Загальні відомості
Існує вразливість системи безпеки таким чином, щоб маркери автентифікації за допомогою віддаленого виклику процедур принтера (RPC) пройти автентифікацію для віддаленого інтерфейсу Winspool. У Windows вразливість цієї вразливості вирішено, збільшуючи рівень автентифікації RPC та впроваджуючи нову політику й розділ реєстру, щоб клієнти змогли вимкнути або ввімкнути режим застосування на сервері, щоб підвищити рівень автентифікації.
Докладні відомості про вразливість див. в статтях CVE-2021-1678 | Windows Вразливість спулера спуфінгу.
Вживати заходів Щоб захистити середовище та запобігти перебоїв, виконайте такі дії:
|
Час оновлення
Ці Windows з'являться в два етапи:
-
Початковий етап розгортання для оновлень Windows, випущених 12 січня 2021 року або після неї.
-
Етап застосування для Windows, що випускаються на деякий майбутній день.
12 січня 2021 р.: етап початкового розгортання
Початковий етап розгортання починається з оновлення Windows, випущеного 12 січня 2021 року, надаючи серверним клієнтам можливість самостійно активувати цей підвищений рівень безпеки на основі готовності їхнього середовища.
Цей випуск:
-
Адреси CVE-2021-1678 (у режимі розгортання за замовчуванням вимкнуто).
-
Додає підтримку значення реєстру RpcAuthnLevelPrivacyEnabled, щоб активувати збільшення рівня авторизації для захисту принтера IRemoteWinspool.
Похибка – це інсталяція оновлень Windows всіх клієнтських і серверних пристроїв.
14 вересня 2021 р.: етап виконання
14 вересня 2021 року вийшовши на етап виконання. Етап застосування застосовує зміни до адреси CVE-2021-1678, збільшуючи рівень авторизації, не встановлювши значення реєстру.
Інструкції з інсталяції
Перед інсталяцією цього оновлення
Перш ніж застосовувати це оновлення, потрібно інсталювати наведені нижче обов'язкові оновлення. Якщо використовується Windows Update, ці необхідні оновлення пропонуватиуються автоматично за потреби.
-
Потрібно інсталювати оновлення SHA-2(KB4474419)від 23 вересня 2019 р. або пізнішої версії оновлення SHA-2, а потім перезавантажити пристрій, перш ніж застосовувати це оновлення. Докладні відомості про оновлення SHA-2 див. в довідці з підтримки підписування коду 2019 SHA-2 Windows WSUS.
-
Для Windows Server 2008 R2 з пакетом оновлень 1 (SP1) потрібно інсталювати оновлення стека обслуговування (SSU)(KB4490628),датоване 12 березня 2019 р. Після інсталяції оновлення KB4490628 радимо інсталювати останнє оновлення SSU. Докладні відомості про найновіше оновлення SSU див. в | Останні оновлення стека обслуговування.
-
Для Windows Server 2008 із пакетом оновлень 2 (SP2) потрібно інсталювати оновлення стеку обслуговування (SSU)(KB 4493730),яке від 9 квітня 2019 р. Після інсталяції оновлення KB4493730 радимо інсталювати останнє оновлення SSU. Докладні відомості про останні оновлення SSU див. в | Останні оновлення стека обслуговування.
-
Клієнти повинні придбати розширене оновлення системи безпеки (ESU) для локальних версій Windows Server 2008 із пакетом оновлень 2 (SP2) або Windows Server 2008 R2 з SP1 після завершення розширеної підтримки 14 січня 2020 р. Клієнти, які придбали цей пакет, повинні виконати процедури, наведені в статті KB4522133, щоб і надалі отримувати оновлення системи безпеки. Докладні відомості про випуски ESU та їхні випуски див. в статті KB4497181.
Важливо! Після інсталяції цих обов'язкових оновлень необхідно перезавантажити пристрій.
Інсталяція оновлення
Щоб усунути вразливість системи безпеки, інсталюйте оновлення Windows та ввімкніть режим застосування, виконавши такі дії:
-
Розгортання оновлення від 12 січня 2021 р. до всіх клієнтських і серверних пристроїв.
-
Після оновлення всіх клієнтських і серверних пристроїв повний захист можна ввімкнути, встановивши для параметра реєстру значення 1.
