見出し画像

WIndowsのレジストリ修正をBat、Powershell、Intune、GPOでそれぞれやってみる

------------------------------------------------------------------
追記:2021/07/06  脆弱性対応の更新プログラムが徐々に公開。
   セキュリティ更新プログラムガイド
追記:2021/07/08 サーバOSのパッチ公開
   しかし、パッチが不十分の可能性あり。
   「Microsoftの印刷スプーラ脆弱性対策は不十分」
追記:2021/07/19 新しい脆弱性を確認
   さらなる脆弱性。ローカル特権昇格可能でパッチは準備中
追記:2021/08/12 202108月例パッチで上記は対応。しかし別の脆弱性発見
   「Windows印刷スプーラーサービス」にあらたなゼロデイ脆弱性 
   08/13現在の対策方法は前回記事のサービスストップのみ
変更:2022/05/18 脆弱性の対応はされたので、タイトルを「Windows 10の印刷スプーラに任意コード実行の脆弱性をIntuneとGPOで暫定対応してみる2」から変更。

更新プログラムが配布された後、この記事はintuneでのレジストリ配布の手順として残す。
------------------------------------------------------------------
前回はWindowsのサービスを止めるものだったが、今回はレジストリ配布またはレジストリ修正をしてみる。

情報としては以下

レジストリファイルの作成

下記の内容の.regファイルを作成して実行する

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers]
"RegisterSpoolerRemoteRpcEndPoint"=dword:00000002

batファイルの作成

下記の内容の.batファイルを作成して、管理者として実行する。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t "REG_DWORD" /d "2" /f
exit

Intuneでの止め方

下記のIntuneWinAppUtil.exeをダウンロードする

ダウンロードしたファイルを実行し、前記で作成したレジストファイルを指定して、intunewinファイルを作成する。

画像6


「アプリ」-「Windows」-「追加」

画像4

「Windowsアプリ(win32)」を選択。

画像5

「アプリ情報」
 先程作成した.intunewinファイルを指定する。

画像7

発行元が求められるので適当に

画像8

「プログラム」
 インストールコマンドとアンインストールコマンドに以下を入れる
 regedit.exe /s (レジストファイル)
 デバイスの再起動は「なにもしない」としておく

画像9

「必要条件」
 オペレーティングシステムのアーキテクチャを全部チェックする。

画像11

「検出規則」
 「規則の形式」を「検出規則を手動で構成する」と設定し、「追加」をクリック

画像11

規則の種類:レジストリ
キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers
値の名前:RegisterSpoolerRemoteRpcEndPoint
検出方法:文字列と比較
演算子:指定の値に等しい
値:1

画像12

「依存関係」、「置き換え」は何もしない

画像13
画像14

「割り当て」
配布したいグループを指定する。

画像15

「確認及び作成」で確認する。

画像16

GPOでの止め方

「コンピュータの構成」-「ポリシー」-「管理用テンプレート」-「プリンター」-「印刷スプーラーにクライアント接続の受け入れを許可する」をクリック

画像1

無効にする

画像2


batファイルでの元に戻し方

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t "REG_DWORD" /d "1" /f
exit

レジストリファイルで元に戻す方法

下記の内容の.regファイルを作成して実行する

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers]
"RegisterSpoolerRemoteRpcEndPoint"=dword:00000001

Intuneで元に戻す方法

「レジストリファイルで元に戻す方法」のレジストリを配布する。

GPOで元に戻す方法

有効にする。

画像3

以上


この記事が気に入ったらサポートをしてみませんか?