Oke, Microsoft, kita perlu bicara. Atau lebih tepatnya, kita perlu mencetak. Kami benar-benar melakukannya. Kita tidak semuanya tanpa kertas di dunia bisnis — banyak dari kita masih perlu mengeklik tombol Cetak di dalam aplikasi bisnis kita dan mencetak sesuatu pada selembar kertas yang sebenarnya, atau mengirim sesuatu ke printer PDF. Namun selama beberapa bulan terakhir Kamu hampir tidak mungkin untuk tetap sepenuhnya menambal dan terus mencetak.
Contoh kasus: pembaruan keamanan Agustus.
Microsoft membuat perubahan dalam cara printer Kebijakan Grup ditangani saat itu mengubah perilaku Titik dan Cetak default untuk mengatasi kerentanan “PrintNightmare” yang mempengaruhi layanan Windows Print Spooler. Seperti dicatat di KB5005652“secara default, pengguna non-administrator tidak lagi dapat melakukan hal berikut menggunakan Point and Print tanpa peningkatan hak istimewa ke administrator:
- Instal printer baru menggunakan driver di komputer atau server jarak jauh
- Perbarui driver printer yang ada menggunakan driver dari komputer atau server jarak jauh”
IDGNamun, apa yang kita lihat di atas PatchManagement.org daftar adalah bahwa siapa pun dengan driver cetak gaya V3 meminta pengguna mereka untuk menginstal ulang driver atau menginstal driver baru. Lebih tepatnya, ketika server cetak berada di server Server 2016, printer didorong keluar melalui Kebijakan Grup, dan driver printer dari vendor adalah driver V3, ini memicu penginstalan ulang driver cetak. Kami juga melihat bahwa ketika tambalan ada di workstation dan bukan di server, itu memicu penginstalan ulang driver cetak.
Mengingat bahwa perusahaan cenderung mempertahankan pengguna tanpa hak administrator untuk membatasi pergerakan lateral (dan terus terang karena Microsoft telah memberi tahu kami selama bertahun-tahun bahwa menjalankan dengan hak administrator adalah hal yang buruk), kami sekarang harus memutuskan untuk memberi pengguna administrator lokal hak, buat penyesuaian kunci registri yang melemahkan keamanan, atau putar kembali tambalan hingga Microsoft mengetahui apa yang salah.
Mereka yang ingin melakukan perubahan registri dapat membuka jendela Command Prompt dengan izin yang lebih tinggi dan memasukkan yang berikut ini:
reg add "HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f
Tetapi melakukan hal itu membuat Kamu terkena kerentanan yang diketahui publik, dan baik Microsoft maupun saya tidak merekomendasikannya.
Sampai ke inti masalah cetak
Microsoft secara pribadi telah mengakui dalam kasus dukungan bahwa “perintah admin/instal untuk driver yang sudah diinstal dan printer yang sudah diinstal adalah perilaku yang tidak terduga.” Lebih lanjut dikatakan, “Kami telah menerima laporan baru bahwa ini juga memengaruhi pelanggan di mana driver/printer, dll. Sudah diinstal dan sedang diselidiki, kami belum memiliki perkiraan waktu perbaikan, tetapi kami mengerjakannya.” Tapi sementara perusahaan mungkin secara pribadi mengakui bahwa ada masalah dengan pencetakan, itu tidak ditampilkan di Dasbor rilis kesehatan Windows.
Anthony J. Fontanez telah membuat blog di sini dan di sini dengan beberapa diskusi besar tentang apa yang sedang terjadi. Seperti yang dia tunjukkan, salah satu solusinya adalah memastikan Kamu memiliki driver printer V4 yang diterapkan di jaringan Kamu. Tapi di situlah letak masalahnya — seringkali sangat sulit untuk menentukan apakah drivernya V3 atau V4. Dalam kasus printer Hewlett Packard, PCL 6 menunjukkan V3, sedangkan PCL-6 (perhatikan tanda hubung) menunjukkan V4. Kamu mungkin harus menggunakan driver pada mesin virtual uji untuk menentukan dengan tepat driver printer yang Kamu miliki.
