Shrnutí
Aktualizace Windows vydané 10. srpna 2021 a novější budou ve výchozím nastavení vyžadovat oprávnění správce k instalaci ovladačů. Tuto změnu výchozího chování jsme provedli, abychom vyřešili riziko na všech zařízeních s Windows, včetně zařízení, která nepoužívají funkci ukázat a tisknout nebo tisknout. Další informace najdete v tématech Změna výchozího chování pointování a tiskua CVE-2021-34481.
Ve výchozím nastavení nebudou moct uživatelé bez oprávnění správce provádět pomocí funkce Ukázat a tisknout následující akce bez zvýšení oprávnění správce:
-
Instalace nových tiskáren pomocí ovladačů na vzdáleném počítači nebo serveru
-
Aktualizace existujících ovladačů tiskárny pomocí ovladačů ze vzdáleného počítače nebo serveru
Poznámka Pokud nepoužíváte funkci Ukázat a tisknout, neměla by se vás tato změna týkat a po instalaci aktualizací vydaných 10. srpna 2021 nebo novějších bude tato změna ve výchozím nastavení chráněna.
Důležité Tiskoví klienti ve vašem prostředí musí mít aktualizaci vydanou 12. ledna 2021 nebo novější, než nainstalujete aktualizace vydané 14. září 2021. Další informace najdete v části Otázky 2 v části Nejčastější dotazy níže.
Úprava výchozího chování instalace ovladače pomocí klíče registru
Toto výchozí chování můžete upravit pomocí klíče registru v následující tabulce. Při použití hodnoty nula (0) ale buďte velmi opatrní, protože to způsobí, že zařízení jsou zranitelná. Pokud musíte ve svém prostředí použít hodnotu registru 0, doporučujeme ji používat dočasně, zatímco upravujete prostředí tak, aby zařízení s Windows mohla používat hodnotu jedné (1).
Umístění registru |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Název DWord |
RestrictDriverInstallationToAdministrators |
Data hodnoty |
Výchozí chování: Nastavení této hodnoty na 1 nebo pokud klíč není definován nebo neexistuje, bude vyžadovat oprávnění správce k instalaci libovolného ovladače tiskárny při použití funkce Ukázat a tisknout. Tento klíč registru přepíše všechna omezení funkce Point and Print Zásady skupiny nastavení a zajistí, aby ovladače tiskárny z tiskového serveru mohli instalovat jenom správci pomocí funkce Ukázat a tisknout. Nastavení hodnoty na 0 umožňuje uživatelům bez oprávnění správce instalovat podepsané a nepodepsané ovladače na tiskový server, ale nepřepíše nastavení Zásady skupiny ukázat a tisknout. V důsledku toho nastavení omezení Zásady skupiny zobrazení a tisku může přepsat toto nastavení klíče registru, aby zabránilo nesprávci v instalaci podepsaných a nepodepsaných ovladačů tisku z tiskového serveru. Někteří správci můžou nastavit hodnotu na 0, aby mohli uživatelé, kteří nejsou správci, instalovat a aktualizovat ovladače po přidání dalších omezení, včetně přidání nastavení zásad, které omezuje, odkud se ovladače dají nainstalovat. Důležité Neexistuje žádná kombinace zmírnění rizik, která by byla ekvivalentní nastavení RestrictDriverInstallationToAdministrators na hodnotu 1. Poznámka Aktualizace vydané 6. července 2021 nebo novější mají výchozí hodnotu 0 (zakázáno) až do instalace aktualizací vydaných 10. srpna 2021 nebo novějších. Aktualizace vydané 10. srpna 2021 nebo novějším mají výchozí hodnotu 1 (povoleno). |
Požadavky na restartování |
Při vytváření nebo úpravě této hodnoty registru se nevyžaduje restartování. |
Poznámka Aktualizace systému Windows nenastaví ani nezmění klíč registru. Klíč registru můžete nastavit před nebo po instalaci aktualizací vydaných 10. srpna 2021 nebo novější.
Automatizace přidání hodnoty registru RestrictDriverInstallationToAdministrators
Pokud chcete automatizovat přidání hodnoty registru RestrictDriverInstallationToAdministrators, postupujte takto:
-
Otevřete okno příkazového řádku (cmd.exe) se zvýšenými oprávněními.
-
Zadejte následující příkaz a stiskněte enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Nastavení RestrictDriverInstallationToAdministrators pomocí Zásady skupiny
Po instalaci aktualizací vydaných 12. října 2021 nebo novějších můžete také nastavit RestrictDriverInstallationToAdministrators pomocí Zásady skupiny pomocí následujících pokynů:
-
Otevřete nástroj Editor zásad skupiny a přejděte na Konfigurace počítače > Šablony pro správu > Tiskárny.
