Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Podsumowanie

Aktualizacje zabezpieczeń wydane 6 lipca 2021 r. i później zawierają zabezpieczenia przed luką w wykonywaniu kodu zdalnego w usłudze bufora wydruku usługi Windows (spoolsv.exe), nazywanej "PrintNightmare", która została udokumentowana w dokumencie  CVE-2021-34527. Po zainstalowaniu aktualizacji z lipca 2021 r. i nowszych administratorzy, w tym grupy administratorów delegowanych, takie jak operatorzy drukarek, nie mogą zainstalować podpisanych i niepodpisanych sterowników drukarek na serwerze wydruku. Domyślnie tylko administratorzy mogą zainstalować na serwerze wydruku sterowniki drukarek zarówno podpisane, jak i niepodpisane. 

Uwaga Przed zainstalowaniem aktualizacji niezapasowanych i nowszych z lipca 202 Windows 1 r. zawierających zabezpieczenia dla oprogramowania CVE-2021-34527 grupa zabezpieczeń operatorów drukarek mogła zainstalować na serwerze drukarek zarówno podpisane, jak i niepodpisane sterowniki drukarek. Począwszy od aktualizacji niezapasowej z lipca 2021 r., poświadczenia administratora będą wymagane do zainstalowania podpisanych i niepodpisanych sterowników drukarek na serwerze drukarek. Opcjonalnie, aby zastąpić wszystkie ustawienia zasad grupy Point i Print Restrictions i zapewnić, że tylko administratorzy mogą zainstalować sterowniki drukarek na serwerze wydruku, skonfiguruj wartość rejestru RestrictDriverInstallationToAdministrators na wartość 1.

Zalecamy natychmiastowe zainstalowanie najnowszych aktualizacji pakietu Windows opublikowanych 6 lipca 2021 r. lub później we wszystkich obsługiwanych systemach operacyjnych firmy Windows i serwera, począwszy od urządzeń, które obecnie hostują usługę bufora wydruku. Następnie ustaw ustawienia "Podczas instalowania sterowników dla nowego połączenia" i "Podczas aktualizowania sterowników dla istniejącego połączenia" w ustawieniu Ograniczenia punktowe i zasady grupy na wartość "Pokaż monit o ostrzeżenie i podwyższenie".

Rozwiązanie

  1. Zainstaluj aktualizacje "Pozapasmowe" z lipca 2021 r. lub nowsze.

  2. Sprawdź, czy są spełnione następujące warunki:

  • Rejestr Ustawienia: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) lub nie zdefiniowano (ustawienie domyślne)

    • UpdatePromptSettings = 0 (DWORD) lub nie zdefiniowano (ustawienie domyślne)

  • zasady grupy: Nie skonfigurowano ograniczeń punktowych i zasady grupy.

Jeśli oba warunki są spełnione, wówczas cve-2021-34527 nie jest narażone na żadne dalsze działania. Jeśli którykolwiek z warunków nie jest prawdziwy, jest narażony. Wykonaj poniższe czynności, aby zmienić ustawienia Ograniczeń punktowych i zasady grupy na bezpieczną konfigurację.

  1. Otwórz narzędzie edytora zasad grupy i przejdź do strony Konfiguracja komputera > szablony administracyjne dla > drukarki. 

  2. Skonfiguruj ustawienia ograniczeń punktowych i zasady grupy wydruku w następujący sposób:

    1. Ustaw dla ustawienia Ograniczenia punktowe i zasady grupy wartość "Włączone".

    2. "Podczas instalowania sterowników dla nowego połączenia": "Pokaż monit o ostrzeżenie i podwyższenie".

    3. "Podczas aktualizowania sterowników dla istniejącego połączenia": "Pokaż monit o ostrzeżenie i podwyższenie".

tekst alternatywny

Ważne Zdecydowanie zalecamy zastosowanie tych zasad do wszystkich komputerów hostujących usługę bufora wydruku.

Wymagania dotyczące ponownego uruchamiania: Ta zmiana zasad nie wymaga ponownego uruchomienia urządzenia ani usługi buforu wydruku po zastosowaniu tych ustawień. 

3. Użyj następujących kluczy rejestru, aby potwierdzić, że zasady grupy został prawidłowo zastosowany:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Ostrzeżenie Ustawienie wartości innych niż zero może ułatwić pracę urządzeń, na których zainstalowano aktualizację CVE-2021-34527.

Uwaga Skonfigurowanie tych ustawień nie powoduje wyłączenia funkcji Point i Print.

4. [Zalecane] Zastępuje ograniczenia punktowe i drukowania, aby tylko administratorzy mogą instalować sterowniki drukarek na serwerach drukarek. Odbywa się to przy użyciu klucza rejestru RestrictDriverInstallationToAdministrators. Aktualizacje wydane 6 lipca 2021 r. lub nowsze mają domyślnie wartość 0 (wyłączone) do czasu aktualizacji opublikowanych 10 sierpnia 2021 r.  Aktualizacje wydane 10 sierpnia 2021 r. lub nowsze mają domyślnie wartość 1 (włączone).  Aby uzyskać więcej informacji na temat sposobu ustawienia pozycji RestrictDriverInstallationToAdministrators i innych związanych z drukowaniem rekomendacji, zobacz KB5005652 — zarządzanie nowym zachowaniem domyślnego sterownika punktowego i drukowania (CVE-2021-34481)

Więcej informacji

Czy poprawki dla cve-2021-34527 mają wpływ na domyślny scenariusz instalacji sterownika Point i Print dla urządzenia klienckiego, które łączy się z udostępnioną drukarką sieciową i instaluje sterownik wydruku?

Nie, poprawki dla oprogramowania CVE-2021-34527 nie wpływają bezpośrednio na domyślny scenariusz instalacji sterownika Point i Print dla urządzenia klienckiego, które łączy się z udostępnioną drukarką sieciową i instaluje sterownik wydruku. W takim przypadku urządzenie klienckie łączy się z serwerem wydruku, a następnie pobiera i instaluje sterowniki z tego zaufanego serwera. Ten scenariusz różni się od scenariusza, w którym atakujący próbuje zainstalować złośliwy sterownik na samym serwerze wydruku, lokalnie lub zdalnie.

Facebook LinkedIn Adres e-mail

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×