Jika vendor printer Kamu tidak memiliki driver printer versi V4, pastikan Kamu menghubungi vendor Kamu — terutama jika mereka berada di bawah sewa aktif — dan meminta mereka mengeluarkan driver yang telah direvisi. Seperti yang ditulis Fontanez, “Driver V4 menggunakan driver khusus model di sisi server cetak. Saat klien terhubung ke printer di server menggunakan driver V4, mereka tidak mengunduh driver apa pun. Sebagai gantinya mereka menggunakan driver generik yang dimuat sebelumnya bernama ‘Microsoft Enhanced Point and Print.’” Namun, beberapa admin jaringan telah mengindikasikan bahwa driver V4 juga bukan solusinya.
Tetapi bahkan jika Kamu bisa menginstal pembaruan Agustus di jaringan Kamu, itu tidak berarti Kamu sepenuhnya terlindungi dari kerentanan print spooler. Ada lagi CVE (CVE-2021-36958) yang kami tidak memiliki tambalan, dan satu-satunya solusi adalah menonaktifkan spooler cetak. Yang kami ketahui secara resmi saat ini adalah bahwa “Kerentanan eksekusi kode jarak jauh terjadi ketika layanan Windows Print Spooler melakukan operasi file istimewa secara tidak benar. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau buat akun baru dengan hak pengguna penuh. Solusi untuk kerentanan ini adalah menghentikan dan menonaktifkan layanan Print Spooler.”
Jika Kamu seorang konsumen, masalahnya tidak terlalu suram. Saya belum pernah melihat pengguna rumahan atau konsumen mengalami masalah dengan pencetakan atau pemindaian setelah pembaruan Agustus dipasang. Meskipun demikian, kami masih rentan terhadap yang belum ditambal CVE-2021-36958. Jika Kamu sudah menginstal pembaruan Agustus dan Kamu tidak mengalami efek samping apa pun dengan pencetakan atau pemindaian, biarkan pembaruan keamanan Agustus terinstal.
Jadi apa yang dapat Kamu lakukan saat ini jika Kamu menjalankan bisnis dan Kamu memiliki untuk mencetak?
- Tinjau apa yang benar-benar harus dicetak oleh server dan komputer. Jelas masalah keamanan mendasar dengan kode server cetak belum diperbaiki, dan tampaknya tidak akan segera diperbaiki.
- Pertimbangkan untuk mencetak hak tertentu yang Kamu berikan hanya kepada orang-orang di jaringan Kamu yang benar-benar membutuhkan hak tersebut, alih-alih mengaktifkan layanan print spooler secara otomatis di seluruh jaringan Kamu.
- Nonaktifkan layanan di semua pengontrol domain dan tetap seperti itu hingga pemberitahuan lebih lanjut.
- Batasi server di jaringan Kamu yang memiliki peran server cetak.
- Cobalah untuk membatasi server sebaik mungkin sehingga Kamu dapat memantau dan membatasi lalu lintas ke mesin tersebut.
- Nonaktifkan peran server cetak di workstation kecuali mereka harus mencetak.
- Evaluasi kembali alur kerja dan proses Kamu dan lihat apakah ada cara untuk memindahkan alur bisnis tersebut ke proses berbasis web atau sesuatu yang tidak bergantung pada kertas, toner, dan printer.
Kata terakhir untuk Microsoft
Microsoft, Kamu perlu melakukan lebih baik daripada yang Kamu lakukan sekarang. Karena kami masih mencetak. Dan selama setahun terakhir Kamu terlalu sering merusak pencetakan. Saya menyadari bahwa Kamu mungkin tidak memiliki kertas dan beralih ke segala sesuatu yang elektronik, tetapi sedikit lebih sadar bahwa pelanggan perusahaan Kamu belum cukup sampai di sana.
Pelanggan Kamu tidak harus membuat pilihan yang menyakitkan untuk menghapus pembaruan agar dapat berfungsi dalam bisnis mereka, atau lebih buruk lagi harus melakukan perubahan registri, yang memungkinkan bisnis untuk mencetak tetapi akibatnya perusahaan rentan terhadap kerentanan.
Saya telah menambal sistem selama lebih dari 20 tahun, dan jika hal terbaik yang dapat kami sampaikan kepada bisnis saat ini adalah “mencopot pembaruan untuk terus menjalankan bisnis”, kami belum memperbaiki apa pun dalam 20 tahun memperbarui. Bisnis masih tidak dapat segera menambal seperti yang Kamu desak untuk kami lakukan. Kami masih harus menunggu untuk melihat apakah ada efek samping dan menangani efek setelahnya.
Jadi, Microsoft? Jika Kamu ingin kami segera menambal, Kamu perlu menyadari bahwa banyak dari kita masih perlu mencetak.
Post By 2021 Idnu.me, Inc.