| |
Windows Server, parches.. y no imprimimos más...
Bueno.. como empezar esta nota.... dificil, porque sabemos como administradores que debemos mantener nuestros equipo actualizados,
sin embargo, también temblamos cada vez que debemos aplicar parches, porque aún probando en ambientes de "testing", siempre algo se escapa... y este es el caso..
Era una tarde soledad en la antigua Gracia, cuando bajamos los parches de Octubre de 2021.. y dejamos de imprimir... ahh no.. esto era de "The Big Bang theory".. fin .. que pasó? porque bajamos los parches y no imprimimos más..?.
Hace un tiempo, Enero de 2021, Microsoft dio cuenta de una vulnerabilidad en el servicio spooler
y generó varios parches para ir bajando los niveles de riesgo de esta vulnerabilidad .
En Enero de 2021, cuando se detectó esta vulnerabilidad, Microsoft reaccionó, iniciando la fase de deployment de parches para atacar
este problema, y con ello, se generó internamente la clave del registro RpcAuthnLevelPrivacyEnabled que permite manejar el nivel de autenticación RPC para impresión .
Ahora bien, esta clave, inicialemnte se toma como valor 0 por default, es decir, que no cambia la funcionalidad, peeerrrooooo......
En Septiembre de 2021, Microsoft cambió el valor por defecto de esta clave a 1 , y allí se produjo el problema.
Como es esta vulneabilidad....
Es largo y muy técnico, pero para los que quieran, les dejo este link.. https://www.crowdstrike.com/blog/cve-2021-1678-printer-spooler-relay-security-advisory/
está más que claro... obvio.. ellos la descubrieron...
Entonces????..
Microsoft fue tan tonto de poner un parche que impide imprimir??????.
Claramente no, el tema es que para poder imprimir con un nivel de autenticación RPC superior, se requiere que ambos, cliente y servidor, estén protegidos, y puedan utilizar el nivel de RPC requerido...
cosa que rara vez se da, sobre todo en compañias que aún utilizan sistemas operativos que ya no reciben actualizaciones
Ok. Linda la perorata... pero no puedo imprimir...
Bien, queda claro entonces, que los niveles de protección si no son compartidos, generan este problema, pero la solución no es feliz
O bien, actualizamos todos los equipos a un nivel que permita el uso de autenticación RPC, o sacamos el parche o parches que generaron el problema, o hacemos el servicio Spooler nuevamente vulnerable....
Dado que la actualización de equipos pueda no ser inmediata... vamos a ir por la última opción.. para lo cual, editaremos el registro.. esto nos permitirá, eliminar este cambio una vez que todos nuestros equipos cumplan con la exigencias
Como se ve en este documento de Microsoft donde se muestra la clave del registro creada,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print bastará con editar la misma y agregar el valor DWORD en 0 (cero) para RpcAuthnLevelPrivacyEnabled .. si
leiste bien.. agregar.. lo que los parches de Microsoft hicieron, fue crear la clave y cambiar el valor por defecto, por eso, es que lo más probable es que dicho valor DWORD no exista en tu equipo, pero, para Micorsoft con la aplicación de parches su valor por defecto pasó de 0 a 1
Servicio Spooler
Una vez que hicimos el cambio en el registro, alcanzará con reiniciar el servicio spooler... y listo.. quedó .. quedó..
Todos contentos... las impresoras a full otra vez...
Terminamos?..... Ni ahí.... lo que hicimos fue hacer nuestro server vulnerable otra vez... asi que debemos trabajar para una solución real.
Finalización y consideraciones...
El problema se solucionó?.. a medias.. solucionamos la urgencia de poder imprimir a costas de un riesgo en el server..
Como consideraciones,
- Servicio spooler desactivado en todo server que no se utilice como print server....
- Servicio spooler desactivado en todo DC
- Parches en todos los equipos (tanto clientes como servidores)
- Deshacer cambios en el registro una vez actualizados todos los equipos
Conclusiones
Como solución rápida, sin ningunada duda, fue un éxito. Pero no puede permanecer.. por el nivel de riesgo que supone.
Microsoft seguramente continuará con este parche, por lo que debemos estar atentos, y como se pueda minimizar los riesgos.
|
|