一、事件描述

近日，网络安全威胁和漏洞信息共享平台发布漏洞预警，公布了微软Windows Print Spooler远程代码执行漏洞的风险公告，漏洞CVE编号：CVE2021-1675和CVE-2021-34527，根据公告，攻击者只需一个普通权限的用户，即可对目标网络中的Windows系统发起远程攻击，控制存在漏洞的域控制器、服务器和PC，从而控制整个网络。该漏洞广泛的存在于各个版本的Windows操作系统中，利用难度和复杂度低，危害极大。官方已经发布补丁，请用户及时更新（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527）。

二、安全暂时处置建议

请首先确定Print Spooler服务是否正在运行，如果Print Spooler正在运行或该服务未设置为禁用，以下两个暂时性的解决方案可任选其一：

1.对于未启用安全域管理的终端用户。建议禁用Windows Print Spooler服务，但这会导致打印服务不可用，建议需要打印时临时开启服务，用完禁止该服务，等待漏洞补丁发布。具体操作：

在“windows管理工具->服务”中，禁用“Print Spooler”或通过命令输入：“services.msc”。如下图所示操作：

对于使用安全域管理，操作方式如下：

1）以域管理员身份运行以下命令：

Get-Service -Name Spooler

2）如果Print Spooler Service正在运行或该服务未被禁用，请选择使用PowerShell执行以下任一选项来禁用Print Spooler Service。

Stop-Service -Name Spooler –Force或

Set-Service -Name Spooler -StartupType Disabled

2.通过组策略禁用入站远程打印来阻挡远程恶意攻击，但可支持本地打印服务。具体配置方法如下：在本地组策略编辑器中，选择“计算机配置->管理模板->打印机”禁用“允许Print Spooler接受客户端连接”或通过命令输入：“gpedit.msc”。如下图所示操作。

来源：河南省教育信息安全监测中心