Desktop Central オンプレミス版 ナレッジベース

PrintNightmareへの対応


この記事では、Windows 10 プリントスプーラーサービスの脆弱性 PrintNightmare (CVE-2021-34527)への対応について説明しています。

PrintNightmareへの対応

脆弱性の詳細

Windows印刷スプーラーサービスに脆弱性が発見されました。この脆弱性は2021年6月に修正された類似の脆弱性(CVE-2021-34527)とは異なるものであり、リモートコード実行が可能な脆弱性です。
詳細は以下をご覧ください。

対応方法

Microsoftは2021/7/6(現地時間)に緊急パッチをリリースしました。
こちらのパッチでの修正は一部環境( Point and Print NoWarningNoElevationOnInstall is set to a non-0 value) において効果的ではないとの見解がCERT/CCより示されており、パッチの適用と合わせて回避策の実施を検討する必要があります。

1. パッチの適用

緊急パッチの適用には、2021/5/11リリースの更新プログラム KB5003173 を先にインストールしておく必要があります。
  1. パッチタブ > パッチ > 重大な脆弱性 を開きます。
  2. 脆弱性の種類 から、一番下の ZeroDay_CVE-2021-34527 を選択します。

  3. CVE-2021-34527を修正するすべてのパッチが表示されます。チェックを入れて、[パッチのインストール]をクリックします。
  4. 手動配布の手順にしたがって配布します。配布対象となるコンピューターは、選択したパッチの適用可能な対象に合わせて自動的に選択されます。
パッチタブ > パッチ > サポート済みパッチ などから、条件を指定して検索することも可能です。

  1. パッチタブ > パッチ > サポート済みパッチ を開きます(表示されるまでしばらくお待ちください)。
  2. テーブル右上の黒い虫眼鏡アイコンをクリックして、Bulletin IDまたはパッチIDでフィールド検索をします。
Bulletin ID パッチID
MS21-JUL14 31701
31697
31696
31690
31691
31692
31694
31695
31693
MS21-JUL13 31700
31699
31698
31683
31684
31686
31688
31682
31687
31689
31681
31680
31679
31678
31677
31676
31675
MS21-JUL12 31702
31673
31674
31667
31668
31669
31671
31672
31670

※上記表以外に更新されているパッチがある可能性がありますので、最新情報はこちらのページ(英語)をご覧ください。

2. 回避策の検討


2種類の回避策が発表されています。なお、回避策はかならずしも実施する必要はありません。

  • 印刷スプーラー(Print Spooler)サービスの無効化
    1. 構成タブ > 構成 > Windows > カスタムスクリプト > コンピューター をクリックして開きます。
    2. 構成の名前について、任意の名前、および説明の「追加をクリック」して説明を入力します。
    3. スクリプトを以下のように構成します。
      • スクリプトの形式: コマンドライン
      • コマンドライン: 以下を入力します。

        powershell -Command "Set-Service -Name Spooler -StartupType Disabled"

      • 間隔: 1回
    4. 配布対象を選択します。
    5. 必要に応じて再試行回数や通知を設定します。
    6. 「配布」または「今すぐ配布」を選択します。
    7. 配布後、構成を配布したコンピューターを再起動します。ユーザーに委任するか、または管理者が遠隔から再起動をスケジュール実行します。
      • ユーザーに委任する場合: アナウンス機能等を使用して、ユーザーに告知できます。
      • 管理者が再起動をスケジュール設定する場合: リモートシャットダウンツール(ツールタブ > リモートシャットダウン > シャットダウンのスケジュール を選択)を使用して、再起動をスケジュール設定します。設定次第で、ユーザーによる再起動の延期も可能です。
      • 管理者が今すぐ再起動を実行する場合: リモートシャットダウンツール(ツールタブ > リモートシャットダウン > 管理対象を選択してアクション > 今すぐ再起動 )を使用して再起動します。
    設定を元に戻す場合は、コマンドラインに以下のコマンドを入力して構成を配布し、再起動します。

    powershell -Command "Set-Service -Name Spooler -StartupType Enabled"

     

  • グループ ポリシーで受信リモート印刷を無効にする
    ※ Desktop Centralでは、ADドメイン環境のグループポリシーを直接操作する機能はございません。以下の手順はローカルグループポリシーが上書きされない環境(ワークグループ環境など)に対してのみ有効です。
    1. 構成タブ > 構成 > Windows > レジストリ > コンピューター をクリックして開きます。
    2. 構成の名前について、任意の名前、および説明の「追加をクリック」して説明を入力します。
    3. 変更するレジストリの構成を以下のように構成します。
      • レジストリ設定: 手動
      • アクション: 値の変更
      • ヘッダーキー: HKEY_LOCAL_MACHINE
      • サブキー: Software\Policies\Microsoft\Windows NT\Printers
      • データタイプ: REG_DWORD
      • 値の名前: RegisterSpoolerRemoteRpcEndPoint
      • 値のデータ:2
    4. [レジストリ設定の追加] をクリックします。
    5. 配布対象を選択します。
    6. 必要に応じて再試行回数や通知を設定します。
    7. 「配布」または「今すぐ配布」を選択します。
    設定を元に戻す場合は、値のデータを「1」として構成を作成し、配布します。