-
Nastavení Omezení instalace ovladače tisku na hodnotu Správci nastavte na Povoleno. Tím nastavíte hodnotu registru RestrictDriverInstallationToAdministrators na 1.
Instalace ovladačů tisku při vynucení nového výchozího nastavení
Pokud nastavíte RestrictDriverInstallationToAdministrators jako nedefinované nebo na hodnotu 1, v závislosti na vašem prostředí musí uživatelé k instalaci tiskáren použít jednu z následujících metod:
-
Po zobrazení výzvy k zadání přihlašovacích údajů při pokusu o instalaci ovladače tiskárny zadejte uživatelské jméno a heslo správce.
-
Do image operačního systému zahrňte potřebné ovladače tiskárny.
-
Pokud chcete nainstalovat ovladače tiskárny, dočasně nastavte RestrictDriverInstallationToAdministrators na hodnotu 0.
Poznámka Pokud nemůžete nainstalovat ovladače tiskárny, a to ani s oprávněním správce, musíte zakázat Zásady skupiny použít pouze bod a tisk balíčku.
Doporučená nastavení a částečná zmírnění rizik pro prostředí, která nemůžou používat výchozí chování
Následující omezení rizik můžou pomoct zabezpečit všechna prostředí, ale zejména pokud musíte nastavit RestrictDriverInstallationToAdministrators na hodnotu 0. Tato zmírnění rizik neřeší úplně chyby zabezpečení uvedené v cve-2021-34481.
Důležité Neexistuje žádná kombinace zmírnění rizik, která by byla ekvivalentní nastavení RestrictDriverInstallationToAdministrators na hodnotu 1.
Ověřte, že je hodnota RpcAuthnLevelPrivacyEnabled nastavená na hodnotu 1 nebo není definována.
Ověřte, jestli je hodnota RpcAuthnLevelPrivacyEnabled nastavená na hodnotu 1 nebo není definována podle popisu v tématu Správa nasazení změn vazeb RPC tiskárny pro CVE-2021-1678 (KB4599464).
Ověřte, že jsou pro funkci Point and Print povolené výzvy zabezpečení.
Ověřte, že jsou pro funkci Ukázat a tisk povolené výzvy zabezpečení, jak je popsáno v článku KB5005010: Omezení instalace nových ovladačů tiskárny po použití aktualizací ze 6. července 2021.
Povolit uživatelům připojení pouze ke konkrétním tiskovým serverům, kterým důvěřujete
Tato zásada, Omezení pointu a tisku, se vztahuje na tiskárny point a tisk pomocí ovladače, který na serveru nerozepisuje balíčky.
Postupujte následovně:
-
Otevřete konzolu pro správu Zásady skupiny (GPMC).
-
Ve stromu konzoly konzoly GPMC přejděte k doméně nebo organizační jednotce, ve které jsou uložené uživatelské účty, pro které chcete změnit nastavení zabezpečení ovladače tiskárny.
-
Klikněte pravým tlačítkem na příslušnou doménu nebo organizační jednotky, klikněte na Vytvořit objekt zásad_zásad_ v této doméně a sem ho propojit.Zadejte název nového objektu Zásady skupiny (GPO) a klikněte na OK.
-
Klikněte pravým tlačítkem na objekt zásad a potom klikněte na Upravit.
-
V okně editoru správy Zásady skupiny klikněte na Konfigurace počítače, na Zásady, na Šablony pro správu a potom na Tiskárny.
-
Klikněte pravým tlačítkem myši na Omezení zobrazení a tisku a potom klikněte na Upravit.
-
V dialogovém okně Omezení zobrazení a tisku klikněte na Povoleno.
-
Zaškrtněte políčko Uživatelé mohou odkazovat a tisknout pouze na tyto servery , pokud ještě není zaškrtnuté.
-
Zadejte plně kvalifikované názvy serverů. Jednotlivé názvy oddělte středníkem (;).
Poznámka Po instalaci aktualizací vydaných 21. září 2021 nebo novějších můžete tyto zásady skupiny nakonfigurovat s tečkou nebo tečkou (.) IP adresy oddělené zaměnitelně s plně kvalifikovanými názvy hostitelů.
-
V poli Při instalaci ovladačů pro nové připojení vyberte Zobrazit upozornění a Výzva se zvýšenými oprávněními.
-
V poli Při aktualizaci ovladačů pro existující připojení vyberte Zobrazit upozornění a Výzva se zvýšenými oprávněními.
-
Klikněte na OK.
Povolit uživatelům připojit se pouze ke konkrétním serverům pro bod a tisk balíčků, kterým důvěřujete
Tato zásada, bod balíčku a tisk – schválené servery, omezí chování klienta tak, aby povolovala připojení typu Point a Print pouze k definovaným serverům, které používají ovladače podporující balíčky.
