Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Загальні відомості

Існує вразливість системи безпеки таким чином, щоб маркери автентифікації за допомогою віддаленого виклику процедур принтера (RPC) пройти автентифікацію для віддаленого інтерфейсу Winspool. У Windows вразливість цієї вразливості вирішено, збільшуючи рівень автентифікації RPC та впроваджуючи нову політику й розділ реєстру, щоб клієнти змогли вимкнути або ввімкнути режим застосування на сервері, щоб підвищити рівень автентифікації.   

Докладні відомості про вразливість див. в статтях CVE-2021-1678 | Windows Вразливість спулера спуфінгу.

Вживати заходів

Щоб захистити середовище та запобігти перебоїв, виконайте такі дії:

  1. Оновіть усі клієнтські та серверні пристрої, інсталювши оновлення від 12 січня 2021 Windows або пізнішої Windows оновлення. Зверніть увагу, що інсталяція оновлення Windows не повністю знизить рівень вразливості системи безпеки та може вплинути на поточне настроювання друку. Потрібно виконати крок 2.

  2. Увімкніть режим застосування на сервері друку. Режим застосування буде ввімкнуто на всіх пристроях Windows на деякий час.

Час оновлення

Ці Windows з'являться в два етапи:

  • Початковий етап розгортання для оновлень Windows, випущених 12 січня 2021 року або після неї.

  • Етап застосування для Windows, що випускаються на деякий майбутній день.

12 січня 2021 р.: етап початкового розгортання

Початковий етап розгортання починається з оновлення Windows, випущеного 12 січня 2021 року, надаючи серверним клієнтам можливість самостійно активувати цей підвищений рівень безпеки на основі готовності їхнього середовища.

Цей випуск:

  • Адреси CVE-2021-1678 (у режимі розгортання за замовчуванням вимкнуто).

  • Додає підтримку значення реєстру RpcAuthnLevelPrivacyEnabled, щоб активувати збільшення рівня авторизації для захисту принтера IRemoteWinspool.

Похибка – це інсталяція оновлень Windows всіх клієнтських і серверних пристроїв.

14 вересня 2021 р.: етап виконання

14 вересня 2021 року вийшовши на етап виконання. Етап застосування застосовує зміни до адреси CVE-2021-1678, збільшуючи рівень авторизації, не встановлювши значення реєстру.

Інструкції з інсталяції

Перед інсталяцією цього оновлення

Перш ніж застосовувати це оновлення, потрібно інсталювати наведені нижче обов'язкові оновлення. Якщо використовується Windows Update, ці необхідні оновлення пропонуватиуються автоматично за потреби.

  • Потрібно інсталювати оновлення SHA-2(KB4474419)від 23 вересня 2019 р. або пізнішої версії оновлення SHA-2, а потім перезавантажити пристрій, перш ніж застосовувати це оновлення. Докладні відомості про оновлення SHA-2 див. в довідці з підтримки підписування коду 2019 SHA-2 Windows WSUS.

  • Для Windows Server 2008 R2 з пакетом оновлень 1 (SP1) потрібно інсталювати оновлення стека обслуговування (SSU)(KB4490628),датоване 12 березня 2019 р. Після інсталяції оновлення KB4490628 радимо інсталювати останнє оновлення SSU. Докладні відомості про найновіше оновлення SSU див. в | Останні оновлення стека обслуговування.

  • Для Windows Server 2008 із пакетом оновлень 2 (SP2) потрібно інсталювати оновлення стеку обслуговування (SSU)(KB 4493730),яке від 9 квітня 2019 р. Після інсталяції оновлення KB4493730 радимо інсталювати останнє оновлення SSU. Докладні відомості про останні оновлення SSU див. в | Останні оновлення стека обслуговування.

  • Клієнти повинні придбати розширене оновлення системи безпеки (ESU) для локальних версій Windows Server 2008 із пакетом оновлень 2 (SP2) або Windows Server 2008 R2 з SP1 після завершення розширеної підтримки 14 січня 2020 р. Клієнти, які придбали цей пакет, повинні виконати процедури, наведені в статті KB4522133, щоб і надалі отримувати оновлення системи безпеки. Докладні відомості про випуски ESU та їхні випуски див. в статті KB4497181.

Важливо! Після інсталяції цих обов'язкових оновлень необхідно перезавантажити пристрій.

Інсталяція оновлення

Щоб усунути вразливість системи безпеки, інсталюйте оновлення Windows та ввімкніть режим застосування, виконавши такі дії:

  1. Розгортання оновлення від 12 січня 2021 р. до всіх клієнтських і серверних пристроїв.

  2. Після оновлення всіх клієнтських і серверних пристроїв повний захист можна ввімкнути, встановивши для параметра реєстру значення 1.

