Zusammenfassung
Windows Updates, die am 10. August 2021 oder höher veröffentlicht wurden, erfordern standardmäßig Administratorrechte, um Treiber installieren zu können. Wir haben diese Änderung im Standardverhalten vorgenommen, um das Risiko auf allen Windows-Geräten zu minimieren, einschließlich Geräten, die keine Punkt- und Druck- oder Druckfunktionen verwenden. Weitere Informationen finden Sie unter Änderung des Standardverhaltens von Point and Print undCVE-2021-34481.
Standardmäßig können Benutzer ohne Administratorberechtigungen die folgenden Optionen nicht mehr mithilfe von Punkt und Drucken ausführen:
-
Installieren neuer Drucker mithilfe von Treibern auf einem Remotecomputer oder Server
-
Aktualisieren vorhandener Druckertreiber mit Treibern von Remotecomputer oder Server
Hinweis Wenn Sie Point und Print nicht verwenden, sollten Sie von dieser Änderung nicht betroffen sein und sind nach der Installation der am 10. August 2021 oder höher veröffentlichten Updates standardmäßig geschützt.
Wichtig Druckclients in Ihrer Umgebung müssen über ein am 12. Januar 2021 oder höher veröffentlichtes Update verfügen, bevor Sie die Updates vom 14. September 2021 installieren können. Weitere Informationen finden Sie weiter unten unter "Häufig gestellte Fragen" unter Q2.
Ändern des Standardverhaltens der Treiberinstallation mithilfe eines Registrierungsschlüssels
Sie können dieses Standardverhalten mithilfe des Registrierungsschlüssels in der nachstehenden Tabelle ändern. Seien Sie jedoch bei Der Verwendung des Werts null (0) sehr vorsichtig, da die Geräte dadurch angreifbar werden. Wenn Sie in Ihrer Umgebung den Registrierungswert 0 verwenden müssen, empfiehlt es sich, ihn vorübergehend zu verwenden, während Sie Ihre Umgebung so anpassen, dass Windows-Geräte den Wert 1 (1) verwenden können.
Registrierungsspeicherort |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord name |
RestrictDriverInstallationToAdministrators |
Wertdaten |
Standardverhalten: Wenn Sie diesen Wert auf "1" festlegen oder der Schlüssel nicht definiert ist oder nicht vorhanden ist, benötigen Sie Administratorrechte, um bei Verwendung von Point and Print einen Druckertreiber zu installieren. Dieser Registrierungsschlüssel setzt alle Gruppenrichtlinieneinstellungen für Point und Print Restrictions außer Kraft und stellt sicher, dass nur Administratoren Druckertreiber von einem Druckserver mit Point and Print installieren können. Wenn Sie den Wert auf 0 festlegen, können Nichtadministratoren signierte und nicht signierte Treiber auf einem Druckserver installieren, aber die Einstellungen für Die Punkt- und Druckgruppenrichtlinie werden nicht überschrieben. Daher können die Gruppenrichtlinieneinstellungen für Punkt- und Druckeinschränkungen diese Registrierungsschlüsseleinstellung außer Kraft setzen, um zu verhindern, dass Nichtadministratoren signierte und nicht signierte Drucktreiber von einem Druckserver installieren. Einige Administratoren legen den Wert möglicherweise auf 0 fest, damit Nicht-Administratoren Treiber installieren und aktualisieren können, nachdem zusätzliche Einschränkungen hinzugefügt wurden, einschließlich des Hinzufügens einer Richtlinieneinstellung, die einschränkt, wo Treiber installiert werden können. Wichtig Es gibt keine Kombination von Abmilderungen, die dem Festlegen von RestrictDriverInstallationToAdministrators auf 1 entspricht. Hinweis Updates, die am 6. Juli 2021 oder höher veröffentlicht wurden, haben den Standardwert 0 (deaktiviert), bis die Installation der Updates veröffentlicht wird, die am 10. August 2021 oder höher veröffentlicht wurden. Updates, die am 10. August 2021 oder höher veröffentlicht wurden, haben den Standardwert 1 (aktiviert). |
Neustartanforderungen |
Beim Erstellen oder Ändern dieses Registrierungswerts ist kein Neustart erforderlich. |
Hinweis Windows werden den Registrierungsschlüssel nicht festgelegt oder geändert. Sie können den Registrierungsschlüssel vor oder nach der Installation von Updates festlegen, die am 10. August 2021 oder höher veröffentlicht wurden.
Automatisieren des Hinzufügens des Registrierungswerts RestrictDriverInstallationToAdministrators
Führen Sie die folgenden Schritte aus, um das Hinzufügen des Registrierungswerts RestrictDriverInstallationToAdministrators zu automatisieren:
-
Öffnen Sie ein Eingabeaufforderungsfenster (cmd.exe) mit erhöhten Berechtigungen.
-
Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Festlegen von RestrictDriverInstallationToAdministrators mithilfe von Gruppenrichtlinien
Nach der Installation von Updates, die am 12. Oktober 2021 oder höher veröffentlicht wurden, können Sie RestrictDriverInstallationToAdministrators auch mithilfe einer Gruppenrichtlinie festlegen, indem Sie die folgenden Anweisungen verwenden:
-
Öffnen Sie das Gruppenrichtlinien-Editor-Tool, und wechseln Sie zu > administrative Vorlagen> Drucker.
