Зведення
Оновлення системи безпеки, випущені 6 липня 2021 року та після 6 липня 2021 року, містять засоби захисту віддаленого виконання коду в службі спулера друку (Windowsspoolsv.exe), які документовано в CVE-2021-34527. Після інсталяції оновлень за липень 2021 р. користувачі, які не є адміністраторами, зокрема уповноважені адміністратори, такі як оператори принтерів, не можуть інсталювати на сервер друку підписані та непідзначені драйвери принтера. За замовчуванням лише адміністратори можуть інсталювати на сервер друку як підписаний, так і непідпідшитий драйвер принтера.
Примітка Перед інсталяцією оновлень за липень 2021 р. і пізніших версій Windows, які містять захисти для CVE-2021-34527, група безпеки операторів принтера може інсталювати на сервер принтера як підписані, так і непідписані драйвери принтера. Починаючи з оновлення за липень 2021 р., для інсталяції підписаних і непідписаних драйверів на сервері принтера потрібні облікові дані адміністратора. За потреби, щоб перевизначити всі параметри групової політики в пунктах і обмеженнях друку та переконатися, що лише адміністратори можуть інсталювати драйвери принтера на сервері друку, установіть значення 1 для параметра RestrictDriverInstallationToAdministrators.
Радимо негайно інсталювати останні оновлення Windows, випущені 6 липня 2021 року або після 6 липня 2021 року, на всіх підтримуваних операційних системах Windows і серверних операційних систем, починаючи з пристроїв, на яких розміщено службу спулера друку. Потім установіть для параметрів "Під час інсталяції драйверів для нового підключення" та "When updating drivers for an existing connection" (Під час інсталяції драйверів для нового підключення) і "When updating drivers for an existing connection" (Під час оновлення драйверів для наявного підключення) у груповій політиці Point і Print Restrictions установіть значення "Show warning and elevation prompt" (Відображати попередження та запит на висоту).
Вирішення
-
Інсталюйте оновлення за липень 2021 р. Поза смугами або пізнішої версії.
-
Перевірте, чи виконуються такі умови:
-
Розділ реєстру Настройки: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) або не визначено (стандартне значення)
-
UpdatePromptSettings = 0 (DWORD) або не визначено (стандартне значення)
-
-
Групова політика. Не настроєно групову політику для точок і обмежень друку.
Якщо обидві умови істинні, тоді вразливість до CVE-2021-34527 не потрібна. Якщо будь-яку умову не істинна, буде вразливим. Виконайте наведені нижче кроки, щоб змінити групову політику point і Print Restrictions на безпечну конфігурацію.
-
Відкрийте засіб редактора групової політики й виберіть Конфігурація комп'ютера > Адміністративні шаблони > принтери.
-
Настройте параметр групової політики Point і Print Restrictions, як показано нижче.
-
Установіть для параметра групової політики Point і Print Restrictions значення "Enabled" (Увімкнуто).
-
"Під час інсталяції драйверів для нового підключення": "Show warning and elevation prompt" (Відображати попередження та запит на висоту).
-
"Під час оновлення драйверів для наявного підключення": "Show warning and elevation prompt" (Відображати попередження та запит на висоту).
-
Увага! Ми наполегливо радимо застосовувати цю політику до всіх комп'ютерів, на яких розміщено службу спулера друку.
Вимоги до перезавантаження: Ця зміна політики не вимагає перезавантаження пристрою або служби спулера друку після застосування цих параметрів.
3. Щоб переконатися, що групову політику застосовано правильно, скористайтеся наведеними нижче розділами реєстру.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Попередження Якщо встановити для цих значень значення не нуль, пристрої, на яких інстальовано оновлення CVE-2021-34527, вразливі.
Примітка Якщо настроїти ці параметри, функція Point and Print (Вказівник і друк) не вимикатимуться.
4. [Рекомендовано] Перевизначати обмеження на пункти та друк, щоб лише адміністратори можуть інсталювати драйвери друку на серверах принтерів. Для цього використовується розділ реєстру RestrictDriverInstallationToAdministrators. Оновлення, випущені 6 липня 2021 року, за замовчуванням 0 (вимкнуто) до оновлення, випущеного 10 серпня 2021 року. Оновлення, випущені 10 серпня 2021 року, за замовчуванням до 1 (увімкнуто). Докладні відомості про налаштування RestrictDriverInstallationToAdministrators та інших пов'язаних із ними рекомендацій див. в статті KB5005652 – керування новими параметрами інсталяції стандартного драйвера Point і Print (CVE-2021-34481)
Додаткові відомості
Чи впливають виправлення для CVE-2021-34527, що впливає на сценарій інсталяції драйверів Point і Print для клієнтського пристрою, який підключається до спільного мережевого принтера та інсталює його драйвер?
Ні, виправлення для CVE-2021-34527 не впливають безпосередньо на сценарій інсталяції драйвера Point і Print для клієнтського пристрою, який підключається до спільного мережевого принтера та інсталює його драйвер. У такому разі клієнтський пристрій підключається до сервера друку та завантажує та інсталює драйвери з цього надійного сервера. Цей сценарій відрізняється від вразливого сценарію, коли зловмисник намагається інсталювати на сервер друку зловмисник локально або віддалено.