الملخص
Windows التحديثات التي تم إصدارها في 10 أغسطس 2021 واللاحقة بشكل افتراضي، إلى امتياز إداري لتثبيت برامج التشغيل. لقد قمنا بهذا التغيير في السلوك الافتراضي لمعالجة المخاطر في جميع الأجهزة Windows، بما في ذلك الأجهزة التي لا تستخدم وظيفة "نقطة" و"طباعة" أو "طباعة". لمزيد من المعلومات، راجع تغيير السلوك الافتراضي للنقطة والطباعة و CVE-2021-34481.
بشكل افتراضي، لن يتمكن المستخدمون غير المسؤولين من القيام بما يلي باستخدام نقطة وطباعة دون رفع امتياز للمسؤول:
-
تثبيت طابعات جديدة باستخدام برامج التشغيل على كمبيوتر أو خادم بعيد
-
تحديث برامج تشغيل الطابعات الموجودة باستخدام برامج التشغيل من كمبيوتر أو خادم بعيد
ملاحظة إذا لم تكن تستخدم Point و Print، يجب ألا تتأثر بهذا التغيير وستحمي بشكل افتراضي بعد تثبيت التحديثات التي تم إصدارها في 10 أغسطس 2021 أو إصدار لاحق.
هام يجب أن يكون لدى عملاء الطباعة في بيئتك تحديث تم إصداره في 12 يناير 2021 أو إصدار لاحق قبل تثبيت إصدار التحديثات في 14 سبتمبر 2021. الرجاء الاطلاع على Q2 في "الأسئلة المتكررة" أدناه للحصول على مزيد من المعلومات.
تعديل سلوك تثبيت برنامج التشغيل الافتراضي باستخدام مفتاح تسجيل
يمكنك تعديل هذا السلوك الافتراضي باستخدام مفتاح التسجيل في الجدول أدناه. ومع ذلك، كن شديد الحذر عند استخدام قيمة صفرية (0) لأن القيام بذلك يجعل الأجهزة عرضة للتأثر. إذا كان عليك استخدام قيمة التسجيل 0 في بيئتك، نوصي باستخدامها مؤقتا أثناء ضبط بيئتك للسماح للأجهزة Windows باستخدام قيمة واحدة (1).
موقع السجل |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
اسم DWord |
RestrictDriverInstallationToAdministrators |
بيانات القيمة |
السلوك الافتراضي: تعيين هذه القيمة إلى 1 أو إذا لم يكن المفتاح معرفا أو غير موجود، سيتطلب امتياز المسؤول لتثبيت أي برنامج تشغيل طابعة عند استخدام نقطة وطباعة. سيتجاوز مفتاح التسجيل هذا كل إعدادات نهج المجموعة "نقاط" و"قيود الطباعة" وسيضمن أن المسؤولين فقط يمكنهم تثبيت برامج تشغيل الطابعات من خادم طباعة باستخدام "نقطة" و"طباعة". تعيين القيمة إلى 0 يسمح لغير المسؤولين بتثبيت برامج التشغيل الموقعة وغير الموقعة على خادم طباعة ولكنه لا يتجاوز إعدادات نهج المجموعة للنقطة والطباعة. وبالتالي، يمكن أن تتجاوز إعدادات نهج المجموعة "نقاط" و"قيود الطباعة" إعداد مفتاح التسجيل هذا لمنع غير المسؤولين من تثبيت برامج تشغيل الطباعة الموقعة وغير الموقعة من خادم طباعة. قد يقوم بعض المسؤولين بتعيين القيمة إلى 0 للسماح لغير المسؤولين بتثبيت برامج التشغيل وتحديثها بعد إضافة قيود إضافية، بما في ذلك إضافة إعداد نهج يقيد مكان تثبيت برامج التشغيل. هام لا توجد مجموعة من عمليات التخفيف التي تساوي تعيين RestrictDriverInstallationToAdministrators إلى 1. ملاحظة التحديثات التي تم إصدارها في 6 يوليو 2021 أو إصدار أحدث يكون افتراضيا 0 (معطل) حتى تثبيت التحديثات التي تم إصدارها في 10 أغسطس 2021 أو إصدار لاحق. التحديثات التي تم إصدارها في 10 أغسطس 2021 أو إصدار أحدث لها القيمة الافتراضية 1 (تم التمكين). |
متطلبات إعادة التشغيل |
لا يلزم إعادة التشغيل عند إنشاء قيمة التسجيل هذه أو تعديلها. |
ملاحظة Windows لن يتم تعيين مفتاح التسجيل أو تغييره. يمكنك تعيين مفتاح التسجيل قبل تثبيت التحديثات التي تم إصدارها في 10 أغسطس 2021 أو إصدار لاحق أو بعد ذلك.
