![見出し画像](https://assets.st-note.com/production/uploads/images/55964589/rectangle_large_type_2_0f21b5cfa8379ae8bab8231ed5e9ff0a.png?width=800)
WIndowsのレジストリ修正をBat、Powershell、Intune、GPOでそれぞれやってみる
------------------------------------------------------------------
追記:2021/07/06 脆弱性対応の更新プログラムが徐々に公開。
セキュリティ更新プログラムガイド
追記:2021/07/08 サーバOSのパッチ公開
しかし、パッチが不十分の可能性あり。
「Microsoftの印刷スプーラ脆弱性対策は不十分」
追記:2021/07/19 新しい脆弱性を確認
さらなる脆弱性。ローカル特権昇格可能でパッチは準備中
追記:2021/08/12 202108月例パッチで上記は対応。しかし別の脆弱性発見
「Windows印刷スプーラーサービス」にあらたなゼロデイ脆弱性
08/13現在の対策方法は前回記事のサービスストップのみ
変更:2022/05/18 脆弱性の対応はされたので、タイトルを「Windows 10の印刷スプーラに任意コード実行の脆弱性をIntuneとGPOで暫定対応してみる2」から変更。
更新プログラムが配布された後、この記事はintuneでのレジストリ配布の手順として残す。
------------------------------------------------------------------
前回はWindowsのサービスを止めるものだったが、今回はレジストリ配布またはレジストリ修正をしてみる。
情報としては以下
レジストリファイルの作成
下記の内容の.regファイルを作成して実行する
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers]
"RegisterSpoolerRemoteRpcEndPoint"=dword:00000002
batファイルの作成
下記の内容の.batファイルを作成して、管理者として実行する。
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t "REG_DWORD" /d "2" /f
exit
Intuneでの止め方
下記のIntuneWinAppUtil.exeをダウンロードする
ダウンロードしたファイルを実行し、前記で作成したレジストファイルを指定して、intunewinファイルを作成する。
![画像6](https://assets.st-note.com/production/uploads/images/55967481/picture_pc_64d832290542a4528906eb6f2ed9695b.png?width=800)
「アプリ」-「Windows」-「追加」
![画像4](https://assets.st-note.com/production/uploads/images/55966008/picture_pc_1d648ed15499cc71a1b91599fe42c67f.png?width=800)
「Windowsアプリ(win32)」を選択。
![画像5](https://assets.st-note.com/production/uploads/images/55966049/picture_pc_a531465c7a62e9568f1520f5ccb70df5.png?width=800)
「アプリ情報」
先程作成した.intunewinファイルを指定する。
![画像7](https://assets.st-note.com/production/uploads/images/55967576/picture_pc_abf3750444fe9b76fb209a25b058e588.png?width=800)
発行元が求められるので適当に
![画像8](https://assets.st-note.com/production/uploads/images/55967733/picture_pc_311165eae0219bba4427bca8c8523375.png?width=800)
「プログラム」
インストールコマンドとアンインストールコマンドに以下を入れる
regedit.exe /s (レジストファイル)
デバイスの再起動は「なにもしない」としておく
![画像9](https://assets.st-note.com/production/uploads/images/55967860/picture_pc_0b362dc0c2d4c879b68202abf7297a71.png?width=800)
「必要条件」
オペレーティングシステムのアーキテクチャを全部チェックする。
![画像11](https://assets.st-note.com/production/uploads/images/55968246/picture_pc_17e0896470e5fabb5c417e60fbcf7a1c.png?width=800)
「検出規則」
「規則の形式」を「検出規則を手動で構成する」と設定し、「追加」をクリック
![画像11](https://assets.st-note.com/production/uploads/images/55968444/picture_pc_cd6b16fcf3b69f354aba93462fbb9458.png?width=800)
規則の種類:レジストリ
キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers
値の名前:RegisterSpoolerRemoteRpcEndPoint
検出方法:文字列と比較
演算子:指定の値に等しい
値:1
![画像12](https://assets.st-note.com/production/uploads/images/55968743/picture_pc_39a7e5957ef62ac87fb1ad1382d2c6f9.png?width=800)
「依存関係」、「置き換え」は何もしない
![画像13](https://assets.st-note.com/production/uploads/images/55968827/picture_pc_445b11ba3fa3ec0fc89271113a88eaa3.png?width=800)
![画像14](https://assets.st-note.com/production/uploads/images/55968888/picture_pc_c71d588849acbc6745b4e7ef9654f1a5.png?width=800)
「割り当て」
配布したいグループを指定する。
![画像15](https://assets.st-note.com/production/uploads/images/55968928/picture_pc_8de556a9c7be2816ffc8e70b1179e00f.png?width=800)
「確認及び作成」で確認する。
![画像16](https://assets.st-note.com/production/uploads/images/55969034/picture_pc_9e76c81a9d05acea2f50b1fbc695d818.png?width=800)
GPOでの止め方
「コンピュータの構成」-「ポリシー」-「管理用テンプレート」-「プリンター」-「印刷スプーラーにクライアント接続の受け入れを許可する」をクリック
![画像1](https://assets.st-note.com/production/uploads/images/55964188/picture_pc_98a7985d87cdf3d148eecb09ec4c4839.png?width=800)
無効にする
![画像2](https://assets.st-note.com/production/uploads/images/55964199/picture_pc_7759df3304300413dcb05a86c939be23.png?width=800)
batファイルでの元に戻し方
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t "REG_DWORD" /d "1" /f
exit
レジストリファイルで元に戻す方法
下記の内容の.regファイルを作成して実行する
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers]
"RegisterSpoolerRemoteRpcEndPoint"=dword:00000001
Intuneで元に戻す方法
「レジストリファイルで元に戻す方法」のレジストリを配布する。
GPOで元に戻す方法
有効にする。
![画像3](https://assets.st-note.com/production/uploads/images/55964226/picture_pc_4b8a1f294d5b3b8a21199d166d164461.png?width=800)
以上
この記事が気に入ったらサポートをしてみませんか?