Zhrnutie
Aktualizácie zabezpečenia vydané 6. júla 2021 a po tomto dátume obsahujú ochranu na účely nedostatočného zabezpečenia vykonávania vzdialeného kódu v službe zaraďovača tlače Windows (spoolsv.exe) známej ako PrintNightight – dokumentované v dokumente CVE-2021-34527. Po inštalácii aktualizácií z júla 2021 a novších aktualizácií nemôžu iní správcovia vrátane delegovaných skupín správcov, ako sú operátory tlačiarní, nainštalovať na tlačový server podpísané ani nepodpísané ovládače tlačiarne. Predvolene môžu na tlačový server nainštalovať podpísané aj nepodpísané ovládače tlačiarne iba správcovia.
Poznámka Pred inštaláciou pásmových aktualizácií z júla 2021 a novších Windows obsahujúcich ochranu CVE-2021-34527 mohla skupina zabezpečenia operátorov tlačiarne nainštalovať podpísané aj nepodpísané ovládače tlačiarní na server tlačiarne. Od aktualizácie Od pásmovej aktualizácie z júla 2021 sa na inštaláciu podpísaných a nepodpísaných ovládačov tlačiarne na serveri tlačiarne budú vyžadovať poverenia správcu. Ak chcete prepísať všetky nastavenia skupinovej politiky Obmedzenia bodu a tlače a zabezpečiť, aby na tlačový server mohli nainštalovať ovládače tlačiarne iba správcovia, nakonfigurujte hodnotu databázy Registry RestrictDriverInstallationToAdministrators na hodnotu 1.
Najnovšie aktualizácie balíka Windows vydané 6. júla 2021 alebo po ich 6. júli 2021 odporúčame nainštalovať do všetkých podporovaných operačných systémov pre klienta Windows a server, počnúc zariadeniami, ktoré v súčasnosti hosťujú službu zaraďovača tlače. Potom v nastaveniach skupinovej politiky Point and Print Restrictions nastavte položky Pri inštalácii ovládačov pre nové pripojenie a Pri aktualizácii ovládačov pre existujúce pripojenie na hodnotu Zobraziť výzvu na upozornenie a zvýšenie výšky.
Riešenie
-
Nainštalujte si aktualizácie od júla 2021 v rámci pásma alebo neskôr.
-
Skontrolujte, či sú splnené tieto podmienky:
-
Databázy Registry Nastavenia: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) alebo nie je definované (predvolené nastavenie)
-
UpdatePromptSettings = 0 (DWORD) alebo not defined (predvolené nastavenie)
-
-
Skupinová politika: Nemáte nakonfigurované skupinovú politiku Obmedzenia bodu a tlače.
Ak sú pravdivé obe podmienky, potom nie ste vy zraniteľní voči CVE-2021-34527 a nie je potrebné žiadne ďalšie kroky. Ak niektorá podmienka nie je pravdivá, vy sú ohrození. Podľa krokov uvedených nižšie zmeňte skupinovú politiku Obmedzenia bodu a tlače na zabezpečenú konfiguráciu.
-
Otvorte nástroj editora skupinovej politiky a prejdite na položku Konfigurácia počítača > Šablóny na správu > Tlačiarne.
-
Nastavenie skupinovej politiky Obmedzenia bodu a tlače nakonfigurujte takto:
-
Nastavte nastavenie skupinovej politiky Obmedzenia bodu a tlače na možnosť Povolené.
-
"Pri inštalácii ovládačov pre nové pripojenie": "Zobraziť výzvu na upozornenie a výšku výšky".
-
"Pri aktualizácii ovládačov pre existujúce pripojenie": "Zobraziť výzvu na upozornenie a výšku výšky".
-
Dôležité Dôrazne odporúčame použiť túto politiku na všetky počítače, ktoré hosťjú službu zaraďovača tlače.
Požiadavky na reštartovanie: Táto zmena politiky nevyžaduje reštartovanie zariadenia alebo služby zaraďovača tlače po použití týchto nastavení.
3. Pomocou nasledujúcich kľúčov databázy Registry skontrolujte, či sa skupinová politika použila správne:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Upozornenie Nastavením týchto hodnôt na nenulové zariadenia, v ktorých máte nainštalovanú aktualizáciu CVE-2021-34527, sú zraniteľné.
Poznámka Konfiguráciou týchto nastavení sa nezakáže funkcia Bod a Tlač.
4. [Odporúčané] Prepísať obmedzenia bodu a tlače, aby mohli na tlačiareň servery nainštalovať ovládače tlače iba správcovia. Robí sa to pomocou kľúča databázy Registry RestrictDriverInstallationToAdministrators. Aktualizácie vydané 6. júla 2021 alebo novšej verzie majú predvolený počet 0 (vypnuté) do aktualizácie vydané 10. augusta 2021. Aktualizácie vydané 10. augusta 2021 alebo novšej majú predvolene hodnotu 1 (povolenú). Ďalšie informácie o tom, ako nastaviť RestrictDriverInstallationToAdministrators a ďalšie odporúčania týkajúce sa tlače, nájdete v téme KB5005652 – Správa nového bodu a tlač predvoleného správania inštalácie ovládača (CVE-2021-34481)
Ďalšie informácie
Ovplyvňujú opravy cve-2021-34527 predvolený scenár inštalácie ovládača Point a Print pre klientske zariadenie, ktoré sa pripája a inštaluje ovládač tlače pre zdieľanú sieťovú tlačiareň?
Nie, opravy CVE-2021-34527 nemajú priamy vplyv na predvolený scenár inštalácie ovládača Point a Print pre klientske zariadenie, ktoré sa pripája k tlačiarni a inštaluje ovládač tlače pre zdieľanú sieťovú tlačiareň. V tomto prípade sa klientske zariadenie pripojí k tlačovému serveru a stiahne a nainštaluje ovládače z tohto dôveryhodného servera. Tento scenár sa líši od situácie, keď sa útočník pokúša nainštalovať škodlivý ovládač na samotný tlačový server lokálne alebo na diaľku.