KB5005010: Hạn chế cài đặt trình điều khiển máy in mới sau khi áp dụng các bản cập nhật vào 06/07/2021

Tóm tắt

Các bản cập nhật bảo mật được phát hành vào và sau ngày 6 tháng 7 năm 2021 có chứa các bảo vệ cho lỗ hổng thực thi mã từ xa trong dịch vụ Bộ đệm In (Windowsspoolsv.exe) được gọi là "PrintNightmare", được ghi lại trong  CVE-2021-34527. Sau khi cài đặt bản cập nhật tháng 7 năm 2021 trở lên, những người không phải là người quản trị, bao gồm các nhóm quản trị được ủy nhiệm như nhà cung cấp máy in, sẽ không thể cài đặt trình điều khiển máy in đã ký và chưa được ký vào máy chủ in. Theo mặc định, chỉ người quản trị mới có thể cài đặt cả trình điều khiển máy in đã ký và chưa được ký vào máy chủ in. 

Lưu ý Trước khi cài đặt các bản cập nhật Out of band tháng 7 năm 2021 trở lên Windows có chứa bảo vệ cho CVE-2021-34527, nhóm bảo mật của người vận hành máy in có thể cài đặt cả trình điều khiển máy in đã ký và chưa được ký trên máy chủ máy in. Bắt đầu từ bản cập nhật Ngoài dải tháng 7 năm 2021, thông tin đăng nhập của người quản trị sẽ được yêu cầu để cài đặt trình điều khiển máy in đã ký và chưa được ký trên máy chủ máy in. Hoặc, để ghi đè tất cả cài đặt chính sách Nhóm Giới hạn Điểm và In và đảm bảo rằng chỉ người quản trị mới có thể cài đặt trình điều khiển máy in trên máy chủ in, hãy đặt cấu hình giá trị sổ đăng ký RestrictDriverInstallationToAdministrators thành 1.

Chúng tôi khuyên bạn nên cài đặt ngay các bản cập nhật Windows mới nhất được phát hành vào hoặc sau ngày 6 tháng 7 năm 2021 trên tất cả các hệ điều hành máy khách và máy chủ Windows được hỗ trợ, bắt đầu với những thiết bị hiện đang lưu trữ dịch vụ bộ đệm in. Tiếp theo, đặt cài đặt "Khi cài đặt trình điều khiển cho kết nối mới" và "Khi cập nhật trình điều khiển cho kết nối hiện có" trong cài đặt Chính sách nhóm Điểm và Hạn chế In thành "Hiển thị cảnh báo và lời nhắc mức cao".

Giải pháp

1. Cài đặt các bản cập nhật Mới hơn hoặc mới hơn vào Tháng Bảy 2021.

2. Kiểm tra xem những điều kiện sau đây có đúng không:

• Sổ đăng Cài đặt: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD) hoặc không được xác định (cài đặt mặc định)

  • UpdatePromptSettings = 0 (DWORD) hoặc không được xác định (cài đặt mặc định)

• Chính sách Nhóm: Bạn chưa cấu hình Chính sách Nhóm Điểm và Hạn chế In.

Nếu cả hai điều kiện đều đúng thì bạn không dễ bị CVE-2021-34527 tấn công và không cần hành động gì thêm. Nếu một trong hai điều kiện không đúng thì bạn có thể gặp trường hợp dễ bị tổn thương. Hãy làm theo các bước dưới đây để thay đổi Chính sách Nhóm Điểm và Hạn chế In thành cấu hình bảo mật.

1. Mở công cụ soạn thảo chính sách nhóm và đến Cấu hình Máy tính > Mẫu Quản > In. 

2. Đặt cấu hình thiết đặt Chính sách Nhóm Giới hạn Điểm và In như sau:

   1. Đặt cài đặt Chính sách Nhóm Giới hạn Điểm và In thành "Đã bật".

   2. "Khi cài đặt trình điều khiển cho kết nối mới": "Hiển thị lời nhắc cảnh báo và mức cao".

   3. "Khi cập nhật trình điều khiển cho kết nối hiện có": "Hiển thị lời nhắc cảnh báo và mức cao".

Quan trọng Chúng tôi đặc biệt khuyên bạn nên áp dụng chính sách này cho mọi máy lưu trữ dịch vụ bộ đệm in.

Yêu cầu khởi động lại: Thay đổi chính sách này không yêu cầu khởi động lại thiết bị hoặc dịch vụ bộ đệm in sau khi áp dụng những cài đặt này. 

3. Sử dụng khóa đăng ký sau đây để xác nhận rằng Chính sách Nhóm đã được áp dụng đúng cách:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

• NoWarningNoElevationOnInstall = 0 (DWORD)

• UpdatePromptSettings = 0 (DWORD)

Cảnh báo Việc đặt những giá trị này thành các giá trị khác không sẽ khiến các thiết bị mà bạn đã cài đặt bản cập nhật CVE-2021-34527 dễ bị tấn công.

Lưu ý Việc đặt cấu hình các thiết đặt này sẽ không vô hiệu hóa tính năng Điểm và In.

4. [Khuyên dùng] Giới hạn Ghi đè Điểm và In để chỉ người quản trị mới có thể cài đặt trình điều khiển in trên máy chủ máy in. Điều này được thực hiện bằng khóa đăng ký RestrictDriverInstallationToAdministrators. Các bản cập nhật được phát hành vào 06/07/2021 trở lên có số lượng mặc định là 0 (vô hiệu hóa) cho đến khi các bản cập nhật được phát hành vào ngày 10 tháng 8 năm 2021.  Các bản cập nhật được phát hành ngày 10 tháng 8 năm 2021 trở lên có tùy chọn mặc định là 1 (được bật).  Để biết thêm thông tin về cách đặt restrictDriverInstallationToAdministrators và các đề xuất liên quan đến in khác, hãy xem KB5005652—Quản lý hành vi cài đặt trình điều khiển mặc định Điểm mới và In (CVE-2021-34481)

Thông tin thêm

Các bản sửa lỗi cho CVE-2021-34527 có ảnh hưởng đến kịch bản cài đặt trình điều khiển Điểm và In mặc định cho thiết bị khách đang kết nối và cài đặt trình điều khiển in cho máy in mạng dùng chung không?

Không, các bản sửa lỗi cho CVE-2021-34527 không ảnh hưởng trực tiếp đến kịch bản cài đặt trình điều khiển Điểm và In mặc định cho thiết bị khách đang kết nối và cài đặt trình điều khiển in cho máy in trong mạng dùng chung. Trong trường hợp này, thiết bị máy khách kết nối với máy chủ in và tải xuống và cài đặt các trình điều khiển từ máy chủ tin cậy đó. Kịch bản này khác với kịch bản dễ bị tấn công khi kẻ tấn công đang tìm cách cài đặt trình điều khiển độc hại trên chính máy chủ in, cục bộ hoặc từ xa.