أتمتة إضافة قيمة تسجيل RestrictDriverInstallationToAdministrators
لأتمتة إضافة قيمة التسجيل RestrictDriverInstallationToAdministrators، اتبع الخطوات التالية:
-
افتح نافذة موجه الأوامر (cmd.exe) ذات أذونات مرتفعة.
-
اكتب الأمر التالي، ثم اضغط على Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
تعيين RestrictDriverInstallationToAdministrators باستخدام نهج المجموعة
بعد تثبيت التحديثات التي تم إصدارها في 12 أكتوبر 2021 أو إصدار لاحق، يمكنك أيضا تعيين RestrictDriverInstallationToAdministrators باستخدام نهج المجموعة، باستخدام الإرشادات التالية:
-
افتح أداة محرر نهج المجموعة واذهب إلى تكوين الكمبيوتر> قوالب إدارية> الطابعات.
-
تعيين تثبيت برنامج تشغيل الطباعة Limits إلى الإعداد المسؤولون إلى "ممكن". سيتم تعيين قيمة التسجيل ل RestrictDriverInstallationToAdministrators إلى 1.
تثبيت برامج تشغيل الطباعة عند فرض الإعداد الافتراضي الجديد
إذا قمت بتعيين RestrictDriverInstallationToAdministrators على أنها غير معرفة أو إلى 1، استنادا إلى بيئتك، يجب على المستخدمين استخدام إحدى الطرق التالية لتثبيت الطابعات:
-
قم بتوفير اسم مستخدم وكلمة مرور للمسؤول عند مطالبتك بحسابات الاعتماد عند محاولة تثبيت برنامج تشغيل طابعة.
-
قم بتضمين برامج تشغيل الطابعة الضرورية في صورة نظام التشغيل.
-
قم بتعيين RestrictDriverInstallationToAdministrators مؤقتا إلى 0 لتثبيت برامج تشغيل الطابعة.
ملاحظة إذا لم تتمكن من تثبيت برامج تشغيل الطابعة، حتى مع امتياز المسؤول، فيجب تعطيل استخدام "نقطة الحزمة" و" نهج مجموعة الطباعة فقط".
الإعدادات المستحسنة وتخفيفات جزئية للبيئات التي لا يمكنها استخدام السلوك الافتراضي
يمكن أن تساعد عمليات التخفيف التالية في تأمين كل البيئات، ولكن بشكل خاص إذا كان عليك تعيين RestrictDriverInstallationToAdministrators إلى 0. لا تعالج عمليات التخفيف هذه الثغرات في CVE-2021-34481 بشكل كامل.
هام لا توجد مجموعة من عمليات التخفيف التي تساوي تعيين RestrictDriverInstallationToAdministrators إلى 1.
التحقق من تعيين RpcAuthnLevelPrivacyEnabled إلى 1 أو لم يتم تعريفه
تحقق من تعيين RpcAuthnLevelPrivacyEnabled إلى 1 أو لم يتم تعريفه كما هو موضح في إدارة نشر تغييرات ربط الطابعة RPC ل CVE-2021-1678 (KB4599464).
التحقق من تمكين "المطالبات الأمنية" للنقطة والطباعة
تحقق من تمكين "المطالبات الأمنية" للنقطة والطباعة كما هو موضح في KB5005010: تقييد تثبيت برامج تشغيل الطابعات الجديدة بعد تطبيق تحديثات 6 يوليو 2021.
السماح للمستخدمين بالاتصال فقط بخادمات طباعة معينة تثق بها
ينطبق هذا النهج، "قيود النقاط والطباعة"، على الطابعات "نقطة" و"طباعة" باستخدام برنامج تشغيل غير مخصص للحزمة على الخادم.
