Rezumat
Există o vulnerabilitate de ocolire de securitate în modul în care legarea Printer Remote Procedure Call (RPC) gestionează autentificarea pentru interfața Usbpool la distanță. Actualizarea Windows această vulnerabilitate prin creșterea nivelului de autentificare RPC și introducerea unei noi politici și a unei chei de registry pentru a le permite clienților să dezactiveze sau să activez modul de impunere pe partea server pentru a mări nivelul de autentificare.
Pentru a afla mai multe despre vulnerabilitate, consultați rapoarte CVE-2021-1678 | Windows Imprimați o vulnerabilitate pentru falsitatea derulatorului de imprimare.
|
Luați măsuri Pentru a vă proteja mediul și a preveni depărtări, trebuie să faceți următoarele:
|
Temporizare actualizări
Aceste Windows noi actualizări vor fi lansate în două faze:
-
Faza de implementare inițială pentru Windows lansate la sau după 12 ianuarie 2021.
-
Faza de impunere pentru actualizările Windows lansate la anumite date viitoare.
12 ianuarie 2021: Etapa de implementare inițială
Faza de implementare inițială începe cu actualizarea Windows lansată la 12 ianuarie 2021, oferind clienților server capacitatea de a activa acest nivel de securitate sporit pe cont propriu, pe baza pregătirea mediului lor.
Această versiune:
-
Adrese CVE-2021-1678 (în modul de implementare setată la Dezactivat în mod implicit).
-
Adaugă suport pentru valoarea registry RpcAuthnLevelPrivacyEnabled pentru a activa creșterea nivelului de autorizare pentru protecția IRemoteWinspool a imprimantei.
Atenuarea constă în instalarea actualizărilor de Windows pe toate dispozitivele client și la nivel de server.
14 septembrie 2021: Etapa de impunere
Lansări vor intra în etapa de impunere pe 14 septembrie 2021. Etapa de impunere impune modificările pentru adresa CVE-2021-1678 prin creșterea nivelului de autorizare fără a fi nevoie să setați valoarea de registry.
Instrucțiuni pentru instalare
Înainte de a instala această actualizare
Trebuie să aveți următoarele actualizări necesare instalate înainte de a aplica această actualizare. Dacă utilizați această Windows, aceste actualizări necesare vor fi oferite automat, după cum este necesar.
-
Trebuie să aveți instalată actualizarea SHA-2(KB4474419)care este cu 23 septembrie 2019 sau o actualizare SHA-2 mai recentă, apoi să reporniți dispozitivul înainte de a aplica această actualizare. Pentru mai multe informații despre actualizările SHA-2, consultați Cerința de asistență pentru semnarea codului SHA-2 2 2019 pentru Windows și WSUS.
-
Pentru Windows Server 2008 R2 SP1, trebuie să fi instalat actualizarea stivei de servicii (SSU)(KB4490628)care este datată la 12 martie 2019. După ce instalați actualizarea KB4490628, vă recomandăm să instalați cea mai recentă actualizare SSU. Pentru mai multe informații despre cea mai recentă actualizare SSU, consultați ADV990001 | Cele mai recente actualizări ale stivei de servicii.
-
Pentru Windows Server 2008 SP2, trebuie să fi instalat actualizarea stivei de servicii (SSU) (KB4493730)care este datată 9 aprilie 2019. După ce instalați actualizarea KB4493730, vă recomandăm să instalați cea mai recentă actualizare SSU. Pentru mai multe informații despre cele mai recente actualizări SSU, consultați ADV990001 | Cele mai recente actualizări ale stivei de servicii.
-
Clienții trebuie să achiziționeze Actualizarea de securitate extinsă (Extended Security Update - ESU) pentru versiunile locale de Windows Server 2008 SP2 sau Windows Server 2008 R2 SP1 după ce suportul extins s-a încheiat la 14 ianuarie 2020. Clienții care au achiziționat ESU trebuie să urmeze procedurile din KB4522133 pentru a continua să primească actualizări de securitate. Pentru mai multe informații despre ESU și edițiile acceptate, consultați KB4497181.
Important Trebuie să reporniți dispozitivul după ce instalați aceste actualizări necesare.
