微软最新Print Nightmare漏洞的有效解决方法

微软前几天发布了Windows 11，大家是怎样看待的呢？

Windows 10发布的时候，号称是“Windows的最后一个版本”。结果，它并不是“最后一个”。就我个人而言，我真的很期待看到 Windows 11将如何发展。

即使发布了新的操作系统，漏洞本身和利用漏洞的网络攻击的数量还是会持续增加的，因此我们和网络攻击的战斗永不停止，并且要不断改进我们针对漏洞采取的对策。

在本文中，我将解释 Windows 10打印后台处理程序名为“Print Nightmare”的漏洞（常见漏洞标识符：CVE-2021-34527）和如何修复。然后进一步讨论如何更加有效地部署我们的漏洞修复方案。

PrintNightmare是什么？

PrintNightmare 是一个漏洞，它允许Print Spooler服务执行非法文件操作来远程执行代码。您可能能够以 SYSTEM 权限执行任意代码通过动态加载第三方二进制文件，远程攻击者利用该漏洞可以完全接管系统。也许这个漏洞是“2021年你最该及时处理“的一个漏洞。

受该漏洞影响的操作系统包括已经停止支持的Windows 7和Windows2008。因为其严重性，微软已经发布了针对不再支持系统的紧急补丁。

7月6日（当地时间），微软发布了修复上述漏洞的补丁“KB5004945” ，您可以通过安装补丁来修复此漏洞。请注意，必须先安装“KB5003173”补丁。

有用户报告说在安装了特定安全软件的环境中安装补丁时会出现蓝屏错误。因此，请在公司的测试环境中测试再部署到所有计算机，或者考虑使用以下漏洞紧急处理措施。

首先，在 Windows PowerShell中运行以下命令以查看打印后台处理程序服务是否正在运行。

Get-Service -Name Spooler

如果print spooler服务正在运行，或者该服务未被禁用，请使用以下方法之一禁用print spooler服务或使用组策略禁用入站远程打印。

方法 1 - 禁用打印后台处理程序服务

要禁用打印后台处理程序服务，请运行以下命令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

请注意，禁用打印后台处理程序服务也会同时禁用本地和远程打印功能。

方法2-使用组策略禁用入站远程打印

组策略允许您集中配置计算机的设置。

配置禁用“允许打印后台处理程序接受客户端连接”组策略。应用策略配置后，您必须重新启动打印后台处理程序服务。详细操作步骤请参考微软文档。

以上我们讨论了如何处理PrintNightmare漏洞。但是，那么多的漏洞，我如何才能及时知道、处理、测试补丁、部署补丁呢？为了有效实施漏洞对策，我们建议您安装补丁管理工具。

ManageEngine提供的Desktop Central（统一终端管理工具）和Patch Manager Plus（补丁管理工具）两个产品，都可以选择作为企业的补丁管理工具。

本次发布的补丁“KB5004945”也在当天上线。您可以通过KB/CVE编号轻松搜索，如下面的屏幕截图所示。

ManageEngine产品还有补丁测试功能，因此您可以先将补丁在测试环境中确认后，然后再将其应用到生产环境。

另外Desktop Central提供脚本分发功能，所以也可以集中执行命令来禁用print spooler，这就是应急措施的方法1通过系统工具来管理的方案。。

此外，您可以使用应用措施的方法2中的组策略管理，ManageEngine卓豪的ADManager Plus产品是来管理组策略的强大工具。

如果您想获得以上工具更详细的产品说明，请在www.manageengine.cn网站通过在线聊天直接联系我们的产品专家。

Patch Manager Plus、Desktop Central、ADManager Plus提供了30天全功能免费评估版，并免费提供技术支持，您也可以在网站上下载体验。