelleştirmesi(KB4474419)veya sonraki bir SHA-2 güncelleştirmesini yüklemiş olmalı ve bu güncelleştirmeyi uygulamadan önce cihazınızı yeniden başlatabilirsiniz. SHA-2 güncelleştirmeleri hakkında daha fazla bilgi için bkz. Windows WSUS ve WSUS için 2019 SHA-2 Kod İmzalama Desteği gereksinimi.
-
Windows Server 2008 R2 SP1 için, 12 Mart 2019 tarihli hizmet yığını güncelleştirmesini (SSU) (KB4490628) yüklemişsinizdir. KB4490628 güncelleştirmesini yükledikten sonra, en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmesi hakkında daha fazla bilgi için bkz. ADV990001 | En Son Hizmet Yığını Güncelleştirmeleri.
-
Windows Server 2008 SP2 için, 9 Nisan 2019 tarihli hizmet yığını güncelleştirmesini (SSU) (KB4493730) yüklemişsinizdir. KB4493730 güncelleştirmesini yükledikten sonra, en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmeleri hakkında daha fazla bilgi için bkz. ADV990001 güncelleştirmeleri | En Son Hizmet Yığını Güncelleştirmeleri.
-
Desteğin 14 Ocak 2020'de sona erdikten sonra, müşterilerin Windows Server 2008 SP2 veya Windows Server 2008 R2 SP1'in şirket içi sürümleri için Genişletilmiş Güvenlik Güncelleştirmesi'i (ESU) satın almaları gerekir. ESU'yi satın alan müşterilerin güvenlik güncelleştirmelerini almaya devam etmek için KB4522133'daki yordamları izlemeleri gerekir. ESU hakkında daha fazla bilgi ve desteklenen sürümler hakkında daha fazla bilgi için bkz. KB4497181.
Önemli Bu gerekli güncelleştirmeleri yükledikten sonra cihazınızı yeniden başlatmanız gerekir.
Güncelleştirmeyi yükleme
Güvenlik açığını çözmek için aşağıdaki adımları Windows güncelleştirmeleri yükleyin ve Zorlama modunu etkinleştirin:
-
12 Ocak 2021 güncelleştirmesini tüm istemci ve sunucu cihazlarına dağıtın.
-
Tüm istemci ve sunucu cihazları güncelleştirildikten sonra, kayıt defteri değerini 1 olarak ayararak tam koruma etkinleştirilebilir.
1. Adım: Windows güncelleştirmesini yükleme
Tüm istemci ve sunucu cihazlarına 12 Ocak 2021 Windows veya sonraki bir Windows güncelleştirmesini yükleyin.
Windows Sunucu ürünü |
KB # |
Güncelleştirme türü |
Windows Sunucu, sürüm 20H2 (Sunucu Çekirdek Yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Sunucu, sürüm 2004 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Sunucu, sürüm 1909 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Sunucu, sürüm 1903 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Sunucu 2019 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Sunucu 2019 |
Güvenlik Güncelleştirmesi |
|
Windows Server 2016 (Sunucu Çekirdek yüklemesi) |
Güvenlik Güncelleştirmesi |
|
Windows Server 2016 |
Güvenlik Güncelleştirmesi |
|
Windows Server 2012 R2 (Sunucu Çekirdek yüklemesi) |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 R2 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 (Sunucu Çekirdek yüklemesi) |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2012 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2008 R2 Service Pack 1 |
Aylık Toplama |
|
Yalnızca Güvenlik |
||
Windows Server 2008 Service Pack 2 |
Aylık Toplama |
|
Yalnızca Güvenlik |
2. Adım: Zorlama modunu etkinleştirme
Önemli Bu bölüm, yöntem veya görev, size kayıt defterinin nasıl değiştir basamakla ilgili adımlarını içerir. Ancak kayıt defterinde yanlış bir değişiklik olursa, ciddi sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için, değiştirmeden önce kayıt defterinizi desteklenin. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'te kayıt defterini yedekleme ve geri yükleme.
Tüm istemci ve sunucu cihazları güncelleştirildikten sonra, Zorlama modunu dağıtarak tam korumayı etkinleştirebilirsiniz. Bunu yapmak için şu adımları izleyin:
-
Başlat'a sağ tıklayın,Çalıştır'a tıklayın, Çalıştır kutusuna cmd yazın ve ardından Ctrl+ Shift + Entertuşlarınabasın.
-
Yönetici komut istemine regedit yazın ve Enter tuşuna basın.
-
Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Yazdır'a sağ tıklayın,Yeni öğesini seçinve DWORD VALUE (32 bit) Value seçeneğine tıklayın.
-
RpcAuthnLevelPrivacyEnabled yazın ve Enter tuşuna basın.
-
RpcAuthnLevelPrivacyEnabled öğesini sağ tıklatın ve Değiştir'i tıklatın.
-
Değer verisi kutusuna1 yazın ve Tamam'a tıklayın.
Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu güncelleştirme, IRemoteWinspoolyazıcısı için yetkilendirme düzeyini artırmak için RpcAuthnLevelPrivacyEnabled kayıt defteri değerini destekler.
Kayıt defteri alt anahtarı |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Değer |
RpcAuthnLevelPrivacyEnabled |
Veri türü |
REG_DWORD |
Veri |
1: Zorlama modunu sağlar. Sunucu tarafı için Zorlama modunu etkinleştirmeden önce, tüm istemci cihazlarının 12 Ocak 2021 veya daha sonraki bir sürümde Windows güncelleştirmesini yüklemiş olduğundan Windows emin olun. Bu düzeltme IRemoteWinspool RPC arabirimi yazıcısı için yetkilendirme düzeyini artırır ve Zorlama modu uygulandığında istemciyi yeni yetkilendirme düzeyini kullanmak üzere zorlamak için sunucu tarafına yeni bir ilke ve kayıt defteri değeri ekler. İstemci cihazında 12 Ocak 2021 güvenlik güncelleştirmesi veya daha sonraki bir Windows güncelleştirmesi uygulanmamışsa, istemci IRemoteWinspool arabirimi üzerinden sunucuya bağlandığında yazdırma deneyimi bozulur. 0: Önerilmez. IRemoteWinspoolyazıcısı için kimlik doğrulama düzeyini artıran düzeyi devre dışı bırakacaktır ve cihazlarınız korunmaz. |
Default |
Kayıt defteri anahtarı ayarlanmazken güncelleştirmeleri yükledikten sonra varsayılan davranış:
|
Yeniden Başlatma gerekiyor mu? |
Evet, cihaz yeniden başlatma veya biriktirici hizmetini yeniden başlatma gereklidir. |