WIndowsのレジストリ修正をBat、Powershell、Intune、GPOでそれぞれやってみる

------------------------------------------------------------------
追記：2021/07/06 　脆弱性対応の更新プログラムが徐々に公開。
　　　セキュリティ更新プログラムガイド
追記：2021/07/08　サーバOSのパッチ公開
　　　しかし、パッチが不十分の可能性あり。
　　　「Microsoftの印刷スプーラ脆弱性対策は不十分」
追記：2021/07/19 新しい脆弱性を確認
　　　さらなる脆弱性。ローカル特権昇格可能でパッチは準備中
追記：2021/08/12 202108月例パッチで上記は対応。しかし別の脆弱性発見
　　　「Windows印刷スプーラーサービス」にあらたなゼロデイ脆弱性 
　　　08/13現在の対策方法は前回記事のサービスストップのみ
変更：2022/05/18 脆弱性の対応はされたので、タイトルを「Windows 10の印刷スプーラに任意コード実行の脆弱性をIntuneとGPOで暫定対応してみる2」から変更。

更新プログラムが配布された後、この記事はintuneでのレジストリ配布の手順として残す。
------------------------------------------------------------------
前回はWindowsのサービスを止めるものだったが、今回はレジストリ配布またはレジストリ修正をしてみる。

情報としては以下

[回避策あり][PrintNightmare]Windowsの印刷スプーラーにゼロデイ脆弱性CVE-2021-34527[回避策あり][PrintNightmare]Windowsの印刷スプーラーにゼロデイ脆弱性CVE-2021-34527 | アーザスBlog

レジストリファイルの作成

下記の内容の.regファイルを作成して実行する

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers]
"RegisterSpoolerRemoteRpcEndPoint"=dword:00000002

batファイルの作成

下記の内容の.batファイルを作成して、管理者として実行する。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t "REG_DWORD" /d "2" /f
exit

Intuneでの止め方

下記のIntuneWinAppUtil.exeをダウンロードする

microsoft/Microsoft-Win32-Content-Prep-Tool

ダウンロードしたファイルを実行し、前記で作成したレジストファイルを指定して、intunewinファイルを作成する。

「アプリ」-「Windows」-「追加」

「Windowsアプリ(win32)」を選択。

「アプリ情報」
　先程作成した.intunewinファイルを指定する。

発行元が求められるので適当に

「プログラム」
　インストールコマンドとアンインストールコマンドに以下を入れる
　regedit.exe /s (レジストファイル)
　デバイスの再起動は「なにもしない」としておく

「必要条件」
　オペレーティングシステムのアーキテクチャを全部チェックする。

「検出規則」
　「規則の形式」を「検出規則を手動で構成する」と設定し、「追加」をクリック

規則の種類：レジストリ
キーパス：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers
値の名前：RegisterSpoolerRemoteRpcEndPoint
検出方法：文字列と比較
演算子：指定の値に等しい
値：1

「依存関係」、「置き換え」は何もしない

「割り当て」
配布したいグループを指定する。

「確認及び作成」で確認する。

GPOでの止め方

「コンピュータの構成」-「ポリシー」-「管理用テンプレート」-「プリンター」-「印刷スプーラーにクライアント接続の受け入れを許可する」をクリック

無効にする

batファイルでの元に戻し方

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t "REG_DWORD" /d "1" /f
exit

レジストリファイルで元に戻す方法

下記の内容の.regファイルを作成して実行する

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers]
"RegisterSpoolerRemoteRpcEndPoint"=dword:00000001

Intuneで元に戻す方法

「レジストリファイルで元に戻す方法」のレジストリを配布する。

GPOで元に戻す方法

有効にする。

以上