Крок 1. Інсталяція Windows оновлення
Інсталюйте оновлення від 12 січня 2021 Windows або пізнішої версії, Windows оновлення для всіх клієнтських і серверних пристроїв.
Windows Серверний продукт |
КБ # |
Тип оновлення |
Windows Server, версія 20H2 (серверна основна інсталяція) |
Оновлення системи безпеки |
|
Windows Server, версія 2004 (server Core installation) |
Оновлення системи безпеки |
|
Windows Сервер, версія 1909 (інсталяція Server Core) |
Оновлення системи безпеки |
|
Windows Сервер, версія 1903 (інсталяція Server Core) |
Оновлення системи безпеки |
|
Windows Server 2019 (серверна основна інсталяція) |
Оновлення системи безпеки |
|
Windows Server 2019 |
Оновлення системи безпеки |
|
Windows Server 2016 (серверна основна інсталяція) |
Оновлення системи безпеки |
|
Windows Server 2016 |
Оновлення системи безпеки |
|
Windows Server 2012 R2 (server Core installation) |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2012 R2 |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2012 (серверна основна інсталяція) |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2012 |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2008 R2 з пакетом оновлень 1 |
Щомісячне зведення |
|
Лише безпека |
||
Windows Server 2008 з пакетом оновлень 2 |
Щомісячне зведення |
|
Лише безпека |
Крок 2. Увімкнення режиму застосування
Важливо! У цьому розділі, способі або завдання описано, як змінити реєстр. Однак у разі неправильного змінення реєстру можуть виникнути серйозні проблеми. Тому будьте уважні, виконуючи ці кроки. Для додаткового захисту потрібно створити резервні копії реєстру, перш ніж змінювати його. Якщо виникне проблема, реєстр можна буде відновити. Докладні відомості про резервне копіювання та відновлення реєстру див. в статті Резервне копіювання та відновлення реєстру в Windows.
Оновивши всі клієнтські та серверні пристрої, ви можете ввімкнути повний захист, розгорнувши режим застосування. Для цього виконайте описані нижче дії.
-
Клацніть правою кнопкою миші кнопку Пуск,виберітькоманду Виконати, введіть cmdв полі Виконати, а потім натисніть сполучення клавішCtrl+Shift+Enter.
-
У командному рядку адміністратора введіть regedit і натисніть клавішу Enter.
-
Знайдіть такий підрозділ реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Клацніть правою кнопкою миші Друк, виберіть Створити, а потім – Значення DWORD (32-розрядна версія).
-
Введіть RpcAuthnLevelPrivacyEnabled і натисніть клавішу Enter.
-
Клацніть правою кнопкою миші елемент RpcAuthnLevelPrivacyEnabled і виберіть Команду Змінити.
-
У полі Value data (Значення) введіть 1 і натисніть кнопку OK.
Примітка. Це оновлення підтримує значення реєстру RpcAuthnLevelPrivacyEnabled, щоб збільшити рівень авторизації для принтера IRemoteWinspool.
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Значення |
RpcAuthnLevelPrivacyEnabled |
Тип даних |
REG_DWORD |
Дані |
1:вмикає режим виконання. Перш ніж увімкнути режим застосування для сервера, переконайтеся, що на всіх клієнтських пристроях інстальовано оновлення Windows, випущене 12 січня 2021 року, або пізнішої Windows оновлення. Це виправлення збільшує рівень авторизації для інтерфейсу IRemoteWinspool RPC принтера та додає нову політику й значення реєстру на стороні сервера, щоб забезпечити застосування нового рівня авторизації, якщо застосовано режим виконання. Якщо на клієнтському пристрої немає оновлення системи безпеки від 12 січня 2021 року або пізнішої версії Windows, процес друку буде пошкоджено, коли клієнт підключається до сервера за допомогою інтерфейсу IRemoteWinspool. 0:не рекомендовано. Вимикає рівень автентифікації для принтера IRemoteWinspool,а ваші пристрої не захищено. |
За замовчуванням |
Стандартна поведінка після інсталяції оновлень, якщо не встановлено розділ реєстру:
|
Чи потрібно перезавантажити комп'ютер? |
Так, потрібно перезавантажити пристрій або перезавантажити службу спулера. |