Sažetak
Slaba točka sigurnosne zaobilaženje postoji na način na koji vezanje daljinskog procedure pisača (RPC) upravlja provjerom autentičnosti za udaljeno sučelje Winspool. Ažuriranje Windows rješava tu slabu vrijednost povećanjem razine provjere autentičnosti RPC-a i uvođenjem novog pravilnika i ključa registra koji korisnicima omogućuje onemogućivanje ili omogućivanje načina rada za provedbu na strani poslužitelja radi povećanja razine provjere autentičnosti.
Dodatne informacije o slaboj točke potražite u članku CVE-2021-1678 | Windows Print Spooler Spoofing Vulnerability.
Poduzmi akciju Da biste zaštitili okruženje i spriječili neusiljedstvo, učinite sljedeće:
|
Tempiranje ažuriranja
Ta Windows ažuriranja bit će objavljena u dvije faze:
-
Početna faza implementacije za Windows objavljena 12. siječnja 2021.
-
Faza izvršenja za Windows objavljena na neki budući datum.
12. siječnja 2021.: početna faza implementacije
Početna faza implementacije započinje ažuriranjem Windows objavljenim 12. siječnja 2021. tako što korisnicima poslužitelja omogućuje omogućivanje te povećane razine sigurnosti na temelju spremnosti okruženja.
Ovo izdanje:
-
Adrese CVE-2021-1678 (u načinu implementacije postavljeno na Isključeno po zadanom).
-
Dodaje podršku za vrijednost registra RpcAuthnLevelPrivacyEnabled da bi se omogućilo povećanje razine autorizacije za zaštitu pisača IRemoteWinspool.
Ublažiti se sastoji od instalacije ažuriranja Windows svim klijentskim uređajima i uređajima na razini poslužitelja.
14. rujna 2021.: faza provedbe
Izdanje prelazi u fazu provedbe 14. rujna 2021. Faza izvršenja nametanje promjena adrese CVE-2021-1678 povećavanjem razine autorizacije bez potrebe za postavljanjem vrijednosti registra.
Upute za instalaciju
Prije instalacije ovog ažuriranja
Da biste primijenili ovo ažuriranje, morate imati instalirana sljedeća obavezna ažuriranja. Ako koristite Windows ažuriranje, ta će se obavezna ažuriranja automatski ponuditi po potrebi.
-
Morate imati ažuriranje SHA-2(KB4474419) koje je od 23. rujna 2019. ili novije ažuriranje SHA-2 instalirano, a zatim ponovno pokrenite uređaj prije primjene tog ažuriranja. Dodatne informacije o ažuriranjima za SHA-2 potražite u članku Preduvjeti podrške za potpisivanje koda za SHA-2 za Windows i WSUS.
-
Da biste Windows Server 2008 R2 SP1, morate imati instalirano ažuriranje servisnog stoga (SSU)(KB4490628) od 12. ožujka 2019. Nakon instalacije ažuriranja KB4490628 preporučujemo da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijem ažuriranju SSU-a potražite u članku ADV990001 | Najnovija ažuriranja servisnog stoga.
-
Da biste Windows Server 2008 SP2, morate imati instalirano ažuriranje servisnog stoga (SSU)(KB4493730) od 9. travnja 2019. Nakon instalacije ažuriranja KB4493730 preporučujemo da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijim ažuriranjima SSU-a potražite u članku ADV990001 | Najnovija ažuriranja servisnog stoga.
-
Korisnici moraju kupiti prošireno sigurnosno ažuriranje (ESU) za lokalne verzije sustava Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 nakon što je proširena podrška završila 14. siječnja 2020. Korisnici koji su kupili ESU moraju slijediti postupke u ažuriranju KB4522133 da bi nastavili primati sigurnosna ažuriranja. Dodatne informacije o ESU-u i podržanim izdanjima potražite u članku KB4497181.
Važno Kada instalirate ta obavezna ažuriranja, morate ponovno pokrenuti uređaj.
Instalacija ažuriranja
Da biste riješili sigurnosnu slabu točke, instalirajte Windows i omogućite način provođenja slijedeći ove korake:
-
Implementirajte ažuriranje za 12. siječnja 2021. na sve klijentske i poslužiteljske uređaje.
