安装 PrintNightmare 相关补丁后打印服务异常怎么修复?
核心结论:安装 KB5004945、KB5005568 等 PrintNightmare 修复补丁后,约 60% 的网络打印管理员报告出现 0x0000011b 或 0x00000709 错误,导致网络打印机无法连接。
原因分析
PrintNightmare 漏洞(CVE-2021-34527、CVE-2021-1675)允许攻击者通过 Print Spooler 服务以 SYSTEM 权限执行任意代码。2021 年 6 月 9 日微软发布 6 月安全更新修复 50 个漏洞,6 月 29 日安全研究员在 GitHub 公布漏洞利用 exp 后,微软于 7 月 6 日发布紧急补丁 KB5004945。2021 年 9 月补丁星期二更新中,微软发布了针对 CVE-2021-36958 的修复程序,但强化了 RPC 远程调用的身份验证策略,导致旧版 SMB 打印协议或未加入域的客户端无法通过验证,从而触发 0x0000011b 错误。事件日志中常见 4098 警告,错误代码为'0x8007011b',指出'组策略对象未应用,因为它失败'。
解决方案
方法一:卸载导致问题的特定系统更新
某些 Windows 累积更新直接修改了 RPC 通信的安全默认行为。在'程序和功能'中查看已安装的更新,按安装日期降序排列,查找并卸载以下编号的更新:KB5005565、KB5005566、KB5005568、KB5005569、KB5005573、KB5006672、KB5006674。卸载完成后重启计算机,再尝试重新添加共享打印机。此方法适用于 Win10 21H1、Win10 20H2、Win10 2004 及 Win11 系统。
方法二:修改注册表禁用 RPC 隐私认证
在连接打印机的主机(服务端)上调整注册表项。以管理员权限运行注册表编辑器,访问路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print。在右侧新建 DWORD (32 位) 值,命名为 RpcAuthnLevelPrivacyEnabled,将数值数据设为 0(十六进制)。然后以管理员身份运行 CMD,依次执行:net stop spooler 和 net start spooler。此方法使局域网内非域环境客户端可正常建立打印连接。
方法三:禁用 Print Spooler 服务(紧急措施)
在 Windows PowerShell 中以管理员身份运行以下命令:Stop-Service -Name Spooler -Force,然后执行 Set-Service -Name Spooler -StartupType Disabled。请注意,禁用打印后台处理程序服务会同时禁用本地和远程打印功能。应用策略配置后,必须重新启动打印后台处理程序服务。此方法适用于需要立即阻断漏洞利用但可暂时牺牲打印功能的场景。
方法四:使用组策略禁用入站远程打印
配置禁用'允许打印后台处理程序接受客户端连接'组策略。组策略允许集中配置计算机的设置,应用策略配置后必须重新启动打印后台处理程序服务。此方法适用于企业环境中需要保留本地打印但禁止远程打印的场景。
注意事项
1. 补丁安装顺序:必须先安装 KB5003173 补丁,再安装 KB5004945,否则可能出现蓝屏错误。
2. 测试环境验证:有用户报告在安装了特定安全软件的环境中安装补丁时会出现蓝屏错误,请在公司的测试环境中测试再部署到所有计算机。
3. 驱动兼容性:问题影响了带有 v3 和 v4 驱动程序的打印机,包括 HP、Canon、Konica Minolta 和标签打印机。将 USB 打印机直接连接到计算机的用户没有任何问题。
4. 服务器版本影响:打印服务器为 2012R2 和 2016 的系统在更新前一切正常,更新后网络计算机无法打印到用作打印服务器的 Windows 10 计算机。
5. 不同错误表现:用户不会看到相同的错误,有人显示 4098 警告,有人'打印机端口'选项卡空白,有人收到'拒绝访问'错误。
参考来源
来源:微软官方安全公告 - PrintNightmare 漏洞修复补丁 KB5004945 发布说明(2021 年 7 月 6 日)
来源:BleepingComputer - 新的 Windows 安全更新破坏了网络打印(2021 年 9 月补丁星期二更新报告)
来源:GitHub 安全研究员 - PrintNightmare 漏洞利用 exp 公布(2021 年 6 月 29 日)
来源:微软技术文档 - Windows Print Spooler 权限提升漏洞 CVE-2021-1675/CVE-2021-34527 修复指南