Крок 1. Інсталяція Windows оновлення

Інсталюйте оновлення від 12 січня 2021 Windows або пізнішої версії, Windows оновлення для всіх клієнтських і серверних пристроїв.

Windows Серверний продукт

КБ #

Тип оновлення

Windows Server, версія 20H2 (серверна основна інсталяція)

4598242

Оновлення системи безпеки

Windows Server, версія 2004 (server Core installation)

4598242

Оновлення системи безпеки

Windows Сервер, версія 1909 (інсталяція Server Core)

4598229

Оновлення системи безпеки

Windows Сервер, версія 1903 (інсталяція Server Core)

4598229

Оновлення системи безпеки

Windows Server 2019 (серверна основна інсталяція)

4598230

Оновлення системи безпеки

Windows Server 2019

4598230

Оновлення системи безпеки

Windows Server 2016 (серверна основна інсталяція)

4598243

Оновлення системи безпеки

Windows Server 2016

4598243

Оновлення системи безпеки

Windows Server 2012 R2 (server Core installation)

4598285

Щомісячне зведення

4598275

Лише безпека

Windows Server 2012 R2

4598285

Щомісячне зведення

4598275

Лише безпека

Windows Server 2012 (серверна основна інсталяція)

4598278

Щомісячне зведення

4598297

Лише безпека

Windows Server 2012

4598278

Щомісячне зведення

4598297

Лише безпека

Windows Server 2008 R2 з пакетом оновлень 1

4598279

Щомісячне зведення

4598289

Лише безпека

Windows Server 2008 з пакетом оновлень 2

4598288

Щомісячне зведення

4598287

Лише безпека

Крок 2. Увімкнення режиму застосування

Важливо! У цьому розділі, способі або завдання описано, як змінити реєстр. Однак у разі неправильного змінення реєстру можуть виникнути серйозні проблеми. Тому будьте уважні, виконуючи ці кроки. Для додаткового захисту потрібно створити резервні копії реєстру, перш ніж змінювати його. Якщо виникне проблема, реєстр можна буде відновити. Докладні відомості про резервне копіювання та відновлення реєстру див. в статті Резервне копіювання та відновлення реєстру в Windows.

Оновивши всі клієнтські та серверні пристрої, ви можете ввімкнути повний захист, розгорнувши режим застосування. Для цього виконайте описані нижче дії.

  1. Клацніть правою кнопкою миші кнопку Пуск,виберітькоманду Виконати, введіть cmdв полі Виконати, а потім натисніть сполучення клавішCtrl+Shift+Enter.

  2. У командному рядку адміністратора введіть regedit і натисніть клавішу Enter.

  3. Знайдіть такий підрозділ реєстру:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Клацніть правою кнопкою миші Друк, виберіть Створити, а потім – Значення DWORD (32-розрядна версія).

  2. Введіть RpcAuthnLevelPrivacyEnabled і натисніть клавішу Enter.

  3. Клацніть правою кнопкою миші елемент RpcAuthnLevelPrivacyEnabled і виберіть Команду Змінити.

  4. У полі Value data (Значення) введіть 1 і натисніть кнопку OK.

Примітка. Це оновлення підтримує значення реєстру RpcAuthnLevelPrivacyEnabled, щоб збільшити рівень авторизації для принтера IRemoteWinspool.

Підрозділ реєстру

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Значення

RpcAuthnLevelPrivacyEnabled

Тип даних

REG_DWORD

Дані

1:вмикає режим виконання. Перш ніж увімкнути режим застосування для сервера, переконайтеся, що на всіх клієнтських пристроях інстальовано оновлення Windows, випущене 12 січня 2021 року, або пізнішої Windows оновлення. Це виправлення збільшує рівень авторизації для інтерфейсу IRemoteWinspool RPC принтера та додає нову політику й значення реєстру на стороні сервера, щоб забезпечити застосування нового рівня авторизації, якщо застосовано режим виконання. Якщо на клієнтському пристрої немає оновлення системи безпеки від 12 січня 2021 року або пізнішої версії Windows, процес друку буде пошкоджено, коли клієнт підключається до сервера за допомогою інтерфейсу IRemoteWinspool.

0:не рекомендовано. Вимикає рівень автентифікації для принтера IRemoteWinspool,а ваші пристрої не захищено.

За замовчуванням

Стандартна поведінка після інсталяції оновлень, якщо не встановлено розділ реєстру:

  • 12 січня 2021 р. або пізніших версій, якщо не встановлено стандартну поведінку 0 (нуль).

  • 14 вересня 2021 року або пізнішої версії оновлення за замовчуванням, якщо не встановлено поведінку 1 (один).

Чи потрібно перезавантажити комп'ютер?

Так, потрібно перезавантажити пристрій або перезавантажити службу спулера.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.