-
Nakon ažuriranja svih klijentskih i poslužiteljskih uređaja potpuna zaštita može se omogućiti postavljanjem vrijednosti registra na 1.
Prvi korak: instalacija Windows ažuriranja
Instalirajte ažuriranje za 12. siječnja 2021. Windows noviju ili noviju Windows na sve klijentske i poslužiteljske uređaje.
Windows Poslužiteljski proizvod |
KB # |
Vrsta ažuriranja |
Windows Server, verzija 20H2 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 2004 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 1909 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Poslužitelj, verzija 1903 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server 2019 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server 2019 |
Sigurnosno ažuriranje |
|
Windows Server 2016 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server 2016 |
Sigurnosno ažuriranje |
|
Windows Server 2012 R2 (instalacija sustava Server Core) |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2012 R2 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2012 (instalacija sustava Server Core) |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2012 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2008 R2 Service Pack 1 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2008, servisni paket 2 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
2. korak: omogućivanje načina rada za provedbu
Važno U ovom se odjeljku, načinu ili zadatku nalaze koraci koji vam objašnjavaju kako promijeniti registar. No može doći do ozbiljnih problema ako nepravilno promijenite registar. Zato pažljivo slijedite ove upute. Da biste dodali zaštitu, prije promjene registra zaštitite registar. Na taj ćete način moći vratiti registar ako se pojave problemi. Dodatne informacije o sigurnosnoj kopije i vraćanju registra potražite u članku Sigurnosno kopiranje i vraćanje registra u sustavu Windows.
Nakon ažuriranja svih klijentskih i poslužiteljskih uređaja možete omogućiti potpunu zaštitu implementacijom načina izvršenja. Da biste to učinili, slijedite ove korake:
-
Desnom tipkom miša kliknite Start, zatim Pokreni, u okvir Pokreni upišite cmd, a zatim pritisnite Ctrl+Shift+Enter.
-
U naredbeni redak Administrator upišite regedit, a zatim pritisnite Enter.
-
Pronađite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Desnom tipkom miša kliknite Ispis, odaberite Novo, a zatim vrijednost DWORD VALUE (32-bitna).
-
Upišite RpcAuthnLevelPrivacyEnabled, a zatim pritisnite Enter.
-
Desnom tipkom miša kliknite RpcAuthnLevelPrivacyEnabled, a zatim kliknite Izmijeni.
-
U okvir Vrijednost podataka upišite 1, a zatim kliknite U redu.
Napomena Ovo ažuriranje predstavlja podršku za vrijednost registra RpcAuthnLevelPrivacyEnabled radi povećanja razine autorizacije za pisač IRemoteWinspool.
Potključ registra |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Vrijednost |
RpcAuthnLevelPrivacyEnabled |
Vrsta podataka |
REG_DWORD |
Podaci |
1: omogućuje način rada za provedbu. Prije omogućivanja načina primjene za poslužiteljski način rada provjerite jesu li svi klijentski uređaji instalirali ažuriranje sustava Windows objavljeno 12. siječnja 2021. ili novije ažuriranje Windows. Taj popravak povećava razinu autorizacije za sučelje IRemoteWinspool RPC pisača i dodaje novi pravilnik i vrijednost registra na strani poslužitelja da bi klijent nametnuo novu razinu ovlaštenja ako se primijeni način rada za provedbu. Ako klijentski uređaj nema sigurnosno ažuriranje od 12. siječnja 2021. ili novije ažuriranje sustava Windows, sučelje ispisa prekinut će se kada se klijent poveže s poslužiteljem putem sučelja IRemoteWinspool. 0: Ne preporučuje se. Onemogućuje povećanje razine provjere autentičnosti za pisač IRemoteWinspool,a vaši uređaji nisu zaštićeni. |
Zadano |
Zadano ponašanje nakon instalacije ažuriranja kada ključ registra nije postavljen:
|
Je li potrebno ponovno pokretanje? |
Da, potreban je ponovno pokretanje uređaja ili ponovno pokretanje servisa usmjerivača. |