요약
2021년 7월 6일 이후 릴리스된 보안 업데이트에는 CVE-2021-34527에설명된 Windows Print Spooler 서비스(spoolsv.exe)의 원격 코드 실행 취약성에 대한 보호가 포함되어 있습니다. 2021년 7월 이후 업데이트를 설치한 후 프린터 운영자와 같은 위임된 관리자 그룹을 포함하여 관리자가 아닌 관리자가 인쇄 서버에 서명된 프린터 드라이버 및 서명되지 않은 프린터 드라이버를 설치할 수 없습니다. 기본적으로 관리자만 서명된 프린터 드라이버와 서명되지 않은 프린터 드라이버를 모두 인쇄 서버에 설치할 수 있습니다.
참고 2021년 7월 대역 외 및 나중에 CVE-202 Windows 1-34527에 대한 보호를 포함하는 업데이트를 설치하기 전에 프린터 운영자의 보안 그룹은 프린터 서버에 서명된 프린터 드라이버와 서명되지 않은 프린터 드라이버를 둘 다 설치할 수 있습니다. 2021년 7월 대역 외 업데이트부터 프린터 서버에 서명된 프린터 드라이버 및 서명되지 않은 프린터 드라이버를 설치하려면 관리자 자격 증명이 필요합니다. 선택적으로 모든 지점 및 인쇄 제한 그룹 정책 설정을 재지정하고 관리자만 인쇄 서버에 프린터 드라이버를 설치할 수 있는지 확인하려면 RestrictDriverInstallationToAdministrators 레지스트리 값을 1로 구성합니다.
2021년 7월 6일 또는 Windows 현재 인쇄 스푸러 서비스를 호스트하는 디바이스부터 지원되는 모든 클라이언트 Windows 및 서버 운영 체제에 릴리스된 최신 업데이트를 즉시 설치하는 것이 좋습니다. 다음으로 지점 및 인쇄 제한 그룹 정책 설정에서 "새 연결에 대한 드라이버를 설치할 때" 및 "기존 연결에 대한 드라이버를 업데이트할 때"를 "경고 및 상승 프롬프트 표시"로 설정합니다.
해결 방법
-
2021년 7월 대역 외 업데이트 이상을 설치합니다.
-
다음 조건이 true인지 검사합니다.
-
레지스트리 설정: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0(DWORD) 또는 정의되지 않은(기본 설정)
-
UpdatePromptSettings = 0(DWORD) 또는 정의되지 않은(기본 설정)
-
-
그룹 정책: 지점 및 인쇄 제한 그룹 정책을 구성하지 않은 경우
두 조건이 true이면 CVE-2021-34527에 취약하지 않습니다. 추가 작업이 필요하지 않습니다. 두 조건 중 하나가 true가 아닌 경우 취약합니다. 지점 및 인쇄 제한 그룹 정책을 보안 구성으로 변경하려면 아래 단계를 따릅니다.
-
그룹 정책 편집기 도구를 열고 프린터에서 관리 > 컴퓨터 구성 > 로 이동하세요.
-
다음과 같이 지점 및 인쇄 제한 그룹 정책 설정을 구성합니다.
-
지점 및 인쇄 제한 그룹 정책 설정을 "사용"으로 설정합니다.
-
"새 연결에 대한 드라이버를 설치할 때": "경고 및 상승 프롬프트 표시".
-
"기존 연결에 대한 드라이버를 업데이트할 때": "경고 및 상승 프롬프트 표시".
-
중요 인쇄 스푸러 서비스를 호스트하는 모든 머신에 이 정책을 적용하는 것이 좋습니다.
다시 시작 요구 사항: 이 정책 변경은 이러한 설정을 적용한 후 디바이스 또는 인쇄 스푸러 서비스를 다시 시작할 필요가 없습니다.
3. 다음 레지스트리 키를 사용하여 그룹 정책이 올바르게 적용되어 있는지 확인합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0(DWORD)
-
UpdatePromptSettings = 0(DWORD)
경고 이러한 값을 0이 아닌 값으로 설정하면 CVE-2021-34527 업데이트를 설치한 디바이스가 취약합니다.
참고 이러한 설정을 구성하면 지점 및 인쇄 기능이 비활성화되지 않습니다.
4. [권장] 관리자만 프린터 서버에 인쇄 드라이버를 설치할 수 있도록 지점 및 인쇄 제한을 다시 적용합니다. 이는 Registry key RestrictDriverInstallationToAdministrators를 사용하여 수행됩니다. 2021년 7월 6일 이후 릴리스된 업데이트는 업데이트가 2021년 8월 10일 릴리스될 때까지 기본값 0(사용 안 )을 하게 됩니다. 2021년 8월 10일 이후 릴리스된 업데이트에는 기본값 1(사용)이 있습니다. RestrictDriverInstallationToAdministrators 및 기타 인쇄 관련 권장 사항을 설정하는 방법에 대한 자세한 내용은 KB5005652-새 지점 관리 및 기본 드라이버 설치 동작 인쇄(CVE-2021-34481)를 참조하세요.
자세한 내용
CVE-2021-34527에 대한 수정은 공유 네트워크 프린터에 대한 인쇄 드라이버를 연결하고 설치하는 클라이언트 디바이스의 기본 지점 및 인쇄 드라이버 설치 시나리오에 영향을 미치나요?
아니요, CVE-2021-34527에 대한 수정은 공유 네트워크 프린터에 대한 인쇄 드라이버를 연결하고 설치하는 클라이언트 디바이스의 기본 지점 및 인쇄 드라이버 설치 시나리오에 직접 영향을 주지 않습니다. 이 경우 클라이언트 디바이스는 인쇄 서버에 연결하고 해당 신뢰할 수 있는 서버에서 드라이버를 다운로드하고 설치합니다. 이 시나리오는 공격자가 로컬 또는 원격으로 인쇄 서버 자체에 악의적인 드라이버를 설치하려고 하는 취약한 시나리오와 다릅니다.
