סיכום
עדכוני אבטחה שהופצה ב- 6 ביולי 2021 ואחריה מכילים הגנות עבור פגיעות של ביצוע קוד מרחוק בשירות Windows מנגנון ההדפסה ברקע (spoolsv.exe) הידוע בשם "PrintNightmare", מתועד ב- CVE-2021-34527. לאחר התקנת העדכונים ביולי 2021 ואילך, ללא מנהלי מערכת, כולל קבוצות מנהל מערכת שהוקצו, כגון מפעילי מדפסות, אין אפשרות להתקין מנהלי מדפסות חתומים ולא חתומים בשרת הדפסה. כברירת מחדל, רק מנהלי מערכת יכולים להתקין הן מנהלי מדפסת חתומים וגם מנהלי מדפסת שאינם חתומים בשרת הדפסה.
הערה לפני התקנת עדכוני ה- Out-of-band ביולי 2021 ואילך Windows המכילים הגנות עבור CVE-2021-34527, קבוצת האבטחה של מפעילי המדפסת יכולה להתקין הן מנהלי מדפסות חתומים וגם מנהלי מדפסות לא חתומים בשרת מדפסות. החל מעדכון Out-of-band ביולי 2021, יידרשו אישורי מנהל מערכת כדי להתקין מנהלי מדפסת חתומים ולא חתומים בשרת מדפסת. לחלופין, כדי לעקוף את כל הגדרות המדיניות הקבוצתית של הגבלות הצבע והדפס ולהבטיח שרק מנהלי מערכת יכולים להתקין מנהלי מדפסות בשרת הדפסה, הגדר את ערך הרישום RestrictDriverInstallationToAdministrators ל- 1.
מומלץ להתקין באופן מיידי את עדכוני Windows האחרונים שהופצה ב- 6 ביולי 2021 או לאחר מכן בכל מערכות ההפעלה הנתמכות של לקוח Windows, החל ממכשירים שמארחים כעת את שירות מנגנון ההדפסה ברקע. לאחר מכן, הגדר את ההגדרה "בעת התקנת מנהלי התקנים עבור חיבור חדש" ו"בעת עדכון מנהלי התקנים עבור חיבור קיים" בהגדרת המדיניות הקבוצתית 'הגבלות הצבע והדפס' ל'הצג אזהרה ובקשה להעלאה'.
פתרון
-
התקן את העדכונים 'מחוץ ללהקה' ביולי 2021 ואילך.
-
בדוק אם התנאים הבאים מתקיימים:
-
רישום הגדרות: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) או לא מוגדר (הגדרת ברירת המחדל)
-
UpdatePromptSettings = 0 (DWORD) או לא מוגדר (הגדרת ברירת המחדל)
-
-
מדיניות קבוצתית: לא קבעת את תצורת המדיניות הקבוצתית של הגבלות הצבע והדפס.
אם שני התנאים מתקיימים, אינך פגיע ל- CVE-2021-34527 ולא נדרשת פעולה נוספת. אם אחד התנאיים אינו נכון, אתה פגיע. בצע את השלבים הבאים כדי לשנות את המדיניות הקבוצתית הגבלות הצבע והדפס לתצורה מאובטחת.
-
פתח את הכלי של עורך המדיניות הקבוצתית ו עבור אל תצורת מחשב > ניהול תבניות >מדפסות.
-
קבע את התצורה של הגדרת המדיניות הקבוצתית 'הגבלות הצבע והדפס' באופן הבא:
-
הגדר את הגדרת המדיניות הקבוצתית 'הגבלות הצבע והדפס' כ'זמין'.
-
"בעת התקנת מנהלי התקנים עבור חיבור חדש": "Show warning and elevation prompt".
-
"בעת עדכון מנהלי התקנים עבור חיבור קיים": "Show warning and elevation prompt".
-
חשוב מומלץ מאוד להחיל מדיניות זו על כל המחשבים שמארחים את שירות מנגנון ההדפסה ברקע.
דרישות הפעלה מחדש: שינוי מדיניות זה אינו דורש הפעלה מחדש של המכשיר או שירות מנגנון ההדפסה ברקע לאחר החלת הגדרות אלה.
3. השתמש במפתחות הרישום הבאים כדי לוודא שהמדיניות הקבוצתית הוחלה כראוי:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
אזהרה הגדרת ערכים אלה לערכים שאינם אפס תחשוף את המכשירים שבו התקנת את העדכון CVE-2021-34527.
הערה קביעת התצורה של הגדרות אלה אינה הופכת את התכונה 'הצבע והדפס' ללא זמינה.
4. [מומלץ] עקיפת נקודות והגבלות הדפסה כך שרק מנהלי מערכת יכולים להתקין מנהלי הדפסה בשרתי מדפסות. פעולה זו ת בוצע באמצעות מפתח הרישום RestrictDriverInstallationToAdministrators. עדכונים שהופצה ב- 6 ביולי 2021 ואילך כוללים ברירת מחדל של 0 (לא זמין) עד שעדכונים שהופצה ב- 10 באוגוסט 2021. עדכונים שהופצה ב- 10 באוגוסט 2021 ואילך כוללים ברירת מחדל של 1 (זמין). לקבלת מידע נוסף אודות אופן הגדרת RestrictDriverInstallationToAdministrators והמלצות קשורות אחרות להדפסה, ראה KB5005652 - ניהול אופן פעולה חדש של התקנת מנהלי התקנים של נקודות והדפס (CVE-2021-34481)
מידע נוסף
האם התיקונים עבור CVE-2021-34527 משפיעים על תרחיש ברירת המחדל של התקנת מנהל התקן של הצבע והדפס עבור התקן לקוח המתחבר אל מנהל התקן הדפסה ומתקין אותו עבור מדפסת רשת משותפת?
לא, התיקונים עבור CVE-2021-34527 אינם משפיעים ישירות על תרחיש ההתקנה של ברירת המחדל של הצבע והדפס של מנהל ההתקן עבור התקן לקוח המתחבר להתקן הדפסה ומתקין אותו עבור מדפסת רשת משותפת. במקרה זה, התקן לקוח מתחבר לשרת הדפסה, מוריד ומתקין את מנהלי ההתקנים משרת מהימן זה. תרחיש זה שונה מהתרחיש הפגיע שבו תוקף מנסה להתקין מנהל התקן זדוני בשרת ההדפסה עצמו, באופן מקומי או מרוחק.
