Sammendrag
Sikkerhedsopdateringer, der blev udgivet d. 6. juli 2021, indeholder beskyttelse mod en sikkerhedsrisiko ved udførelse af fjernkode i Windows Print Spooler-tjenesten (spoolsv.exe) kaldet "PrintNightmare", der er dokumenteret i CVE-2021-34527. Når du har installeret opdateringerne for juli 2021 og nyere, kan ikke-administratorer, herunder delegerede administratorgrupper som printeroperatorer, ikke installere signerede og usignerede printerdrivere på en udskriftsserver. Som standard er det kun administratorer, der kan installere både signerede og usignerede printerdrivere på en udskriftsserver.
Bemærk! Før du installerer out of band-opdateringen fra juli 2021 og nyere Windows, der indeholder beskyttelse mod CVE-2021-34527, kan printeroperatorers sikkerhedsgruppe installere både signerede og usignerede printerdrivere på en printerserver. Fra og med out of band-opdateringen fra juli 2021 skal du angive administratorens legitimationsoplysninger for at installere signerede og usignerede printerdrivere på en printerserver. Hvis du vil tilsidesætte alle gruppepolitikindstillinger for Punkt- og udskriftsbegrænsninger og sikre, at kun administratorer kan installere printerdrivere på en udskriftsserver, skal du konfigurere registreringsdatabaseværdien RestrictDriverInstallationToAdministrators til 1.
Vi anbefaler, at du straks installerer de nyeste Windows-opdateringer, der er udgivet d. 6. juli 2021 på alle understøttede Windows-klient- og serveroperativsystemer, startende med enheder, der i øjeblikket er vært for Print Spooler-tjenesten. Derefter skal du angive indstillingen "Ved installation af drivere til en ny forbindelse" og "Ved opdatering af drivere til en eksisterende forbindelse" i indstillingen Punkt- og udskriftsbegrænsninger Gruppepolitik til "Vis advarsels- og udvidelsesprompt".
Løsning
-
Installér out of band-opdateringerne for juli 2021 eller nyere.
-
Kontrollér, om følgende betingelser er opfyldt:
-
Registreringsdatabase Indstillinger: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) eller ikke defineret (standardindstilling)
-
UpdatePromptSettings = 0 (DWORD) eller ikke defineret (standardindstilling)
-
-
Gruppepolitik: Du har ikke konfigureret begrænsningerne for punkt og Gruppepolitik.
Hvis begge betingelser er sande, er du ikke sårbar over for CVE-2021-34527, og der kræves ingen yderligere handling. Hvis en af disse betingelser ikke er sand, er du sårbar. Følg trinnene nedenfor for at ændre Begrænsninger for punkt og Gruppepolitik til en sikker konfiguration.
-
Åbn redigeringsværktøjet til gruppepolitik, og gå til Computerkonfiguration > administrative skabeloner > printere.
-
Konfigurer indstillingen Begrænsninger for punkt og Gruppepolitik som følger:
-
Angiv punkt- og udskriftsbegrænsningerne for Gruppepolitik til "Aktiveret".
-
"Når du installerer drivere til en ny forbindelse": "Vis advarsels- og udvidelsesprompt".
-
"Når du opdaterer drivere til en eksisterende forbindelse": "Vis advarsels- og udvidelsesprompt".
-
Vigtigt Vi anbefaler på det kraftigste, at du anvender denne politik på alle computere, der er vært for Print Spooler-tjenesten.
Krav til genstart: Denne politikændring kræver ikke en genstart af enheden eller Print Spooler-tjenesten, når disse indstillinger er blevet anvendt.
3. Brug følgende registreringsdatabasenøgler til at bekræfte, at Gruppepolitik blev anvendt korrekt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Advarsel Hvis du angiver disse værdier til værdier, der ikke er nul, bliver de enheder, hvor du har installeret CVE-2021-34527-opdateringen, sårbar.
Bemærk! Konfiguration af disse indstillinger deaktiverer ikke punkt- og udskriftsfunktionen.
4. [Anbefales] Tilsidesæt punkt- og udskriftsbegrænsninger, så kun administratorer kan installere printerdrivere på printerservere. Dette gøres ved hjælp af registreringsdatabasenøglen RestrictDriverInstallationToAdministrators. Opdateringer, der er udgivet d. 6. juli 2021 eller nyere, har som standard 0 (deaktiveret), indtil opdateringerne blev udgivet d. 10. august 2021. Opdateringer, der er udgivet d. 10. august 2021 eller nyere, har som standard 1 (aktiveret). Du kan finde flere oplysninger om, hvordan du angiver RestrictDriverInstallationToAdministrators og andre anbefalinger, der relaterer til udskrivning, under KB5005652 – Administrer installation af nyt punkt og Udskriv standarddriverens installationsfunktionsmåde (CVE-2021-34481)
Flere oplysninger
Påvirker rettelserne til CVE-2021-34527 standardscenariet installation af punkt- og udskriftsdriveren for en klientenhed, der opretter forbindelse til og installerer en printerdriver til en printer med delt netværk?
Nej, rettelserne til CVE-2021-34527 påvirker ikke direkte standardscenariet for installation af punkt- og udskriftsdriveren for en klientenhed, der opretter forbindelse til og installerer en udskriftsdriver for en printer til et delt netværk. I dette tilfælde opretter en klientenhed forbindelse til en udskriftsserver og downloader og installerer driverne fra den server, der er tillid til. Dette scenarie er forskelligt fra det sårbar scenarie, hvor en hacker forsøger at installere en ondsindet driver på selve printserveren, enten lokalt eller eksternt.