Sažetak
Sigurnosna ažuriranja objavljena 6. srpnja 2021. sadrže zaštitu za slabe točke izvršavanja udaljenog koda u servisu Windows Usmjerivač ispisa (spoolsv.exe) pod nazivom "PrintNightmare", dokumentiranom u dokumentu CVE-2021-34527. Nakon instalacije ažuriranja za srpanj 2021. i novije verzije, ne administratori, uključujući delegirane administratorske grupe, kao što su operatori pisača, ne mogu instalirati potpisane i nepotpisane upravljačke programe pisača na poslužitelj za ispis. Prema zadanim postavkama samo administratori mogu instalirati potpisane i nepotpisane upravljačke programe pisača na poslužitelj za ispis.
Napomena Prije instalacije ažuriranja izvan raspona od srpnja 2021. i novijih ažuriranja Windows koja sadrže zaštitu za CVE-2021-34527 sigurnosna grupa operatora pisača mogla bi instalirati potpisane i nepotpisane upravljačke programe pisača na poslužitelj pisača. Počevši od ažuriranja izvan raspona za srpanj 2021., administratorske vjerodajnice morat će instalirati potpisane i nepotpisane upravljačke programe pisača na poslužitelj pisača. Ako želite, da biste nadjačali sve postavke pravilnika grupe Za točke i ispis i bili sigurni da samo administratori mogu instalirati upravljačke programe pisača na poslužitelj za ispis, konfigurirajte vrijednost registra RestrictDriverInstallationToAdministrators na 1.
Preporučujemo da odmah instalirate najnovija ažuriranja Windows objavljena 6. srpnja 2021. na svim podržanim operacijskim sustavima Windows i poslužitelja, počevši od uređaja koji trenutno hostuju servis usmjerivača ispisa. Zatim postavite postavku "Prilikom instalacije upravljačkih programa za novu vezu" i "Prilikom ažuriranja upravljačkih programa za postojeću vezu" u postavki Pravilnik grupe Point and Print restrictions (Pravilnik grupe Point and Prints) postavite na "Show warning and elevation prompt" (Prikaži upozorenje i upit o visini).
Rješenje
-
Instalirajte ažuriranja izvan raspona za srpanj 2021. ili novija.
-
Provjerite jesu li ispunjeni sljedeći uvjeti:
-
Registar Postavke: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) ili nije definiran (zadana postavka)
-
UpdatePromptSettings = 0 (DWORD) ili nije definirano (zadana postavka)
-
-
Pravilnik grupe: niste konfigurirali pravilnik grupe Ograničenja točke i ispisa.
Ako su oba uvjeta istinita, niste osjetljivi na CVE-2021-34527 i nisu potrebne dodatne akcije. Ako bilo koji uvjet nije istinit, vi ste ranjivi. Slijedite korake u nastavku da biste pravilnik grupe Za točke i ispis promijenili u sigurnu konfiguraciju.
-
Otvorite alat za uređivanje pravilnika grupe i otvorite Konfiguracija računala > Administrativni predlošci > pisači.
-
Konfigurirajte postavku Pravilnika grupe Ograničenja točke i ispisa na sljedeći način:
-
Postavite postavku Pravilnik grupe Ograničenja točke i ispisa na "Omogućeno".
-
"Prilikom instalacije upravljačkih programa za novu vezu": "Show warning and elevation prompt".
-
"Prilikom ažuriranja upravljačkih programa za postojeću vezu": "Show warning and elevation prompt".
-
Važno Preporučujemo da ovaj pravilnik primijenite na sva računala koja hostuju servis usmjerivača ispisa.
Preduvjeti za ponovno pokretanje: Ta promjena pravilnika ne zahtijeva ponovno pokretanje uređaja ili servisa usmjerivača ispisa nakon primjene tih postavki.
3. Pomoću sljedećih ključeva registra provjerite je li pravilnik grupe pravilno primijenjen:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Upozorenje Postavljanje tih vrijednosti na vrijednosti koje nisu nulte čine uređaje na kojima ste instalirali ažuriranje CVE-2021-34527 osjetljivo.
Napomena Konfiguriranjem tih postavki ne onemogućuje se značajka Točke i Ispis.
4. [Preporučeno] Ograničenja nadjačavanja točke i ispisa da bi samo administratori mogli instalirati upravljačke programe za ispis na poslužitelje pisača. To se radi pomoću ključa registra RestrictDriverInstallationToAdministrators. Ažuriranja objavljena 6. srpnja 2021. ili novija imaju zadanu vrijednost 0 (onemogućena) do ažuriranja objavljenih 10. kolovoza 2021. Ažuriranja objavljena 10. kolovoza 2021. ili novija imaju zadanu vrijednost 1 (omogućeno). Dodatne informacije o postavljanju ograničavanja servisaDriverInstallationToAdministrators i drugih povezanih preporuka za ispis potražite u članku KB5005652 – upravljanje novim ponašanjem instalacije zadanog upravljačkog programa za točke i ispis (CVE-2021-34481)
Dodatne informacije
Utječu li popravci za CVE-2021-34527 na zadani scenarij instalacije upravljačkog programa Point i Print za klijentski uređaj koji se povezuje s upravljačkim programom za ispis i instalira za zajednički mrežni pisač?
Ne, popravci za CVE-2021-34527 ne utječu izravno na zadani scenarij instalacije upravljačkog programa Point i Print za klijentski uređaj koji se povezuje s upravljačkim programom za ispis i instalira za zajednički mrežni pisač. U tom se slučaju klijentski uređaj povezuje s poslužiteljem za ispis te preuzima i instalira upravljačke programe s tog pouzdanog poslužitelja. Taj se scenarij razlikuje od osjetljivog scenarija u kojem napadač pokušava instalirati zlonamjerni upravljački program na samom poslužitelju za ispis, lokalno ili daljinski.
