Zusammenfassung
Am und nach dem 6. Juli 2021 veröffentlichte Sicherheitsupdates enthalten Schutz vor einem Sicherheitsrisiko für die Ausführung von Remotecode im Windows Print Spooler-Dienst (spoolsv.exe), der in CVE-2021-34527dokumentiert ist. Nach der Installation der Updates im Juli 2021 und höher können Nichtadministratoren, einschließlich delegierter Administratorgruppen wie Druckeroperatoren, keine signierten und nicht signierten Druckertreiber auf einem Druckserver installieren. Standardmäßig können nur Administratoren sowohl signierte als auch nicht signierte Druckertreiber auf einem Druckserver installieren.
Hinweis Vor der Installation der Out-of-Band-Updates aus Juli 2021 und höher Windows mit Schutz für CVE-2021-34527 konnten die Sicherheitsgruppe der Druckeroperatoren sowohl signierte als auch nicht signierte Druckertreiber auf einem Druckerserver installieren. Ab dem Out-of-Band-Update vom Juli 2021 sind Administratoranmeldeinformationen erforderlich, um signierte und nicht signierte Druckertreiber auf einem Druckerserver zu installieren. Wenn Sie optional alle Gruppenrichtlinieneinstellungen für Punkt- und Druckeinschränkungen außer Kraft setzen und sicherstellen möchten, dass nur Administratoren Druckertreiber auf einem Druckserver installieren können, konfigurieren Sie den Registrierungswert RestrictDriverInstallationToAdministrators auf 1.
Wir empfehlen, sofort die neuesten Windows-Updates zu installieren, die am oder nach dem 6. Juli 2021 auf allen unterstützten Windows-Client- und Serverbetriebssystemen veröffentlicht wurden. Dies beginnt bei Geräten, die derzeit den Spoolerdienst für Drucken hosten. Legen Sie als Nächstes in der Gruppenrichtlinieneinstellung Punkt- und Druckeinschränkungen die Einstellungen "Beim Installieren von Treibern für eine neue Verbindung" und "Beim Aktualisieren von Treibern für eine vorhandene Verbindung" auf "Warnung und Höhenaufforderung anzeigen" ein.
Auflösung
-
Installieren Sie die Out-of-Band-Updates aus Juli 2021 oder höher.
-
Überprüfen Sie, ob die folgenden Bedingungen zutreffen:
-
Registrierungseintrag Einstellungen: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht definiert (Standardeinstellung)
-
UpdatePromptSettings = 0 (DWORD) oder nicht definiert (Standardeinstellung)
-
-
Gruppenrichtlinie: Sie haben die Gruppenrichtlinie für Punkt- und Druckeinschränkungen nicht konfiguriert.
Wenn beide Bedingungen zutreffen, sind Sie nicht anfällig für CVE-2021-34527, und es sind keine weiteren Maßnahmen erforderlich. Wenn eine der Bedingungen nicht erfüllt ist, sind Sie anfällig. Führen Sie die folgenden Schritte aus, um die Gruppenrichtlinie für Punkt- und Druckeinschränkungen in eine sichere Konfiguration zu ändern.
-
Öffnen Sie das Gruppenrichtlinien-Editor-Tool, und wechseln Sie zu >administrative Vorlagen >Drucker.
-
Konfigurieren Sie die Gruppenrichtlinieneinstellung für Punkt- und Druckeinschränkungen wie folgt:
-
Legen Sie die Gruppenrichtlinie für Punkt- und Druckeinschränkungen auf "Aktiviert" festgelegt.
-
"Beim Installieren von Treibern für eine neue Verbindung": "Warnung und Höhenaufforderung anzeigen".
-
"Beim Aktualisieren von Treibern für eine vorhandene Verbindung": "Warnung und Höhenaufforderung anzeigen".
-
Wichtig Es wird dringend empfohlen, diese Richtlinie auf alle Computer anzuwenden, die den Druckspoolerdienst hosten.
Anforderungen für einen Neustart: Diese Richtlinienänderung erfordert keinen Neustart des Geräts oder des Spoolerdiensts nach dem Anwenden dieser Einstellungen.
3. Verwenden Sie die folgenden Registrierungsschlüssel, um zu bestätigen, dass die Gruppenrichtlinie ordnungsgemäß angewendet wurde:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Warnung Wenn Sie diese Werte auf Werte ohne Null festlegen, werden die Geräte, auf denen Sie das CVE-2021-34527-Update installiert haben, anfällig.
Hinweis Durch das Konfigurieren dieser Einstellungen wird die Funktion Punkt und Drucken nicht deaktiviert.
4. [Empfohlen] Außerkraftsetzungspunkt- und Druckeinschränkungen, damit nur Administratoren Drucktreiber auf Druckerservern installieren können. Dazu wird der Registrierungsschlüssel RestrictDriverInstallationToAdministrators verwendet. Updates, die am 6. Juli 2021 oder höher veröffentlicht wurden, haben den Standardwert 0 (deaktiviert), bis die Updates am 10. August 2021 veröffentlicht werden. Updates, die am 10. August 2021 oder höher veröffentlicht wurden, haben den Standardwert 1 (aktiviert). Weitere Informationen zum Festlegen von RestrictDriverInstallationToAdministrators und anderen Empfehlungen im Zusammenhang mit dem Drucken finden Sie unter KB5005652 – Verwalten des Installationsverhaltens von neuem Standardtreiber mit Point und Print (CVE-2021-34481).
Weitere Informationen
Haben die Korrekturen für CVE-2021-34527 Auswirkungen auf das Standardinstallationsszenario für Punkt- und Drucktreiber bei einem Clientgerät, das eine Verbindung mit einem Drucker für einen freigegebenen Netzwerkdrucker herstellen und den Drucker installiert?
Nein, die Fixes für CVE-2021-34527 wirken sich nicht direkt auf das Standardinstallationsszenario des Point and Print-Treibers für ein Clientgerät aus, das eine Verbindung mit einem Drucker in einem freigegebenen Netzwerk herstellen und den Drucker installiert. In diesem Fall stellt ein Clientgerät eine Verbindung mit einem Druckserver sicher und lädt die Treiber von diesem vertrauenswürdigen Server herunter und installiert sie. Dieses Szenario ist anders als das anfällige Szenario, in dem ein Angreifer versucht, einen böswilligen Treiber auf dem Druckserver selbst zu installieren, entweder lokal oder remote.