Postupujte následovně:
-
Na řadiči domény vyberte Start, vyberte Nástroje pro správu a pak vyberte správa Zásady skupiny. Případně vyberte Start, vyberte Spustit, zadejte GPMC.MSC a stiskněte klávesu Enter.
-
Rozbalte doménovou strukturu a pak rozbalte domény.
-
V části vaše doména vyberte organizační jednotky, ve které chcete tuto zásadu vytvořit.
-
Klikněte pravým tlačítkem na organizační jednotky a pak vyberte Vytvořit objekt zásad_ v této doméně a propojte ho sem.
-
Pojmenujte objekt zásad a pak vyberte OK.
-
Klikněte pravým tlačítkem na nově vytvořený objekt Zásady skupiny a pak vyberte Upravit. Otevře se Editor správy Zásady skupiny.
-
V editoru Zásady skupiny Management Rozbalte následující složky:
-
Konfigurace počítače
-
Politiky
-
Šablony pro správu
-
Zásady místního počítače
-
Tiskárny
-
-
Povolte balíček Point and Print – Schválené servery a vyberte tlačítko Zobrazit.
-
Zadejte plně kvalifikované názvy serverů. Jednotlivé názvy oddělte středníkem (;).
Poznámka Po instalaci aktualizací vydaných 21. září 2021 nebo novějších můžete tyto zásady skupiny nakonfigurovat s tečkou nebo tečkou (.) IP adresy oddělené zaměnitelně s plně kvalifikovanými názvy hostitelů.
Nejčastější dotazy
Otázka 1: Pokaždé, když se pokusím tisknout, zobrazí se výzva "Důvěřujete této tiskárně" a k pokračování se vyžadují přihlašovací údaje správce. Je to očekávané?
A1: Zobrazení výzvy pro každou tiskovou úlohu se neočekává. Většina prostředí nebo zařízení s tímto problémem se vyřeší instalací aktualizací vydaných 12. října 2021 nebo novějších. Tyto aktualizace řeší problém související s tím, že tiskové servery a tisková klienti nejsou ve stejném časovém pásmu.
Pokud tento problém přetrvává i po instalaci aktualizací vydaných 12. října 2021 nebo novějších, možná budete muset požádat výrobce tiskárny o aktualizované ovladače. K tomuto problému může dojít také v případě, že ovladač tisku na tiskovém klientovi a tiskovém serveru používají stejný název souboru, ale server má novější verzi souboru ovladače. Když se tiskový klient připojí k tiskovému serveru, najde novější soubor ovladače a zobrazí se výzva k aktualizaci ovladačů v tiskovém klientovi. Soubor v balíčku, který je nabízen k instalaci, však neobsahuje novější verzi souboru ovladače.
Porovnávané soubory jsou ovladače ve složce zařazování, obvykle ve složce C:\Windows\System32\spool\drivers\x64\3 na tiskovém klientovi i na tiskovém serveru. Balíček ovladačů nabízený k instalaci bude obvykle na tiskovém serveru ve složce C:\Windows\System32\spool\drivers\x64\PCC . Po porovnání souborů ve složce \3 mezi zařízeními, pokud se neshodují, je nainstalován balíček v PCC . Pokud soubory ve složce \3 tiskového serveru nejsou ze stejného ovladače tiskárny, který PCC nabízí klientovi, tiskový klient porovná soubory a zjistí neshodu při každém tisku.
Pokud chcete tento problém zmírnit, ověřte, že používáte nejnovější ovladače pro všechna tisková zařízení. Pokud je to možné, použijte stejnou verzi tiskového ovladače na tiskovém klientovi i na tiskovém serveru. Pokud aktualizace ovladačů ve vašem prostředí problém nevyřeší, obraťte se na podporu výrobce tiskárny (OEM).
Otázka 2: Nainstaloval(a) jsem aktualizace vydané 14. září 2021 a některá zařízení s Windows nemůžou tisknout na síťových tiskárnách. Je potřeba nainstalovat aktualizace na tiskové klienty a tiskové servery?
A2: Před instalací aktualizací vydaných 14. září 2021 nebo novějších na tiskové servery musí mít tiskoví klienti nainstalované aktualizace vydané 12. ledna 2021 nebo novější. Zařízení s Windows se nevytisknou, pokud nemají nainstalovanou aktualizaci vydanou 12. ledna 2021 nebo novější.
Poznámka Nemusíte instalovat dřívější aktualizace a po 12. lednu 2021 můžete na tiskových klientech nainstalovat jakoukoli aktualizaci. Doporučujeme nainstalovat nejnovější kumulativní aktualizaci na klienty i servery.