Resumo
As atualizações de segurança lançadas a 6 de julho de 2021 contêm proteções para uma vulnerabilidade de execução de código remota no serviço Spooler do Windows Print (spoolsv.exe), conhecido como "PrintNightmare", documentado em CVE-2021-34527. Após instalar as atualizações de julho de 2021 e posteriores, os não administradores, incluindo grupos de administradores delegados como os operadores de impressora, não podem instalar controladores de impressora assinados e não assinados num servidor de impressão. Por predefinição, apenas os administradores podem instalar controladores de impressora assinados e não assinados num servidor de impressão.
Nota Antes de instalar as atualizações de Windows de julho de 2021 fora de banda e posteriores que contêm proteção para o CVE-2021-34527, o grupo de operadores de segurança dos operadores de impressora poderia instalar controldores de impressora assinados e não assinados num servidor de impressora. A partir da atualização de julho de 2021 Fora do Contrato, serão necessárias credenciais de administrador para instalar controldores de impressora assinados e não assinados num servidor de impressora. Opcionalmente, para anular todas as definições da política de Grupo de Restrições de Pontos e Restrições de Impressão e garantir que apenas os administradores podem instalar controladores de impressora num servidor de impressão, configure o valor de registo RestrictDriverInstallationToAdministrators para 1.
Recomendamos que instale de imediato as atualizações do Windows mais recentes lançadas a ou depois de 6 de julho de 202 Windows 1 em todos os sistemas operativos de cliente e servidor suportados, a começar nos dispositivos que atualmente alovem o serviço spooler de impressão. Em seguida, defina as definições "Ao instalar controldores para uma nova ligação" e "Ao atualizar controldores para uma ligação existente" na definição da Política de Grupo Pontos e Restrições de Impressão para "Mostrar aviso e aviso de aviso".
Resolução
-
Instale as atualizações de julho de 2021 fora de banda ou posterior.
-
Verifique se as seguintes condições são verdadeiras:
-
Registo Definições: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) ou não definido (predefinição)
-
UpdatePromptSettings = 0 (DWORD) ou não definido (predefinição)
-
-
Política de Grupo: não configurou a Política de Grupo De Pontos e Restrições de Impressão.
Se ambas as condições são verdadeiras, então não está vulnerável a CVE-2021-34527 e não é necessária qualquer ação adicional. Se uma das condições não for verdadeira, é porque está vulnerável. Siga os passos abaixo para alterar a Política de Grupo de Restrições de Ponto e Impressão para uma configuração segura.
-
Abra a ferramenta editor de política de grupo e vá para Configuração do Computador > Modelos Administrativos >Impressoras.
-
Configure a definição da Política de Grupo de Restrições de Ponto e Impressão da seguinte forma:
-
Defina a definição da Política de Grupo de Restrições de Ponto e Impressão como "Ativada".
-
"Ao instalar controldores para uma nova ligação": "Mostrar aviso e aviso elevado".
-
"Ao atualizar os controldores para uma ligação existente": "Mostrar aviso e aviso elevado".
-
Importante Recomendamos vivamente que aplique esta política a todos os máquinas que alo partem do serviço de spooler de impressão.
Requisitos de reinício: Esta alteração de política não necessita de um reinício do dispositivo ou do serviço de spooler de impressão após aplicar estas definições.
3. Utilize as seguintes chaves de registo para confirmar que a Política de Grupo foi aplicada corretamente:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Aviso Defini-los para valores que não são zero torna os dispositivos nos quais instalou a atualização CVE-2021-34527 vulnerável.
Nota Configurar estas definições não desativa a funcionalidade Apontar e Imprimir.
4. [Recomendado] Coloque restrições em Pontos e Restrições de Impressão para que apenas os administradores possam instalar controladores de impressão em servidores de impressora. Isto é feito com a chave de registo RestrictDriverInstallationToAdministrators. As atualizações lançadas a 6 de julho de 2021 ou posterior têm a predefinição 0 (desativada) até às atualizações lançadas a 10 de agosto de 2021. As atualizações lançadas a 10 de agosto de 2021 ou posterior têm a predefinição 1 (ativada). Para obter mais informações sobre como definir RestrictDriverInstallationToAdministrators e outras recomendações relacionadas com impressão, consulte KB5005652 – Gerir o comportamento de instalação predefinido do novo ponto e Imprimir o comportamento de instalação predefinido do controlador (CVE-2021-34481)
Mais informações
As correções para o CVE-2021-34527 afetam o cenário de instalação predefinido do Controlador de Impressão e do Ponto num dispositivo cliente que está a ligar e a instalar um controlador de impressão para uma impressora de rede partilhada?
Não, as correções para o CVE-2021-34527 não afetam diretamente o cenário de instalação predefinido do Controlador de Impressão e do Ponto num dispositivo cliente que está a ligar e a instalar um controlador de impressão para uma impressora de rede partilhada. Neste caso, um dispositivo cliente liga-se a um servidor de impressão e transfere e instala os controldores a partir desse servidor fiável. Este cenário é diferente do cenário vulnerável em que um atacante está a tentar instalar um controlador malicioso no próprio servidor de impressão, local ou remotamente.
