Shrnutí
Aktualizace zabezpečení vydané 6. července 2021 a po tomto datu obsahují ochranu před chybou zabezpečení umožňující vzdálené spuštění kódu ve službě zařazování tisku Windows (spoolsv.exe) označované jako PrintNightmare, která je dokumentovaná ve formátu CVE-2021-34527. Po instalaci aktualizací z července 2021 a novějších verzí se neschůdci, včetně delegovaných skupin správců, jako jsou operátoři tiskáren, neinstaluje podepsané a nepodepsané ovladače tiskárny na tiskový server. Ve výchozím nastavení můžou na tiskový server nainstalovat podepsané i nepodepsané ovladače tiskárny jenom správci.
Poznámka Před instalací aktualizací out-of-band z července 2021 Windows novějších verzí, které obsahují ochrany pro chybu CVE-2021-34527, mohla skupina zabezpečení operátorů tiskáren nainstalovat podepsané i nepodepsané ovladače tiskárny na server tiskárny. Od aktualizace out-of-band z července 2021 budou k instalaci podepsaných a nepodepsaných ovladačů tiskárny na server tiskárny potřeba přihlašovací údaje správce. Pokud chcete přepsat všechna nastavení zásad skupiny Omezení bodu a tisku a zajistit, aby ovladače tiskárny mohli instalovat jenom správci na tiskový server, nakonfigurujte hodnotu registru RestrictDriverInstallationToAdministrators na hodnotu 1.
Doporučujeme okamžitě nainstalovat nejnovější aktualizace Windows vydané 6. července 2021 nebo po této verzi do všech podporovaných klientských Windows serverových operačních systémů , počínaje zařízeními, která jsou momentálně hostitelem služby zařazování tisku. Potom nastavte v nastavení Omezení pro bod a tisk nastavení "Při instalaci ovladačů pro nové připojení Zásady skupiny" a "Při aktualizaci ovladačů pro existující připojení" na "Zobrazit výzvu k upozornění a zvýšení úrovně".
Řešení
-
Nainstalujte si aktualizace out-of-band nebo novější verze z července 2021.
-
Zkontrolujte, jestli jsou splněny následující podmínky:
-
Registry Nastavení: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) nebo nedefinované (výchozí nastavení)
-
UpdatePromptSettings = 0 (DWORD) nebo nedefinované (výchozí nastavení)
-
-
Zásady skupiny: Nenakonfigurovali jste omezení pro bod a tisk Zásady skupiny.
Pokud jsou obě podmínky pravdivé, nejste zranitelní vůči 34527 a není potřeba žádná další akce. Pokud podmínka není pravdivá, jste zranitelní. Pomocí následujících kroků změňte omezení pro bod a tisk Zásady skupiny na zabezpečenou konfiguraci.
-
Otevřete nástroj editor zásad skupiny a přejděte na Konfigurace počítače > Šablony pro > tiskárny.
-
Nastavení Omezení pro bod a tisk Zásady skupiny následujícím způsobem:
-
Nastavte omezení pro bod a tisk Zásady skupiny na "Povoleno".
-
"Při instalaci ovladačů pro nové připojení": "Zobrazit výzvu k upozornění a zvýšení úrovně".
-
"Při aktualizaci ovladačů pro existující připojení": "Zobrazit výzvu k upozornění a zvýšení úrovně".
-
Důležité: Důrazně doporučujeme tuto zásadu použít u všech počítačů, které hostují službu zařazování tisku.
Požadavky na restartování: Tato změna zásad nevyžaduje restartování zařízení nebo služby zařazování tisku po použití tohoto nastavení.
3. Pomocí následujících klíčů registru ověřte, že se Zásady skupiny správně použila:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Upozornění: Nastavením těchto hodnot na nenulové hodnoty budou zařízení, na kterých jste nainstalovali aktualizaci CVE-2021-34527, zranitelná.
Poznámka Při konfiguraci těchto nastavení se funkce Bod a tisk nezakažuje.
4. [Doporučeno] Přepište omezení bodů a tisku, aby ovladače tisku mohli instalovat jenom správci na tiskové servery. Tento postup se provádí pomocí klíče registru RestrictDriverInstallationToAdministrators. Aktualizace vydané 6. července 2021 nebo novější mají výchozí hodnotu 0 (zakázáno), dokud aktualizace nevydaná 10. srpna 2021. Aktualizace vydané 10. srpna 2021 nebo novější mají výchozí hodnotu 1 (povoleno). Další informace o tom, jak nastavit RestrictDriverInstallationToAdministrators a další doporučení související s tiskem, najdete v článku KB5005652 – Správa nového chování výchozí instalace ovladače Bod a Tisk (CVE-2021-34481)
Další informace
Mají opravy chyby ZABEZPEČENÍ-2021-34527 vliv na výchozí scénář instalace ovladače Point and Print pro klientské zařízení, které se připojuje ke sdílené síťové tiskárně a instaluje ovladač tiskárny pro sdílenou síťovou tiskárnu?
Ne, opravy chyby CVE-2021-34527 nemají přímý vliv na výchozí scénář instalace ovladače Point and Print pro klientské zařízení, které se připojuje ke sdílené síťové tiskárně a instaluje ovladač tiskárny pro sdílenou síťovou tiskárnu. V takovém případě se klientské zařízení připojí k tiskovému serveru a stáhne a nainstaluje ovladače z tohoto důvěryhodného serveru. Tento scénář se liší od situace, kdy se útočník pokouší nainstalovat škodlivý ovladač na samotný tiskový server místně nebo vzdáleně.