Özet
6 Temmuz 2021'de ve 2 Temmuz 2021'den sonra yayımlanan güvenlik güncelleştirmeleri, AÇıKLAMALI-2021-34527'debelgelenmiş olan "PrintNightmare" olarak bilinen Windows Yazdırma Biriktiricisi hizmetinin (spoolsv.exe) uzaktan kod yürütme güvenlik açığı için korumalar içerir. Temmuz 2021 ve sonraki güncelleştirmelerini yükledikten sonra, yazıcı işleçleri gibi temsili yönetici grupları da içinde olmak üzere yönetici olmayanlar, imzalı ve imzasız yazıcı sürücülerini yazıcı sunucusuna yükleyemz. Varsayılan olarak, yazdırma sunucusuna hem imzalı hem de imzasız yazıcı sürücülerini yalnızca yöneticiler yükleyebilir.
Not Temmuz 2021 Bant dışı ve sonraki sürümü 2021-34527 için YAPıLANDıRMA KORUMASı içeren Windows güncelleştirmelerini yüklemeden önce, yazıcı işleçlerinin güvenlik grubu yazıcı sunucusuna hem imzalı hem de imzasız yazıcı sürücülerini yükleyebilir. Temmuz 2021'den itibaren bant dışı güncelleştirmeden başlayarak, imzalı ve imzasız yazıcı sürücülerini bir yazıcı sunucusuna yüklemek için yönetici kimlik bilgileri gerekir. İsteğe bağlı olarak, tüm Nokta ve Yazdırma Kısıtlamaları Grubu ilke ayarlarını geçersiz kılmak ve yazdırma sunucusuna yalnızca yöneticilerin yazıcı sürücülerini yükleyecekten emin olmak için RestrictDriverInstallationToAdministrators kayıt defteri değerini 1 olarak yapılandırın.
Şu anda Windows yazdırma biriktirici hizmetini barındırılan cihazlarla başlayarak, 6 Temmuz 2021'de veya 6 Temmuz 2021'den sonra yayınlanan en son Windows güncelleştirmelerini, desteklenen tüm Windows istemcisi ve sunucu işletim sistemlerine hemen yüklemenizi öneririz. Ardından, Nokta ve Yazdırma Kısıtlamaları Grup İlkesi ayarında "Yeni bağlantı için sürücüleri yüklerken" ve "Mevcut bir bağlantı için sürücüleri yüklerken" "Uyarı ve yükseltme istemini göster" ayarını "Uyarı ve yükseltme istemini göster" olarak ayarlayın.
Çözüm
-
Temmuz 2021 Bant dışında veya sonraki güncelleştirmeleri yükleyin.
-
Aşağıdaki koşulların doğru olup olmadığını kontrol edin:
-
Kayıt Ayarlar: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) veya tanımlı değil (varsayılan ayar)
-
UpdatePromptSettings = 0 (DWORD) veya tanımlı değil (varsayılan ayar)
-
-
Grup İlkesi: Nokta ve Yazdırma Kısıtlamaları Grup İlkesini yapılandırmamış olursunuz.
Her iki durum da doğruysa, HİPİSA-2021-34527'ye açık olmazsanız ve başka eyleme gerek yoktur. İki koşuldan biri doğruysa, zayıf olursanız. Nokta ve Yazdırma Kısıtlamaları Grup İlkesi'ne güvenli bir yapılandırmayla değiştirmek için aşağıdaki adımları izleyin.
-
Grup ilkesi düzenleyici aracını açın ve Yazıcılar'da Bilgisayar Yapılandırması > Yönetim Şablonları'>gidin.
-
Nokta ve Yazdırma Kısıtlamaları Grup İlkesi ayarını aşağıdaki gibi yapılandırma:
-
Nokta ve Yazdırma Kısıtlamaları Grup İlkesi ayarını "Etkin" olarak ayarlayın.
-
"Yeni bağlantı için sürücüler yüklerken": "Uyarı ve yükseltme istemini göster".
-
"Mevcut bir bağlantı için sürücüleri güncelleştiriyorsanız": "Uyarı ve yükseltme istemini göster".
-
Önemli Bu ilkeyi yazdırma biriktiricisi hizmetini barındırılan tüm makinelere uygulamanizi kesinlikle öneririz.
Yeniden başlatma gereksinimleri: Bu ilke değişikliği, bu ayarların uygulanması sonrasında cihazın veya yazdırma biriktiricisi hizmetinin yeniden başlatılmasını gerektirmez.
3. Grup İlkesi'nin doğru uygulandığını onaylamak için aşağıdaki kayıt defteri anahtarlarını kullanın:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Uyarı Bu değerlerin sıfır olmayan değerler olarak ayar olması, THELI-2021-34527 güncelleştirmesini yüklemiş olduğunuz cihazları korumasız hale gelir.
Not Bu ayarların yapılandırılması Nokta ve Yazdırma özelliğini devre dışı bırakmaz.
4. [Önerilen] Noktası ve Yazdırma Kısıtlamalarını Geçersiz Kıl, böylece yazıcı sunucularına yalnızca yöneticiler yazıcı sürücülerini yükleyebilir. Bu, RestrictDriverInstallationToAdministrators kayıt defteri anahtarı kullanılarak yapılır. 6 Temmuz 2021 veya daha sonra yayımlanan güncelleştirmelerin varsayılan değeri 10 Ağustos 2021'de yayımlanana kadar 0 (devre dışı) olur. 10 Ağustos 2021 veya daha sonra yayımlanan güncelleştirmelerin varsayılan değeri 1 (etkin) olur. RestrictDriverInstallationToAdministrators'ı ayarlama hakkında daha fazla bilgi ve yazdırmayla ilgili diğer öneriler için bkz. KB5005652—Yeni Nokta ve Yazdırma varsayılan sürücü yükleme davranışını yazdırma (TL-2021-34481)
Daha fazla bilgi
BASKI-2021-34527 için düzeltmeler paylaşılan bir ağ yazıcı için bir yazdırma sürücüsüne bağlanan ve bu istemci cihazına bağlanan bir istemci cihaz için varsayılan Nokta ve Yazıcı sürücüsü yükleme senaryosunu etkiler mi?
Hayır, BASKI-2021-34527 için düzeltmeler, paylaşılan bir ağ yazıcı için bir yazdırma sürücüsüne bağlanan ve yüklediği istemci cihaz için varsayılan Nokta ve Yazıcı sürücüsü yükleme senaryosunu doğrudan etkilemez. Bu durumda, istemci cihazı bir yazdırma sunucusuna bağlanır ve bu güvenilir sunucudan sürücüleri indirir ve yükleyebilir. Bu senaryo, bir saldırganin yazdırma sunucusunun kendisine yerel olarak veya uzaktan kötü amaçlı bir sürücü yüklemeye çalıştığı zayıf senaryodan farklıdır.