PrintNightmareへの対応
この記事では、Windows 10 プリントスプーラーサービスの脆弱性 PrintNightmare (CVE-2021-34527)への対応について説明しています。
PrintNightmareへの対応
脆弱性の詳細
Windows印刷スプーラーサービスに脆弱性が発見されました。この脆弱性は2021年6月に修正された類似の脆弱性(CVE-2021-34527)とは異なるものであり、リモートコード実行が可能な脆弱性です。
詳細は以下をご覧ください。
- CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527
- NIST: https://nvd.nist.gov/vuln/detail/CVE-2021-34527
- Microsoft: https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2021-34527
対応方法
Microsoftは2021/7/6(現地時間)に緊急パッチをリリースしました。
こちらのパッチでの修正は一部環境( Point and Print NoWarningNoElevationOnInstall is set to a non-0 value) において効果的ではないとの見解がCERT/CCより示されており、パッチの適用と合わせて回避策の実施を検討する必要があります。
1. パッチの適用
緊急パッチの適用には、2021/5/11リリースの更新プログラム KB5003173 を先にインストールしておく必要があります。
- パッチタブ > パッチ > 重大な脆弱性 を開きます。
- 脆弱性の種類 から、一番下の ZeroDay_CVE-2021-34527 を選択します。
- CVE-2021-34527を修正するすべてのパッチが表示されます。チェックを入れて、[パッチのインストール]をクリックします。
- 手動配布の手順にしたがって配布します。配布対象となるコンピューターは、選択したパッチの適用可能な対象に合わせて自動的に選択されます。
パッチタブ > パッチ > サポート済みパッチ などから、条件を指定して検索することも可能です。
- パッチタブ > パッチ > サポート済みパッチ を開きます(表示されるまでしばらくお待ちください)。
- テーブル右上の黒い虫眼鏡アイコンをクリックして、Bulletin IDまたはパッチIDでフィールド検索をします。
Bulletin ID | パッチID | |
---|---|---|
MS21-JUL14 | 31701 31697 31696 31690 31691 31692 31694 31695 31693 |
|
MS21-JUL13 | 31700 31699 31698 31683 31684 31686 31688 31682 31687 31689 31681 31680 31679 31678 31677 31676 31675 |
|
MS21-JUL12 | 31702 31673 31674 31667 31668 31669 31671 31672 31670 |
※上記表以外に更新されているパッチがある可能性がありますので、最新情報はこちらのページ(英語)をご覧ください。
2. 回避策の検討
2種類の回避策が発表されています。なお、回避策はかならずしも実施する必要はありません。
- 印刷スプーラー(Print Spooler)サービスの無効化
- 構成タブ > 構成 > Windows > カスタムスクリプト > コンピューター をクリックして開きます。
- 構成の名前について、任意の名前、および説明の「追加をクリック」して説明を入力します。
- スクリプトを以下のように構成します。
- スクリプトの形式: コマンドライン
- コマンドライン: 以下を入力します。
powershell -Command "Set-Service -Name Spooler -StartupType Disabled"
- 間隔: 1回
- 配布対象を選択します。
- 必要に応じて再試行回数や通知を設定します。
- 「配布」または「今すぐ配布」を選択します。
- 配布後、構成を配布したコンピューターを再起動します。ユーザーに委任するか、または管理者が遠隔から再起動をスケジュール実行します。
- ユーザーに委任する場合: アナウンス機能等を使用して、ユーザーに告知できます。
- 管理者が再起動をスケジュール設定する場合: リモートシャットダウンツール(ツールタブ > リモートシャットダウン > シャットダウンのスケジュール を選択)を使用して、再起動をスケジュール設定します。設定次第で、ユーザーによる再起動の延期も可能です。
- 管理者が今すぐ再起動を実行する場合: リモートシャットダウンツール(ツールタブ > リモートシャットダウン > 管理対象を選択してアクション > 今すぐ再起動 )を使用して再起動します。
設定を元に戻す場合は、コマンドラインに以下のコマンドを入力して構成を配布し、再起動します。powershell -Command "Set-Service -Name Spooler -StartupType Enabled"
- グループ ポリシーで受信リモート印刷を無効にする
※ Desktop Centralでは、ADドメイン環境のグループポリシーを直接操作する機能はございません。以下の手順はローカルグループポリシーが上書きされない環境(ワークグループ環境など)に対してのみ有効です。
- 構成タブ > 構成 > Windows > レジストリ > コンピューター をクリックして開きます。
- 構成の名前について、任意の名前、および説明の「追加をクリック」して説明を入力します。
- 変更するレジストリの構成を以下のように構成します。
- レジストリ設定: 手動
- アクション: 値の変更
- ヘッダーキー: HKEY_LOCAL_MACHINE
- サブキー: Software\Policies\Microsoft\Windows NT\Printers
- データタイプ: REG_DWORD
- 値の名前: RegisterSpoolerRemoteRpcEndPoint
- 値のデータ:2
- [レジストリ設定の追加] をクリックします。
- 配布対象を選択します。
- 必要に応じて再試行回数や通知を設定します。
- 「配布」または「今すぐ配布」を選択します。
設定を元に戻す場合は、値のデータを「1」として構成を作成し、配布します。