Instalați actualizarea
Pentru a rezolva vulnerabilitatea de securitate, instalați actualizările automate Windows activați modul de impunere, urmând acești pași:
-
Implementați actualizarea din 12 ianuarie 2021 pe toate dispozitivele client și server.
-
După ce au fost actualizate toate dispozitivele client și server, protecția completă poate fi activată setând valoarea de registry la 1.
Pasul 1: Instalați actualizarea Windows actualizare
Instalați actualizarea din 12 ianuarie 2021 Windows o actualizare sau o versiune Windows mai recentă a tuturor dispozitivelor client și server.
|
Windows Produs server |
KB # |
Tipul actualizării |
|
Windows Server, versiunea 20H2 (Server Core Installation) |
Actualizare de securitate |
|
|
Windows Server, versiunea 2004 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server, versiunea 1909 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server, versiunea 1903 (instalare Server Core) |
Actualizare de securitate |
|
|
Windows Server 2019 (instalare server de bază) |
Actualizare de securitate |
|
|
Windows Server 2019 |
Actualizare de securitate |
|
|
Windows Server 2016 (instalare server de bază) |
Actualizare de securitate |
|
|
Windows Server 2016 |
Actualizare de securitate |
|
|
Windows Server 2012 R2 (instalare server de bază) |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2012 R2 |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2012 (instalare server de bază) |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2012 |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2008 R2 cu pachetul Service Pack 1 |
Monthly Rollup |
|
|
Doar securitate |
||
|
Windows Server 2008 Service Pack 2 |
Monthly Rollup |
|
|
Doar securitate |
Pasul 2: Activarea modului de impunere
Important Această secțiune, metodă sau activitate conțin pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru protecție suplimentară, faceți o parte din registry înainte de a-l modifica. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru mai multe informații despre cum să faceți backup și să restaurați registry-ul, consultați Cum să faceți backup și să restaurați registry în Windows.
După ce au fost actualizate toate dispozitivele client și server, puteți activa protecția completă prin implementarea modului de impunere. Pentru a face acest lucru, urmați acești pași:
-
Faceți clic dreapta pe Start, facețiclic pe Rulare , tastați cmd în caseta Rulare, apoi apăsați Ctrl+Shift+Enter.
-
În linia de comandă Administrator, tastați regedit, apoi apăsați pe Enter.
-
Găsiți următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Faceți clic dreapta pe Print, alegeți New, apoi faceți clic pe DWORD VALUE (32-bit) Value.
-
Tastați RpcAuthnLevelPrivacyEnabled, apoi apăsați pe Enter.
-
Faceți clic dreapta pe RpcAuthnLevelPrivacyEnabled, apoi faceți clic pe Modificare.
-
În caseta Value data, tastați 1, apoi faceți clic pe OK.
Notă Această actualizare introduce suport pentru valoarea registry RpcAuthnLevelPrivacyEnabled, pentru a mări nivelul de autorizare pentru imprimanta IRemoteWinspool.
|
Subcheie de registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Valoare |
RpcAuthnLevelPrivacyEnabled |
|
Tip de date |
REG_DWORD |
|
Date |
1:Activează modul de impunere. Înainte de a activa modul de impunere pentru partea server, asigurați-vă că toate dispozitivele client au instalat actualizarea Windows lansată pe 12 ianuarie 2021 sau o actualizare Windows mai recentă. Această remediere mărește nivelul de autorizare pentru imprimanta IRemoteWinspool interfață RPC și adaugă o nouă valoare de politică și registry pe partea server pentru a-i impune clientului să utilizeze noul nivel de autorizare dacă se aplică noul mod de impunere. Dacă dispozitivul client nu are actualizarea de securitate din 12 ianuarie 2021 sau o actualizare Windows mai recentă aplicată, experiența de imprimare va fi întreruptă atunci când clientul se conectează la server prin interfața IRemoteWinspool. 0:Nerecomandat. Dezactivează nivelul de autentificare crește pentru imprimanta IRemoteWinspoolși dispozitivele dvs. nu sunt protejate. |
|
Implicit |
Comportament implicit după instalarea actualizărilor atunci când nu este setată cheia de registry:
|
|
Este necesară o Repornire? |
Da, este necesară o repornire a dispozitivului sau o repornire a serviciului derulator. |
