Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Özet

Bir güvenlik atlama güvenlik açığı, Uzak Winspool arabirimi için Yazıcı Uzaktan Yordam Çağrısı (RPC) bağlamanın kimlik doğrulamasını işleme yönteminde bulunmaktadır. Kullanıcı Windows güncelleştirmesi, RPC kimlik doğrulama düzeyini artırarak ve müşterilerin kimlik doğrulama düzeyini artırmak için sunucu tarafında Zorlama modunu devre dışı bırakmasına veya etkinleştirmesine olanak sağlayan yeni bir ilke ve kayıt defteri anahtarı ile bu güvenlik açığını gidermektedir.   

Bu güvenlik açığı hakkında daha fazla bilgi edinmek için bkz. THE-2021-1678 | Windows Yazdırma BiriktiriciSi Hatalı Yazdırma Güvenlik Açığı.

Harekete Geç

Ortamınızı korumak ve kesintileri önlemek için, şunları yapın:

  1. 12 Ocak 2021 güncelleştirmesini veya sonraki bir Windows güncelleştirerek tüm istemci ve sunucu cihazlarını Windows güncelleştirin. Bu güncelleştirmenin Windows, güvenlik açığını tamamen etkilemeyebilirsiniz ve geçerli yazdırma kurulumlarınızı etkide bulundurabilirsiniz. 2. Adımı gerçekleştirmeniz gerekir.

  2. Yazdırma sunucusunda Zorlama modunu etkinleştirin. Zorlama modu, gelecekte Windows tüm cihazlarda etkinleştirilebilir.

Güncelleştirmelerin zamanlaması

Bu Windows güncelleştirmeleri iki aşamada yayınlamayacaktır:

  • 12 Ocak 2021 Windows sonra yayımlanan güncelleştirmeler için ilk dağıtım aşaması.

  • Gelecek bir tarihte Windows güncelleştirmeleri zorlama aşaması.

12 Ocak 2021: İlk Dağıtım Aşaması

İlk dağıtım aşaması, sunucu müşterilerinin ortamının hazırlığı nedeniyle bu artırılmış güvenlik düzeyini kendi başına etkinleştirmelerine olanak sağlayarak, 12 Ocak 2021'de yayımlanan Windows güncelleştirmesi ile başlar.

Bu sürüm:

  • DEFALIK-2021-1678 adreslerini kullanır (Dağıtım modunda varsayılan olarak Kapalı olarak ayarlanır).

  • IRemoteWinspool koruması için yetkilendirme düzeyinin artışını etkinleştirmek için RpcAuthnLevelPrivacyEnabled kayıt defteri değeri için destek ekler.

Azaltma, tüm istemci ve sunucu düzeyindeki Windows güncelleştirmelerinin yüklenmesine neden olur.

14 Eylül 2021: Zorlama Aşaması

Sürüm, 14 Eylül 2021'de zorlama aşamasına geçmektedir. Zorlama aşaması, kayıt defteri değerini ayarlamak zorunda kalmadan yetkilendirme düzeyini artırarak BURSI-2021-1678'te yapılan değişiklikleri zorlar.

Yükleme kılavuzu

Bu güncelleştirmeyi yüklemeden önce

Bu güncelleştirmeyi uygulayamadan önce aşağıdaki gerekli güncelleştirmelerin yüklenmiş olması gerekir. Güncelleştirme Güncelleştirme Windows, bu gerekli güncelleştirmeler gerektiğinde otomatik olarak sunulacaktır.

  • 23 Eylül 2019 tarihine kadar olan SHA-2 güncelleştirmesi(KB4474419)veya sonraki bir SHA-2 güncelleştirmesini yüklemiş olmalı ve bu güncelleştirmeyi uygulamadan önce cihazınızı yeniden başlatabilirsiniz. SHA-2 güncelleştirmeleri hakkında daha fazla bilgi için bkz. Windows WSUS ve WSUS için 2019 SHA-2 Kod İmzalama Desteği gereksinimi.

  • Windows Server 2008 R2 SP1 için, 12 Mart 2019 tarihli hizmet yığını güncelleştirmesini (SSU) (KB4490628) yüklemişsinizdir. KB4490628 güncelleştirmesini yükledikten sonra, en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmesi hakkında daha fazla bilgi için bkz. ADV990001 | En Son Hizmet Yığını Güncelleştirmeleri.

  • Windows Server 2008 SP2 için, 9 Nisan 2019 tarihli hizmet yığını güncelleştirmesini (SSU) (KB4493730) yüklemişsinizdir. KB4493730 güncelleştirmesini yükledikten sonra, en son SSU güncelleştirmesini yüklemenizi öneririz. En son SSU güncelleştirmeleri hakkında daha fazla bilgi için bkz. ADV990001 güncelleştirmeleri | En Son Hizmet Yığını Güncelleştirmeleri.

  • Desteğin 14 Ocak 2020'de sona erdikten sonra, müşterilerin Windows Server 2008 SP2 veya Windows Server 2008 R2 SP1'in şirket içi sürümleri için Genişletilmiş Güvenlik Güncelleştirmesi'i (ESU) satın almaları gerekir. ESU'yi satın alan müşterilerin güvenlik güncelleştirmelerini almaya devam etmek için KB4522133'daki yordamları izlemeleri gerekir. ESU hakkında daha fazla bilgi ve desteklenen sürümler hakkında daha fazla bilgi için bkz. KB4497181.

Önemli Bu gerekli güncelleştirmeleri yükledikten sonra cihazınızı yeniden başlatmanız gerekir.

Güncelleştirmeyi yükleme

Güvenlik açığını çözmek için aşağıdaki adımları Windows güncelleştirmeleri yükleyin ve Zorlama modunu etkinleştirin:

  1. 12 Ocak 2021 güncelleştirmesini tüm istemci ve sunucu cihazlarına dağıtın.

