Resumo

As atualizações de segurança lançadas em 6 de julho de 2021 contêm proteções para uma vulnerabilidade de execução de código remoto no serviço Spooler de Impressão do Windows (spoolsv.exe) conhecido como   "PrintNightmare", documentado no CVE-2021-34527. Depois de instalar as atualizações de julho de 2021 e posteriores, os não administradores, incluindo grupos de administradores delegados, como operadores de impressora, não podem instalar drivers de impressora assinados e não assinados em um servidor de impressão. Por padrão, somente os administradores podem instalar drivers de impressora assinados e não assinados em um servidor de impressão. 

Observação Antes de instalar as atualizações fora de banda e posteriores de julho de 2021 que contêm proteções para o CVE-2021-34527, o grupo de segurança das operadoras de impressoras poderia instalar drivers de impressora assinados e não Windows assinados em um servidor de impressora. A partir da atualização de julho de 2021, as credenciais de administrador serão necessárias para instalar drivers de impressora assinados e não assinados em um servidor de impressora. Opcionalmente, para substituir todas as configurações de política de Grupo de Restrições de Ponto e Impressão e garantir que apenas os administradores possam instalar drivers de impressora em um servidor de impressão, configure o valor de registro RestrictDriverInstallationToAdministrators como 1.

Recomendamos que você instale imediatamente as atualizações mais recentes do Windows lançadas em ou após 6 de julho de 2021 em todos os sistemas operacionais de cliente e servidor compatíveis com o Windows, começando com dispositivos que atualmente hospedam o serviço de spooler de impressão. Em seguida, de definir "Ao instalar drivers para uma nova conexão" e "Ao atualizar drivers para uma conexão existente" na configuração De Política de Grupo de Restrições de Impressão e Ponto como "Mostrar aviso e prompt de elevação".

Resolução

  1. Instale as atualizações de saída ou posteriores de julho de 2021.

  2. Verifique se as seguintes condições são verdadeiras:

  • Registro Configurações: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) ou não definido (configuração padrão)

    • UpdatePromptSettings = 0 (DWORD) ou não definido (configuração padrão)

  • Política de Grupo: Você não configurou a Política de Grupo de Restrições de Ponto e Impressão.

Se ambas as condições são verdadeiras, você não está vulnerável ao CVE-2021-34527 e nenhuma ação é necessária. Se uma das condições não for verdadeira, você será vulnerável. Siga as etapas a seguir para alterar a Política de Grupo de Restrições de Ponto e Impressão para uma configuração segura.

  1. Abra a ferramenta de editor de política de grupo e vá para Configuração do Computador > Modelos Administrativos > Impressoras. 

  2. Configure a configuração de Política de Grupo de Restrições de Ponto e Impressão da seguinte forma:

    1. De definir a configuração de Política de Grupo de Restrições de Impressão e Ponto como "Habilitado".

    2. "Ao instalar drivers para uma nova conexão": "Mostrar aviso e prompt de elevação".

    3. "Ao atualizar drivers para uma conexão existente": "Mostrar aviso e prompt de elevação".

texto alternativo

Importante É recomendável aplicar essa política a todos os máquinas que hospedam o serviço de spooler de impressão.

Requisitos de reinicialização: Essa alteração de política não exige uma reinicialização do dispositivo ou do serviço de spooler de impressão após a aplicação dessas configurações. 

3. Use as seguintes chaves do Registro para confirmar se a Política de Grupo foi aplicada corretamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Aviso Defini-los como valores não zero torna vulneráveis os dispositivos nos quais você instalou a atualização CVE-2021-34527.

Observação A configuração dessas configurações não desabilita o recurso Point and Print.

4. [Recomendado] Substituir Restrições de Ponto e Impressão para que somente os administradores possam instalar drivers de impressão em servidores de impressora. Isso é feito usando a chave do Registro RestrictDriverInstallationToAdministrators. As atualizações lançadas em 6 de julho de 2021 ou posteriores têm um padrão de 0 (desabilitado) até as atualizações lançadas em 10 de agosto de 2021.  As atualizações lançadas em 10 de agosto de 2021 ou posteriores têm um padrão de 1 (habilitado).  Para obter mais informações sobre como definir RestrictDriverInstallationToAdministrators e outras recomendações relacionadas à impressão, consulte KB5005652 — Gerenciar o novo comportamento de instalação de driver padrão point and print (CVE-2021-34481)

Mais informações

As correções do CVE-2021-34527 impactam o cenário padrão de instalação de driver de Ponto e Impressão para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada?

Não, as correções do CVE-2021-34527 não afetam diretamente o cenário padrão de instalação do driver point e print para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada. Nesse caso, um dispositivo cliente se conecta a um servidor de impressão e baixa e instala os drivers desse servidor confiável. Esse cenário é diferente do cenário vulnerável em que um invasor está tentando instalar um driver mal-intencionado no próprio servidor de impressão, local ou remotamente.

Facebook LinkedIn Email

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365