Rezumat
Actualizările de securitate lansate pe 6 iulie 2021 conțin măsuri de protecție pentru o vulnerabilitate de executare a codului la distanță din serviciul Windows Print Spooler (spoolsv.exe), numit "PrintNightmare", documentat în CVE-2021-34527. După ce instalați iulie 2021 și actualizările ulterioare, non-administratorii, inclusiv grupurile de administratori delegați, cum ar fi operatorii de imprimantă, nu pot instala drivere de imprimantă semnate sau nesemnate pe un server de imprimare. În mod implicit, numai administratorii pot instala pe un server de imprimare drivere de imprimantă semnate sau nesemnate.
Notă Înainte de a instala out-of-band din iulie 2021 și mai recent actualizări Windows care conțin protecții pentru CVE-2021-34527, grupul de securitate al operatorilor de imprimantă ar putea instala atât drivere de imprimantă semnate, cât și nesemnate pe un server de imprimantă. Începând cu actualizarea out-of-band din iulie 2021, vor fi necesare acreditări de administrator pentru a instala driverele de imprimantă semnate și nesemnate pe un server de imprimantă. Opțional, pentru a înlocui toate setările politicii de grup Restricții punct și imprimare și a vă asigura că numai administratorii pot instala driverele de imprimantă pe un server de imprimare, configurați valoarea registry RestrictDriverInstallationToAdministrators la 1.
Vă recomandăm să instalați imediat cele mai recente actualizări Windows lansate la sau după 6 iulie 2021 pe toate sistemele de operare Windows client și server acceptate, începând cu dispozitivele care găzduiesc în prezent serviciul derulator de imprimare. În continuare, setați setarea "La instalarea driverelor pentru o conexiune nouă" și "Când se actualizează drivere pentru o conexiune existentă" din setarea Politicii de grup Restricții de imprimare și punct la "Afișare solicitare de avertizare și înălțime".
Rezolvarea
-
Instalați actualizările out-of-band din iulie 2021 sau mai recente.
-
Verificați dacă următoarele condiții sunt adevărate:
-
Registry Setări: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) sau nedefinire (setare implicită)
-
UpdatePromptSettings = 0 (DWORD) sau ne definit (setare implicită)
-
-
Politică de grup: Nu ați configurat Politica de grup Restricții punct și imprimare.
Dacă ambele condiții sunt adevărate, atunci nu sunteți vulnerabil la CVE-2021-34527 și nu mai sunt necesare acțiuni suplimentare. Dacă oricare dintre condiții nu este adevărată, sunteți vulnerabil. Urmați pașii de mai jos pentru a modifica Politica de grup Restricții punct și imprimare la o configurație sigură.
-
Deschideți instrumentul de editor de politică de grup și accesați Configurație computer > Șabloane administrative > Imprimante.
-
Configurați setarea Politicii de grup Restricții punct și imprimare după cum urmează:
-
Setați setarea Politicii de grup Restricții punct și imprimare la "Activat".
-
"Când instalați drivere pentru o conexiune nouă": "Afișare avertizare și prompt înălțime".
-
"La actualizarea driverelor pentru o conexiune existentă": "Afișați promptul de avertizare și cotație".
-
Important Vă recomandăm ferm să aplicați această politică pe toate mașinile care găzduiesc serviciul derulator de imprimare.
Cerințe pentru repornire: Această modificare de politică nu necesită o repornire a dispozitivului sau a serviciului derulator de imprimare după aplicarea acestor setări.
3. Utilizați următoarele chei de registry pentru a confirma că Politica de grup s-a aplicat corect:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Avertisment Setarea lor la valori non-zero face vulnerabile dispozitivele pe care ați instalat actualizarea CVE-2021-34527.
Notă Configurarea acestor setări nu dezactivează caracteristica Punct și Imprimare.
4. [Recomandat] Înlocuiți restricțiile de punct și de imprimare, astfel încât numai administratorii să poată instala driverele de imprimare pe serverele imprimantei. Acest lucru se face cu utilizarea cheii de registry RestrictDriverInstallationToAdministrators. Actualizările lansate pe 6 iulie 2021 sau mai recente au setarea implicită 0 (dezactivată) până la actualizările lansate la 10 august 2021. Actualizările lansate pe 10 august 2021 sau mai recente au setarea implicită 1 (activată). Pentru mai multe informații despre cum să setați RestrictDriverInstallationToAdministratori și alte recomandări legate de imprimare, consultați KB5005652 - Gestionați noul punct și Comportamentul implicit de instalare a driverului de imprimare (CVE-2021-34481)
Mai multe informații
Remedierile pentru CVE-2021-34527 afectează scenariul implicit de instalare a driverului de imprimare și punct pentru un dispozitiv client care se conectează și instalează un driver de imprimare pentru o imprimantă de rețea partajată?
Nu, remedierile pentru CVE-2021-34527 nu afectează direct scenariul implicit de instalare a driverului de imprimare și punct pentru un dispozitiv client care se conectează și instalează un driver de imprimare pentru o imprimantă de rețea partajată. În acest caz, un dispozitiv client se conectează la un server de imprimare și descarcă și instalează driverele de pe acel server de încredere. Acest scenariu este diferit de scenariul vulnerabil în care un atacant încearcă să instaleze un driver rău intenționat pe serverul de imprimare propriu-zis, local sau la distanță.