استخدم الخطوات التالية:
-
افتح وحدة التحكم في إدارة نهج المجموعة (GPMC).
-
في شجرة وحدة تحكم GPMC، انتقل إلى المجال أو الوحدة التنظيمية (OU) التي تخزن حسابات المستخدمين التي تريد تعديل إعدادات أمان برنامج تشغيل الطابعة لها.
-
انقر بضغطة زر الماوس الأيمن فوق المجال المناسب أو OU وانقر فوق إنشاء GPO في هذا المجال، وربطه هنا.اكتب اسما لكائن نهج المجموعة الجديد (GPO)، ثم انقر فوق موافق.
-
انقر بضغطة زر الماوس الأيمن فوق "مجموعة أدوات المجموعة" التي أنشأتها، ثم انقر فوق تحرير.
-
في نافذة محرر إدارة نهج المجموعة، انقر فوق تكوين الكمبيوتر، وانقر فوق نهج، وانقر فوق قوالب إدارية، ثم فوق الطابعات.
-
انقر بضغطة زر الماوس الأيمن فوق "قيود النقاط والطباعة"، ثم انقر فوق تحرير.
-
في مربع الحوار قيود النقاط والطباعة ، انقر فوق تمكين.
-
حدد خانة الاختيار يمكن للمستخدمين الإشارة إلى هذه الخوادم وطباعتها فقط إذا لم تكن محددة بالفعل.
-
أدخل أسماء الخوادم المؤهلة بالكامل. افصل كل اسم باستخدام فقامة منقهة (;).
ملاحظة بعد تثبيت التحديثات التي تم إصدارها في 21 سبتمبر 2021 أو إصدار لاحق، يمكنك تكوين نهج المجموعة هذا بنقطة أو نقطة (.) عناوين IP المحدده بشكل تبادلي مع أسماء مضيفين مؤهلين بالكامل.
-
في المربع عند تثبيت برامج التشغيل لمربع اتصال جديد، حدد إظهار التحذير والمطالبة المرتفعة.
-
في المربع عند تحديث برامج التشغيل لاتصال موجود، حدد إظهار التحذير والمطالبة المرتفعة.
-
انقر فوق موافق.
السماح للمستخدمين بالاتصال فقط بحزمة محددة من خوادم "نقاط الحزمة" و"الطباعة" التي تثق بها
سيقيد هذا النهج، نقطة الحزمة والطباعة - الخوادم المعتمدة، سلوك العميل للسماح فقط لاتصالات النقاط والطباعة للخوادم المعرفة التي تستخدم برامج تشغيل على علم بالحزمة.
استخدم الخطوات التالية:
-
في وحدة التحكم بالمجال، حدد بدء، وحدد أدوات إدارية، ثم حدد إدارة نهج المجموعة. بدلا من ذلك، حدد بدء، وحدد تشغيل، وا اكتب GPMC.MSC، ثم اضغط على Enter.
-
قم بتوسيع الغابات ثم قم بتوسيع المجالات.
-
ضمن مجالك، حدد OU حيث تريد إنشاء هذا النهج.
-
انقر بضغطة زر الماوس الأيمن فوق OU، ثم حدد إنشاء GPO في هذا المجال، وربطه هنا.
-
قم امنح "مجموعة GPO" اسما، ثم حدد موافق.
-
انقر ب الماوس الأيمن فوق كائن نهج المجموعة الذي تم إنشاؤه حديثا، ثم حدد تحرير لفتح محرر إدارة نهج المجموعة.
-
في محرر إدارة نهج المجموعة، قم بتوسيع المجلدات التالية:
-
تكوين الكمبيوتر
-
السياسات
-
القوالب الإدارية
-
الشرطة المحلية للكمبيوتر
-
الطابعات
-
-
تمكين نقطة الحزمة والطباعة - الخوادم المعتمدة وحدد الزر إظهار...
-
أدخل أسماء الخوادم المؤهلة بالكامل. افصل كل اسم باستخدام فقامة منقهة (;).
