Tóm tắt
Lỗ hổng hạn chế bỏ qua bảo mật tồn tại theo cách gắn kết Thủ tục Từ xa của Máy in (RPC) xử lý xác thực cho giao diện Winspool từ xa. Bản cập nhật Windows giải quyết lỗ hổng này bằng cách tăng mức xác thực RPC và đưa vào một chính sách mới và khóa đăng ký để cho phép khách hàng vô hiệu hóa hoặc bật chế độ Thực thi ở phía máy chủ để tăng mức xác thực.
Để tìm hiểu thêm về lỗ hổng, hãy xem CVE-2021-1678 | Windows Lỗ hổng Giả mạo Bộ đệm In.
Thực hiện Hành động Để bảo vệ môi trường của bạn và ngăn ngừa sự cố, bạn phải làm như sau:
|
Thời gian cập nhật
Các bản Windows nhật này sẽ được phát hành theo hai giai đoạn:
-
Giai đoạn triển khai ban đầu cho Windows cập nhật được phát hành vào hoặc sau ngày 12 tháng 1 năm 2021.
-
Giai đoạn thực thi đối với Windows cập nhật được phát hành vào một số ngày trong tương lai.
12/01/2021: Giai đoạn Triển khai Ban đầu
Giai đoạn triển khai ban đầu bắt đầu với bản cập nhật Windows được phát hành vào 12/01/2021 bằng cách cung cấp khả năng cho khách hàng máy chủ kích hoạt mức bảo mật tăng lên này tùy theo mức sẵn sàng của môi trường của họ.
Bản phát hành này:
-
Địa chỉ CVE-2021-1678 (trong chế độ Triển khai được đặt là Tắt theo mặc định).
-
Thêm hỗ trợ cho giá trị đăng ký RpcAuthnLevelPrivacyEnabled để cho phép tăng mức ủy quyền cho máy in IRemoteWinspool protection.
Giảm nhẹ bao gồm việc cài đặt các bản cập Windows toàn bộ máy khách và thiết bị ở cấp độ máy chủ.
Ngày 14 tháng 9 năm 2021: Giai đoạn Thực thi
Bản phát hành này chuyển sang giai đoạn thực thi vào 14/09/2021. Giai đoạn thực thi bắt buộc các thay đổi để giải quyết CVE-2021-1678 bằng cách tăng mức ủy quyền mà không cần phải đặt giá trị sổ đăng ký.
Hướng dẫn cài đặt
Trước khi cài đặt bản cập nhật này
Bạn phải cài đặt các bản cập nhật cần thiết sau đây trước khi áp dụng bản cập nhật này. Nếu bạn sử dụng Windows Update, các bản cập nhật cần thiết này sẽ tự động được cung cấp khi cần.
-
Bạn phải cài đặt bản cập nhật SHA-2 (KB4474419) ngày 23/09/2019 hoặc bản cập nhật SHA-2 mới hơn, rồi khởi động lại thiết bị trước khi áp dụng bản cập nhật này. Để biết thêm thông tin về các bản cập nhật SHA-2, hãy xem Yêu cầu Hỗ trợ Ký mã SHA-2 2019 cho Windows và WSUS.
-
Đối với Windows Server 2008 R2 SP1, bạn phải cài đặt bản cập nhật ngăn xếp dịch vụ (SSU) (KB4490628) được ghi ngày 12/03/2019. Sau khi đã cài đặt bản cập nhật KB4490628, chúng tôi khuyên bạn nên cài đặt bản cập nhật SSU mới nhất. Để biết thêm thông tin về bản cập nhật SSU mới nhất, hãy xem ADV990001 | Các bản cập nhật ngăn xếp Dịch vụ mới nhất.
-
Đối với Windows Server 2008 SP2, bạn phải cài đặt bản cập nhật ngăn xếp dịch vụ (SSU) (KB4493730) được ghi ngày 9/4/2019. Sau khi đã cài đặt KB4493730, chúng tôi khuyên bạn nên cài đặt bản cập nhật SSU mới nhất. Để biết thêm thông tin về các bản cập nhật SSU mới nhất, hãy xem ADV990001 | Các bản cập nhật ngăn xếp Dịch vụ mới nhất.
-
Khách hàng được yêu cầu mua Bản cập nhật Bảo mật Mở rộng (ESU) cho các phiên bản tại chỗ của Windows Server 2008 SP2 hoặc Windows Server 2008 R2 SP1 sau khi hỗ trợ mở rộng kết thúc vào ngày 14 tháng 1 năm 2020. Khách hàng đã mua ESU phải làm theo các thủ tục trong KB4522133 để tiếp tục nhận được các bản cập nhật bảo mật. Để biết thêm thông tin về ESU và những phiên bản được hỗ trợ, hãy xem KB4497181.
Quan trọng Bạn phải khởi động lại thiết bị của mình sau khi cài đặt các bản cập nhật cần thiết này.
