Endpoint Central オンプレミス版 ナレッジベース

1. パッチの適用

1. パッチタブ > パッチ > 重大な脆弱性 を開きます。
2. 脆弱性の種類 から、一番下の ZeroDay_CVE-2021-34527 を選択します。
   

3. CVE-2021-34527を修正するすべてのパッチが表示されます。チェックを入れて、[パッチのインストール]をクリックします。
4. 手動配布の手順にしたがって配布します。配布対象となるコンピューターは、選択したパッチの適用可能な対象に合わせて自動的に選択されます。

2. 回避策の検討

2種類の回避策が発表されています。なお、回避策はかならずしも実施する必要はありません。

• 印刷スプーラー(Print Spooler)サービスの無効化
  1. 構成タブ > 構成 > Windows > カスタムスクリプト > コンピューター をクリックして開きます。
  2. 構成の名前について、任意の名前、および説明の「追加をクリック」して説明を入力します。
  3. スクリプトを以下のように構成します。
     • スクリプトの形式: コマンドライン
     • コマンドライン: 以下を入力します。
       

       powershell -Command "Set-Service -Name Spooler -StartupType Disabled"

     • 間隔: 1回
  4. 配布対象を選択します。
  5. 必要に応じて再試行回数や通知を設定します。
  6. 「配布」または「今すぐ配布」を選択します。
  7. 配布後、構成を配布したコンピューターを再起動します。ユーザーに委任するか、または管理者が遠隔から再起動をスケジュール実行します。
     • ユーザーに委任する場合: アナウンス機能等を使用して、ユーザーに告知できます。
     • 管理者が再起動をスケジュール設定する場合: リモートシャットダウンツール(ツールタブ > リモートシャットダウン > シャットダウンのスケジュール を選択)を使用して、再起動をスケジュール設定します。設定次第で、ユーザーによる再起動の延期も可能です。
     • 管理者が今すぐ再起動を実行する場合: リモートシャットダウンツール(ツールタブ > リモートシャットダウン > 管理対象を選択してアクション > 今すぐ再起動 )を使用して再起動します。
  設定を元に戻す場合は、コマンドラインに以下のコマンドを入力して構成を配布し、再起動します。

  powershell -Command "Set-Service -Name Spooler -StartupType Enabled"

   

• グループ ポリシーで受信リモート印刷を無効にする
  ※ Desktop Centralでは、ADドメイン環境のグループポリシーを直接操作する機能はございません。以下の手順はローカルグループポリシーが上書きされない環境(ワークグループ環境など)に対してのみ有効です。
  1. 構成タブ > 構成 > Windows > レジストリ > コンピューター をクリックして開きます。
  2. 構成の名前について、任意の名前、および説明の「追加をクリック」して説明を入力します。
  3. 変更するレジストリの構成を以下のように構成します。
     • レジストリ設定: 手動
     • アクション: 値の変更
     • ヘッダーキー: HKEY_LOCAL_MACHINE
     • サブキー: Software\Policies\Microsoft\Windows NT\Printers
     • データタイプ: REG_DWORD
     • 値の名前: RegisterSpoolerRemoteRpcEndPoint
     • 値のデータ:2
  4. [レジストリ設定の追加] をクリックします。
  5. 配布対象を選択します。
  6. 必要に応じて再試行回数や通知を設定します。
  7. 「配布」または「今すぐ配布」を選択します。
  設定を元に戻す場合は、値のデータを「1」として構成を作成し、配布します。