Windows Print Spooler 远程代码执行漏洞的解决方法

微软最近在 Windows 中披露了一个新的远程代码执行漏洞，该漏洞正在使用 Windows Print Spooler。该漏洞被积极利用，微软发布了两种解决方法来保护系统免受攻击。

提供的信息是不够的，因为微软甚至没有透露受安全问题影响的 Windows 版本。从它的外观来看，它似乎影响了大部分域控制器而不是大多数家用计算机，因为它需要远程验证用户。

对补丁进行分析的0Patch表明该问题主要影响 Windows Server 版本，但如果对默认配置进行了更改，Windows 10 系统和非 DC 服务器也可能受到影响：

UAC（用户帐户控制）已完全禁用
PointAndPrint NoWarningNoElevationOnInstall 已启用

CVE 提供以下描述：

当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

请确保您已应用 2021 年 6 月 8 日发布的安全更新，并参阅此 CVE 中的常见问题解答和解决方法部分，以了解有关如何帮助保护您的系统免受此漏洞影响的信息。

Microsoft 提供了两个建议：禁用 Print Spooler 服务或使用组策略禁用入站远程打印。第一个解决方法禁用设备上的本地和远程打印。它可能是不需要打印功能的系统上的解决方案，但如果在设备上完成打印，则它不是一个真正的选择。您可以根据需要切换打印后台处理程序，但这很快就会变得很麻烦。

第二种解决方法需要访问组策略，该策略仅适用于 Windows 的专业版和企业版。

以下是两种解决方法：

要禁用打印后台处理程序，请执行以下操作：

1. 打开提升的 PowerShell 提示符，例如通过使用 Windows-X 并选择 Windows PowerShell (Admin)。
2. 运行 Get-Service -Name Spooler。
3. 运行 Stop-Service -Name Spooler -Force
4. Stop-Service -Name Spooler -Force
5. Set-Service -Name Spooler -StartupType Disabled

命令 (4) 停止打印后台处理程序服务，命令 (5) 禁用它。请注意，进行更改后将无法再进行打印（除非再次启用 Print Spooler 服务。

要禁用入站远程打印，请执行以下操作：

1. 打开开始。
2. 输入 gpedit.msc。
3. 加载组策略编辑器。
4. 转到计算机配置/管理模板/打印机。
5. 双击允许打印后台处理程序接受客户端连接。
6. 将策略设置为禁用。
7. 选择确定。

0Patch 开发并发布了一个微补丁来修复打印后台处理程序远程代码执行问题。该补丁当时仅针对 Windows Server 创建，特别是 Windows Server 2008 R2、Windows Server 2021、Windows Server 2016 和 Windows Server 2019。