摘要
打印机远程过程调用 (RPC) 绑定处理远程 Winspool 接口的身份验证的方式,存在安全旁路漏洞。 通过提升 RPC 身份验证级别,并引入新的策略和注册表项,Windows 更新解决了此漏洞,允许客户禁用或启用服务器端的强制模式,以提升身份验证级别。
若要了解有关此漏洞的更多信息,请参阅 CVE-2021-1678 | Windows 打印后台处理程序欺骗漏洞。
采取操作 为了保护环境并防止中断,必须执行以下操作:
|
更新时间
这些 Windows 更新将分两个阶段发布:
-
在 2021 年 1 月 12 日或之后发布的 Windows 更新的初始部署阶段。
-
Windows 更新的实施阶段将在将来某个日期发布。
2021 年 1 月 12 日:初始部署阶段
初始部署阶段从 2021 年 1 月 12 日发布的 Windows 更新开始,使服务器客户能够根据其环境的就绪情况,自行启用此升级的安全级别。
该版本:
-
解决了 CVE-2021-1678 漏洞(在“部署”模式下,默认设置为“关闭”)。
-
添加对 RpcAuthnLevelPrivacyEnabled 注册表值的支持,以提高打印机 IRemoteWinspool 保护的授权级别。
解决措施包括在所有客户端和服务器级设备上安装 Windows 更新。
2021 年 9 月 14 日:强制阶段
该发布版本于 2021 年 9 月 14 日过渡到强制阶段。 强制阶段通过提高授权级别(无需设置注册表值)强制执行更改来解决 CVE-2021-1678 漏洞。
安装指南
安装此更新前
应用此更新之前,您必须安装以下必需的更新项。 如果您使用 Windows Update,则会根据需要自动提供这些必需的更新项。
-
在应用此更新之前,必须安装日期为 2019 年 9 月 23 日的 SHA-2 更新 (KB4474419) 或更高版本的 SHA-2 更新,然后重新启动设备。 有关 SHA-2 更新的更多信息,请参阅针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。
-
对于 Windows Server 2008 R2 SP1,必须安装日期为 2019 年 3 月 12 日的服务堆栈更新 (SSU) (KB4490628)。 更新 KB4490628 安装完成后,我们建议安装最新的 SSU 更新。 有关最新 SSU 更新的更多信息,请参阅 ADV990001 | 最新服务堆栈更新。
-
对于 Windows Server 2008 SP2,必须安装日期为 2019 年 4 月 9 日的服务堆栈更新 (SSU) (KB4493730)。 更新 KB4493730 安装完成后,我们建议安装最新的 SSU 更新。 有关最新 SSU 更新的详细信息,请参阅 ADV990001 | 最新的服务堆栈更新。
-
2020 年 1 月 14 日扩展支持到期后,客户需要购买本地版 Windows Server 2008 SP2 或 Windows Server 2008 R2 SP1 的扩展安全更新 (ESU)。 购买了 ESU 的客户必须遵循 KB4522133 中的步骤,才能继续接收安全更新。 有关 ESU 及受支持版本的更多信息,请参阅 KB4497181。
重要说明安装这些必需的更新后,必须重启系统。
安装更新
要解决此安全漏洞,请按照以下步骤安装 Windows 更新并启用强制模式:
-
将 2021 年 1 月 12 日的更新部署到所有客户端和服务器设备。
-
更新所有客户端和服务器设备后,可以通过将注册表值设置为 1 启用完全保护。
步骤 1:安装 Windows 更新
将 2021 年 1 月 12 日的 Windows 更新或更高版本的 Windows 更新安装到所有客户端和服务器设备。
Windows Server 产品 |
KB # |
更新类型 |
Windows Server 版本 20H2(服务器核心安装) |
安全更新 |
|
Windows Server 版本 2004(服务器核心安装) |
安全更新 |
|
Windows Server 版本 1909(服务器核心安装) |
安全更新 |
|
Windows Server 版本 1903(服务器核心安装) |
安全更新 |
|
Windows Server 2019 (服务器核心安装) |
安全更新 |
|
Windows Server 2019 |
安全更新 |
|
Windows Server 2016(服务器核心安装) |
安全更新 |
|
Windows Server 2016 |
安全更新 |
|
Windows Server 2012 R2(服务器核心安装) |
月度汇总 |
|
仅安全相关 |
||
Windows Server 2012 R2 |
月度汇总 |
|
仅安全相关 |
||
Windows Server 2012(服务器核心安装) |
月度汇总 |
|
仅安全相关 |
||
Windows Server 2012 |
月度汇总 |
|
仅安全相关 |
||
Windows Server 2008 R2 Service Pack 1 |
月度汇总 |
|
仅安全相关 |
||
Windows Server 2008 Service Pack 2 |
月度汇总 |
|
仅安全相关 |
步骤 2:启用强制模式
重要说明 此部分(方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请一定严格按照下列步骤操作。 为了获得进一步的保护,请在修改注册表之前对其进行备份。 这样就可以在出现问题时还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表。
更新所有客户端和服务器设备后,可以通过部署强制模式启用完全保护。 为此,请按照下列步骤操作:
-
右键单击“开始”,然后单击“运行”,在“运行”框中键入 cmd,然后按 Ctrl+Shift+Enter 组合键。
-
在管理员命令提示符处,键入 regedit,然后按 Enter 键。
-
找到以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
右键单击“打印”,选择“新建”,然后单击“DWORD (32-位) 值”。
-
键入 RpcAuthnLevelPrivacyEnabled,然后按 Enter 键。
-
右键单击“RpcAuthnLevelPrivacyEnabled”,然后单击“修改”。
-
在“数值数据”框中,键入 1,然后单击“确定”。
备注 此更新引入了对 RpcAuthnLevelPrivacyEnabled 注册表值的支持,以提高打印机 IRemoteWinspool 的授权级别。
注册表子项 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
值 |
RpcAuthnLevelPrivacyEnabled |
数据类型 |
REG_DWORD |
数据 |
1:启用强制模式。 在为服务器端启用“强制”模式之前,请确保所有客户端设备都安装了 2021 年 1 月 12 日发布的 Windows 更新或以后的 Windows 更新。 此修复程序增加了打印机“IRemoteWinspool” RPC 接口的授权级别,并在服务器端添加了新的策略和注册表值,以强制客户端在应用“强制”模式时使用新的授权级别。 如果客户端设备未应用 2021 年 1 月 12 日的安全更新或以后的 Windows 更新,则当客户端通过“IRemoteWinspool” 接口连接到服务器时,打印体验将中断。 0:不推荐。 禁用打印机“IRemoteWinspool”的增强身份验证级别,则你的设备将不受保护。 |
默认为 |
未设置注册表项时安装更新后的默认行为:
|
是否需要重启? |
是的,需要重新启动设备或重新启动后台打印程序服务。 |