ملاحظة بعد تثبيت التحديثات التي تم إصدارها في 21 سبتمبر 2021 أو إصدار لاحق، يمكنك تكوين نهج المجموعة هذا بنقطة أو نقطة (.) عناوين IP المحدده بشكل تبادلي مع أسماء مضيفين مؤهلين بالكامل.
الأسئلة المتداولة
س1: في كل مرة أقوم فيها بمحاولة الطباعة، أتلقى مطالبة تقول "هل تثق بهذه الطابعة"، ويتطلب ذلك بيانات اعتماد المسؤول للمتابعة. هل هذا متوقع؟
A1:المطالبة بكل مهمة طباعة غير متوقعة. سيتم حل معظم البيئات أو الأجهزة التي تواجه هذه المشكلة عن طريق تثبيت التحديثات التي تم إصدارها في 12 أكتوبر 2021 أو إصدار لاحق. تعالج هذه التحديثات مشكلة تتعلق خوادم الطباعة والعملاء المطبوعين غير عاملين في المنطقة الزمنية نفسها.
إذا كنت لا تزال تواجه هذه المشكلة بعد تثبيت التحديثات التي تم إصدارها في 12 أكتوبر 2021 أو إصدار لاحق، فقد تحتاج إلى الاتصال بالشركة المصنعة للطابعة للحصول على برامج تشغيل محدثة. قد تحدث هذه المشكلة أيضا عندما يستخدم برنامج تشغيل الطباعة على عميل الطباعة وخادم الطباعة اسم الملف نفسه، ولكن الخادم يحتوي على إصدار أحدث من ملف برنامج التشغيل. عندما يتصل عميل الطباعة بخادم الطباعة، فإنه يعثر على ملف برنامج تشغيل أحدث ويطالب بتحديث برامج التشغيل على عميل الطباعة. ومع ذلك، لا يتضمن الملف في الحزمة المعروضة عليه التثبيت إصدار ملف برنامج التشغيل الأحدث.
الملفات التي يتم مقارنتها هي برامج التشغيل داخل مجلد spool، عادة في C:\Windows\System32\spool\drivers\x64\3 على كل من عميل الطباعة وخادم الطباعة. تكون حزمة برنامج التشغيل التي يتم تقديمها التثبيت عادة في C:\Windows\System32\spool\drivers\x64\PCC على خادم الطباعة. بعد مقارنة الملفات الموجودة في المجلد \3 بين الأجهزة، إذا لم تكن متطابقة، يتم تثبيت الحزمة في PCC . إذا لم تكن الملفات الموجودة في المجلد \3 الخاص بخادم الطباعة من برنامج تشغيل الطابعة نفسه الذي يقدمه PCC للعميل، سيقارن عميل الطباعة الملفات ويعثر على عدم التطابق في كل مرة يطبع فيها.
للحد من هذه المشكلة، تحقق من أنك تستخدم أحدث برامج التشغيل لجميع أجهزة الطباعة. استخدم الإصدار نفسه من برنامج تشغيل الطباعة على عميل الطباعة وخادم الطباعة، قدر الإمكان. إذا لم يحل تحديث برامج التشغيل في بيئتك المشكلة، فالرجاء الاتصال ب دعم الشركة المصنعة للطابعة (OEM).
الربع الثاني: لقد قمت بتثبيت التحديثات التي تم إصدارها في 14 سبتمبر 2021 ولا Windows الطباعة على طابعات الشبكة. هل هناك طلب أحتاج إليه لتثبيت التحديثات على عملاء الطباعة وخادمات الطباعة؟
A2: قبل تثبيت التحديثات التي تم إصدارها في 14 سبتمبر 2021 أو إصدار لاحق على خوادم الطباعة، يجب أن يكون لدى عملاء الطباعة تحديثات مثبتة تم إصدارها في 12 يناير 2021 أو إصدار لاحق. Windows طباعة الأجهزة إذا لم تكن قد قمت بتثبيت تحديث تم إصداره في 12 يناير 2021 أو إصدار لاحق.
ملاحظة لست بحاجة إلى تثبيت التحديثات السابقة، كما يمكنك تثبيت أي تحديث بعد 12 يناير 2021 على عملاء الطباعة. نوصي بتثبيت التحديث التراكمي الأخير على كل من العملاء و الخوادم.