Resumo

As atualizações de segurança lançadas em 6 de julho de 2021 contêm proteções para uma vulnerabilidade de execução de código remoto no serviço Spooler de Impressão do Windows (spoolsv.exe) conhecido como   "PrintNightmare", documentado no CVE-2021-34527. Depois de instalar as atualizações de julho de 2021 e posteriores, os não administradores, incluindo grupos de administradores delegados, como operadores de impressora, não podem instalar drivers de impressora assinados e não assinados em um servidor de impressão. Por padrão, somente os administradores podem instalar drivers de impressora assinados e não assinados em um servidor de impressão. 

Observação Antes de instalar as atualizações fora de banda e posteriores de julho de 2021 que contêm proteções para o CVE-2021-34527, o grupo de segurança das operadoras de impressoras poderia instalar drivers de impressora assinados e não Windows assinados em um servidor de impressora. A partir da atualização de julho de 2021, as credenciais de administrador serão necessárias para instalar drivers de impressora assinados e não assinados em um servidor de impressora. Opcionalmente, para substituir todas as configurações de política de Grupo de Restrições de Ponto e Impressão e garantir que apenas os administradores possam instalar drivers de impressora em um servidor de impressão, configure o valor de registro RestrictDriverInstallationToAdministrators como 1.

Recomendamos que você instale imediatamente as atualizações mais recentes do Windows lançadas em ou após 6 de julho de 2021 em todos os sistemas operacionais de cliente e servidor compatíveis com o Windows, começando com dispositivos que atualmente hospedam o serviço de spooler de impressão. Em seguida, de definir "Ao instalar drivers para uma nova conexão" e "Ao atualizar drivers para uma conexão existente" na configuração De Política de Grupo de Restrições de Impressão e Ponto como "Mostrar aviso e prompt de elevação".

Resolução

  1. Instale as atualizações de saída ou posteriores de julho de 2021.

  2. Verifique se as seguintes condições são verdadeiras:

  • Registro Configurações: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) ou não definido (configuração padrão)

    • UpdatePromptSettings = 0 (DWORD) ou não definido (configuração padrão)

  • Política de Grupo: Você não configurou a Política de Grupo de Restrições de Ponto e Impressão.

Se ambas as condições são verdadeiras, você não está vulnerável ao CVE-2021-34527 e nenhuma ação é necessária. Se uma das condições não for verdadeira, você será vulnerável. Siga as etapas a seguir para alterar a Política de Grupo de Restrições de Ponto e Impressão para uma configuração segura.

  1. Abra a ferramenta de editor de política de grupo e vá para Configuração do Computador > Modelos Administrativos > Impressoras. 

  2. Configure a configuração de Política de Grupo de Restrições de Ponto e Impressão da seguinte forma:

    1. De definir a configuração de Política de Grupo de Restrições de Impressão e Ponto como "Habilitado".

    2. "Ao instalar drivers para uma nova conexão": "Mostrar aviso e prompt de elevação".

    3. "Ao atualizar drivers para uma conexão existente": "Mostrar aviso e prompt de elevação".

texto alternativo

Importante É recomendável aplicar essa política a todos os máquinas que hospedam o serviço de spooler de impressão.

Requisitos de reinicialização: Essa alteração de política não exige uma reinicialização do dispositivo ou do serviço de spooler de impressão após a aplicação dessas configurações. 

3. Use as seguintes chaves do Registro para confirmar se a Política de Grupo foi aplicada corretamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Aviso Defini-los como valores não zero torna vulneráveis os dispositivos nos quais você instalou a atualização CVE-2021-34527.

Observação A configuração dessas configurações não desabilita o recurso Point and Print.

4. [Recomendado] Substituir Restrições de Ponto e Impressão para que somente os administradores possam instalar drivers de impressão em servidores de impressora. Isso é feito usando a chave do Registro RestrictDriverInstallationToAdministrators. As atualizações lançadas em 6 de julho de 2021 ou posteriores têm um padrão de 0 (desabilitado) até as atualizações lançadas em 10 de agosto de 2021.  As atualizações lançadas em 10 de agosto de 2021 ou posteriores têm um padrão de 1 (habilitado).  Para obter mais informações sobre como definir RestrictDriverInstallationToAdministrators e outras recomendações relacionadas à impressão, consulte KB5005652 — Gerenciar o novo comportamento de instalação de driver padrão point and print (CVE-2021-34481)

Mais informações

As correções do CVE-2021-34527 impactam o cenário padrão de instalação de driver de Ponto e Impressão para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada?

Não, as correções do CVE-2021-34527 não afetam diretamente o cenário padrão de instalação do driver point e print para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada. Nesse caso, um dispositivo cliente se conecta a um servidor de impressão e baixa e instala os drivers desse servidor confiável. Esse cenário é diferente do cenário vulnerável em que um invasor está tentando instalar um driver mal-intencionado no próprio servidor de impressão, local ou remotamente.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.