Rezime
Bezbednosne ispravke objavljene 6. jula 2021. sadrže zaštitu za ranjivost izvršavanja daljinskog koda u usluzi Windows Štampanje na štampanju (spoolsv.exe) poznatom kao "PrintNightmare", dokumentovane u verziji CVE-2021-34527. Nakon instaliranja ispravki iz jula 2021. i novijih verzija, ne administratori, uključujući delegirane grupe administratora kao što su operatori štampača, ne mogu da instaliraju potpisane i nepotpisane upravljačke programe štampača na server za štampanje. Samo administratori podrazumevano mogu da instaliraju potpisane i nepotpisane upravljačke programe štampača na server za štampanje.
Napomišite Pre nego što instalirate ispravke za jul 2021. i kasnije Windows ispravke koje sadrže zaštitu za CVE-2021-34527, bezbednosna grupa operatora štampača može da instalira potpisane i nepotpisane upravljačke programe štampača na serveru štampača. Počevši od ažuriranja iz jula 2021, akreditivi administratora će biti potrebni da biste instalirali potpisane i nepotpisane upravljačke programe štampača na serveru štampača. Opcionalno, da biste poništili sve postavke smernica grupe za tačke i štampanje i da biste se uverili da samo administratori mogu da instaliraju upravljačke programe štampača na serveru za štampanje, konfigurišite vrednost registratora RestrictDriverInstallationToAdministrators na 1.
Preporučujemo da odmah instalirate najnovije ispravke Windows objavljene 6. jula 2021. ili posle 6. jula 2021. na svim podržanim operativnim sistemima Windows klijenta i servera, počevši od uređaja koji trenutno hostuju uslugu štampanja na štampanju na štampanju. Dalje, postavite postavke "Prilikom instaliranja upravljačkih programa za novu vezu" i "Prilikom ažuriranja upravljačkih programa za postojeću vezu" u postavkama Smernice za tačku i štampanje ograničenja grupe postavite na "Prikaži odziv za upozorenje i podizanje".
Rezolucija
-
Instalirajte ispravke za jul 2021. ili novije.
-
Proverite da li su ispunjeni sledeći uslovi:
-
Registrator Postavke: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) ili nije definisan (podrazumevana postavka)
-
UpdatePromptSettings = 0 (DWORD) ili nije definisano (podrazumevana postavka)
-
-
Smernice grupe: Niste konfigurisali smernice grupe za poen i štampanje ograničenja.
Ako su oba uslova tačna, niste ranjivi na CVE-2021-34527 i nije vam potrebna nikakva dalja radnja. Ako bilo koji od uslova nije tažan, podložni ste problemu. Pratite korake u nastavku da biste promenili smernice grupe Za tačku i štampanje u bezbednu konfiguraciju.
-
Otvorite alatku uređivača smernica grupe i idite na stavku Konfiguracija računara > Administrativni predlošci > Štampači.
-
Konfigurišite postavku smernica grupe za poentu i štampanje na sledeći broj:
-
Postavite postavku Smernice grupe za tačku i štampanje na opciju "Omogućeno".
-
"Prilikom instaliranja upravljačkih programa za novu vezu": "Prikaži odziv za upozorenje i podizanje".
-
"Prilikom ažuriranja upravljačkih programa za postojeću vezu": "Prikaži odziv za upozorenje i podizanje".
-
Važno Preporučujemo da primenite ove smernice na sve uređaje koji hostuju uslugu štampanja na štampanju na štampanju.
Zahtevi za ponovno pokretanje: Ova promena smernica ne zahteva ponovno pokretanje uređaja ili usluge štampanja na štampanju nakon primene ovih postavki.
3. Koristite sledeće ključeve registratora da biste potvrdili da je smernica grupe ispravno primenjena:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Upozorenje Ako ih izaberete na vrednosti koje nisu nula, učinite uređaje na kojima ste instalirali ispravku CVE-2021-34527 ranjivim.
Napomišite Konfigurisanje ovih postavki ne onemogućava funkcije "Tačka" i "Štampanje".
4. [Preporučeno] Zamena tačke i ograničenja štampanja, tako da samo administratori mogu da instaliraju upravljačke programe za štampanje na serverima štampača. To se radi pomoću ključa registratora RestrictDriverInstallationToAdministrators. Ispravke objavljene 6. jula 2021. ili novije imaju podrazumevanu vrednost 0 (onemogućene) sve dok se ispravke ne objave 10. avgusta 2021. Ispravke objavljene 10. avgusta 2021. ili novije imaju podrazumevanu vrednost 1 (omogućeno). Više informacija o postavljanju RestrictDriverInstallationToAdministrators i drugih preporuka u vezi sa štampanjem potražite u temi KB5005652 – Upravljanje novom tačkom i štampanje podrazumevanog ponašanja instalacije upravljačkog programa (CVE-2021-34481)
Više informacija
Da li ispravke za CVE-2021-34527 utiču na podrazumevani scenario instalacije tačke i upravljačkog programa za klijentski uređaj koji se povezuje i instalira upravljački program za štampanje za deljeni mrežni štampač?
Ne, ispravke za CVE-2021-34527 ne utiču direktno na podrazumevani scenario instalacije tačke i upravljačkog programa za štampanje za klijentski uređaj koji se povezuje i instalira upravljački program za štampanje za deljeni mrežni štampač. U ovom slučaju, klijentski uređaj se povezuje sa serverom za štampanje i preuzima i instalira upravljačke programe sa tog pouzdanog servera. Ovaj scenario se razlikuje od ranjivog scenarija u kom napadač pokušava da instalira zlonamera upravljački program na samom serveru za štampanje, bilo lokalno ili daljinski.