Cài đặt bản cập nhật
Để giải quyết lỗ hổng bảo mật, hãy cài đặt các bản cập Windows và bật chế độ Thực thi theo các bước sau:
-
Triển khai bản cập nhật 12/01/2021 cho tất cả các thiết bị máy khách và máy chủ.
-
Sau khi tất cả các thiết bị máy khách và máy chủ đã được cập nhật, có thể bật tính năng bảo vệ đầy đủ bằng cách đặt giá trị sổ đăng ký thành 1.
Bước 1: Cài đặt bản cập Windows nhật
Cài đặt bản cập nhật ngày 12 tháng 1 năm 2021 Windows hoặc bản cập nhật mới Windows tất cả các thiết bị máy khách và máy chủ.
Windows Sản phẩm máy chủ |
KB # |
Loại cập nhật |
Windows Server, phiên bản 20H2 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server, phiên bản 2004 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server, phiên bản 1909 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server, phiên bản 1903 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server 2019 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server 2019 |
Cập nhật Bảo mật |
|
Windows Server 2016 (Cài đặt Server Core) |
Cập nhật Bảo mật |
|
Windows Server 2016 |
Cập nhật Bảo mật |
|
Windows Server 2012 R2 (Cài đặt Server Core) |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2012 R2 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2012 (Cài đặt Cốt lõi Máy chủ) |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2012 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2008 R2 Gói Dịch vụ 1 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
||
Windows Server 2008 Gói Dịch vụ 2 |
Tổng số Hàng tháng |
|
Chỉ Bảo mật |
Bước 2: Bật chế độ Thực thi
Quan trọng Mục, phương pháp hoặc tác vụ này có chứa các bước hướng dẫn bạn cách thay đổi sổ đăng ký. Tuy nhiên, các sự cố nghiêm trọng có thể xảy ra nếu bạn thay đổi sổ đăng ký không chính xác. Do đó, hãy đảm bảo rằng bạn làm theo các bước này cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn thay đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy xem Cách sao lưu và khôi phục sổ đăng ký trong Windows.
Sau khi tất cả các thiết bị máy khách và máy chủ đã được cập nhật, bạn có thể bật bảo vệ đầy đủ bằng cách triển khai chế độ Thực thi. Để thực hiện việc này, hãy làm theo các bước sau:
-
Bấm chuột phải vào Bắtđầu, bấm vào Chạy , nhập cmdtrong hộp Chạy, rồi nhấn Ctrl+Shift+Enter.
-
Tại dấu nhắc lệnh Người quản trị, nhập regedit, rồi nhấn Enter.
-
Định vị khóa đăng ký phụ sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Bấm chuột phải vào In, chọn Mới, rồi bấm vào Giá trị DWORD (32-bit).
-
Nhập RpcAuthnLevelPrivacyEnabled, rồi nhấn Enter.
-
Bấm chuột phải vào RpcAuthnLevelPrivacyEnabled, rồi bấm vào Sửa đổi.
-
Trong hộp Dữ liệu giá trị, nhập 1 rồi bấm Ok.
Chú ý Bản cập nhật này giới thiệu hỗ trợ cho giá trị đăng ký RpcAuthnLevelPrivacyEnabled để tăng mức ủy quyền cho máy in IRemoteWinspool.
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Giá trị |
RpcAuthnLevelPrivacyEnabled |
Kiểu dữ liệu |
REG_DWORD |
Data |
1:Bật chế độ Thực thi. Trước khi bạn bật chế độ Thực thi cho phía máy chủ, hãy đảm bảo rằng tất cả các thiết bị máy khách đã cài đặt bản cập nhật Windows được phát hành vào ngày 12 tháng 1 năm 2021 hoặc một bản cập nhật mới Windows hơn. Bản sửa lỗi này giúp tăng mức ủy quyền cho giao diện RPC IRemoteWinspool máy in và thêm một chính sách và giá trị sổ đăng ký mới ở phía máy chủ để bắt buộc máy khách sử dụng mức ủy quyền mới nếu đã áp dụng chế độ Thực thi. Nếu thiết bị khách không có bản cập nhật bảo mật 12/01/2021 hoặc bản cập nhật Windows mới hơn được áp dụng, trải nghiệm in sẽ bị hỏng khi máy khách kết nối với máy chủ thông qua giao diện IRemoteWinspool. 0:Không khuyên dùng. Tắt mức xác thực tăng cho IRemoteWinspoolmáy in và thiết bị của bạn không được bảo vệ. |
Mặc định |
Hành vi mặc định sau khi cài đặt các bản cập nhật khi khóa đăng ký không được đặt:
|
Có bắt buộc phải Khởi động lại không? |
Có, bắt buộc phải khởi động lại thiết bị hoặc khởi động lại dịch vụ bộ đệm. |