  2. Tüm istemci ve sunucu cihazları güncelleştirildikten sonra, kayıt defteri değerini 1 olarak ayararak tam koruma etkinleştirilebilir.

1. Adım: Windows güncelleştirmesini yükleme

Tüm istemci ve sunucu cihazlarına 12 Ocak 2021 Windows veya sonraki bir Windows güncelleştirmesini yükleyin.

Windows Sunucu ürünü

KB #

Güncelleştirme türü

Windows Sunucu, sürüm 20H2 (Sunucu Çekirdek Yüklemesi)

4598242

Güvenlik Güncelleştirmesi

Windows Sunucu, sürüm 2004 (Sunucu Çekirdek yüklemesi)

4598242

Güvenlik Güncelleştirmesi

Windows Sunucu, sürüm 1909 (Sunucu Çekirdek yüklemesi)

4598229

Güvenlik Güncelleştirmesi

Windows Sunucu, sürüm 1903 (Sunucu Çekirdek yüklemesi)

4598229

Güvenlik Güncelleştirmesi

Windows Sunucu 2019 (Sunucu Çekirdek yüklemesi)

4598230

Güvenlik Güncelleştirmesi

Windows Sunucu 2019

4598230

Güvenlik Güncelleştirmesi

Windows Server 2016 (Sunucu Çekirdek yüklemesi)

4598243

Güvenlik Güncelleştirmesi

Windows Server 2016

4598243

Güvenlik Güncelleştirmesi

Windows Server 2012 R2 (Sunucu Çekirdek yüklemesi)

4598285

Aylık Toplama

4598275

Yalnızca Güvenlik

Windows Server 2012 R2

4598285

Aylık Toplama

4598275

Yalnızca Güvenlik

Windows Server 2012 (Sunucu Çekirdek yüklemesi)

4598278

Aylık Toplama

4598297

Yalnızca Güvenlik

Windows Server 2012

4598278

Aylık Toplama

4598297

Yalnızca Güvenlik

Windows Server 2008 R2 Service Pack 1

4598279

Aylık Toplama

4598289

Yalnızca Güvenlik

Windows Server 2008 Service Pack 2

4598288

Aylık Toplama

4598287

Yalnızca Güvenlik

2. Adım: Zorlama modunu etkinleştirme

Önemli Bu bölüm, yöntem veya görev, size kayıt defterinin nasıl değiştir basamakla ilgili adımlarını içerir. Ancak kayıt defterinde yanlış bir değişiklik olursa, ciddi sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için, değiştirmeden önce kayıt defterinizi desteklenin. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'te kayıt defterini yedekleme ve geri yükleme.

Tüm istemci ve sunucu cihazları güncelleştirildikten sonra, Zorlama modunu dağıtarak tam korumayı etkinleştirebilirsiniz. Bunu yapmak için şu adımları izleyin:

  1. Başlat'a sağ tıklayın,Çalıştır'a tıklayın, Çalıştır kutusuna cmd yazın ve ardından Ctrl+ Shift + Entertuşlarınabasın.

  2. Yönetici komut istemine regedit yazın ve Enter tuşuna basın.

  3. Aşağıdaki kayıt defteri alt anahtarını bulun:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Yazdır'a sağ tıklayın,Yeni öğesini seçinve DWORD VALUE (32 bit) Value seçeneğine tıklayın.

  2. RpcAuthnLevelPrivacyEnabled yazın ve Enter tuşuna basın.

  3. RpcAuthnLevelPrivacyEnabled öğesini sağ tıklatın ve Değiştir'i tıklatın.

  4. Değer verisi kutusuna1 yazın ve Tamam'a tıklayın.

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu güncelleştirme, IRemoteWinspoolyazıcısı için yetkilendirme düzeyini artırmak için RpcAuthnLevelPrivacyEnabled kayıt defteri değerini destekler.

Kayıt defteri alt anahtarı

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Değer

RpcAuthnLevelPrivacyEnabled

Veri türü

REG_DWORD

Veri

1: Zorlama modunu sağlar. Sunucu tarafı için Zorlama modunu etkinleştirmeden önce, tüm istemci cihazlarının 12 Ocak 2021 veya daha sonraki bir sürümde Windows güncelleştirmesini yüklemiş olduğundan Windows emin olun. Bu düzeltme IRemoteWinspool RPC arabirimi yazıcısı için yetkilendirme düzeyini artırır ve Zorlama modu uygulandığında istemciyi yeni yetkilendirme düzeyini kullanmak üzere zorlamak için sunucu tarafına yeni bir ilke ve kayıt defteri değeri ekler. İstemci cihazında 12 Ocak 2021 güvenlik güncelleştirmesi veya daha sonraki bir Windows güncelleştirmesi uygulanmamışsa, istemci IRemoteWinspool arabirimi üzerinden sunucuya bağlandığında yazdırma deneyimi bozulur.

0: Önerilmez. IRemoteWinspoolyazıcısı için kimlik doğrulama düzeyini artıran düzeyi devre dışı bırakacaktır ve cihazlarınız korunmaz.

Default

Kayıt defteri anahtarı ayarlanmazken güncelleştirmeleri yükledikten sonra varsayılan davranış:

  • 12 Ocak 2021 veya sonraki güncelleştirmeler ayarlanmazken varsayılan davranış olarak 0 (sıfır) kullanır.

  • 14 Eylül 2021 veya sonraki güncelleştirmeler ayarlanmazsa varsayılan davranış 1 (bir) olur.

Yeniden Başlatma gerekiyor mu?

Evet, cihaz yeniden başlatma veya biriktirici hizmetini yeniden başlatma gereklidir.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.