-
Legen Sie die Einstellung Limits für druckertreiberinstallation auf Administratoren auf "Aktiviert" festgelegt. Dadurch wird der Registrierungswert RestrictDriverInstallationToAdministrators auf 1 festgelegt.
Installieren von Druckertreibern, wenn die neue Standardeinstellung erzwungen wird
Wenn Sie RestrictDriverInstallationToAdministrators je nach Ihrer Umgebung als nicht definiert oder auf 1 festlegen, müssen die Benutzer Drucker mit einer der folgenden Methoden installieren:
-
Geben Sie einen Administratorbenutzernamen und ein Kennwort an, wenn Sie bei dem Versuch, einen Druckertreiber zu installieren, zur Eingabe von Anmeldeinformationen aufgefordert werden.
-
Fügen Sie die erforderlichen Druckertreiber in das Betriebssystembild ein.
-
Legen Sie zum Installieren von Druckertreibern vorübergehend RestrictDriverInstallationToAdministrators auf 0 festgelegt.
Hinweis Wenn Sie Druckertreiber nicht installieren können, auch wenn Sie über Administratorrechte verfügen, müssen Sie die Gruppenrichtlinie Nur Paketpunkt verwenden und Drucken deaktivieren.
Empfohlene Einstellungen und Teilbegrenzungen für Umgebungen, die nicht das Standardverhalten verwenden können
Die folgenden Entschärfungen können zur Sicherung aller Umgebungen beitragen, insbesondere, wenn Sie RestrictDriverInstallationToAdministrators auf 0 festlegen müssen. Diese Entschärfungen adressieren die Sicherheitsrisiken in CVE-2021-34481 nicht vollständig.
Wichtig Es gibt keine Kombination von Abmilderungen, die dem Festlegen von RestrictDriverInstallationToAdministrators auf 1 entspricht.
Überprüfen Sie, ob rpcAuthnLevelPrivacyEnabled auf 1 oder nicht definiert ist.
Überprüfen Sie, ob rpcAuthnLevelPrivacyEnabled auf 1 festgelegt ist oder nicht wie unter Verwalten der Bereitstellung von Änderungen an der RPC-Bindung des Druckers für CVE-2021-1678 (KB4599464) beschrieben ist.
Überprüfen, ob Sicherheitsaufforderungen für Punkt und Drucken aktiviert sind
Überprüfen Sie, ob Sicherheitsaufforderungen für Punkt und Drucken aktiviert sind, wie in KB5005010 beschrieben: Einschränken der Installation neuer Druckertreiber nach dem Anwenden der Updates vom 6. Juli 2021.
Zulassen, dass Benutzer nur eine Verbindung mit bestimmten Druckservern herstellen, denen Sie vertrauen
Diese Richtlinie (Punkt- und Druckeinschränkungen) gilt für Punkt- und Druckdrucker, die einen Treiber verwenden, der nicht für das Paket geeignet ist, auf dem Server.
Verwenden Sie die folgenden Schritte:
-
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).
-
Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole zu der Domäne oder Organisationseinheit, in der die Benutzerkonten, für die Sie die Sicherheitseinstellungen des Druckertreibers ändern möchten, speichern.
-
Klicken Sie mit der rechten Maustaste auf die entsprechende Domäne oder Organisationseinheit, klicken Sie auf Gruppenrichtlinienobjekt in dieser Domäne erstellen und dann auf Hier verknüpfen.Geben Sie einen Namen für das neue Gruppenrichtlinienobjekt (Group Policy Object, GPO) ein, und klicken Sie dann auf OK.
-
Klicken Sie mit der rechten Maustaste auf das erstellte Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.
-
Klicken Sie im Fenster Gruppenrichtlinienverwaltungs-Editor auf Computerkonfiguration, klicken Sie auf Richtlinien, klicken Sie auf Administrative Vorlagen, und klicken Sie dann auf Drucker.
-
Klicken Sie mit der rechten Maustaste auf Punkt- und Druckeinschränkungen, und klicken Sie dann auf Bearbeiten.
-
Klicken Sie im Dialogfeld Punkt- und Druckeinschränkungen auf Aktiviert.
-
Aktivieren Sie das Kontrollkästchen Benutzer können nur auf diese Server zeigen und drucken, wenn es noch nicht aktiviert ist.
-
Geben Sie die vollqualifizierten Servernamen ein. Trennen Sie die einzelnen Namen durch ein Semikolon (;).
Hinweis Nach der Installation von Updates, die am 21. September 2021 oder höher veröffentlicht wurden, können Sie diese Gruppenrichtlinie mit einem Punkt oder Punkt (.) konfigurieren. Durch Trennzeichen getrennte IP-Adressen austauschbar mit vollqualifizierten Hostnamen.
-
Wählen Sie im Feld Beim Installieren von Treibern für eine neue Verbindung die Option Warnung anzeigen und Eingabeaufforderung mit erhöhten Rechten aus.
-
Wählen Sie im Feld Beim Aktualisieren von Treibern für eine vorhandene Verbindung die Option Warnung anzeigen und Eingabeaufforderung mit erhöhten Rechten aus.
-
Klicken Sie auf OK.
Zulassen, dass Benutzer nur eine Verbindung mit bestimmten Paketpunkt- und Druckservern herstellen, denen Sie vertrauen
Diese Richtlinie, Package Point und Print - Approved servers, schränkt das Clientverhalten ein, um nur Point- und Print-Verbindungen zu definierten Servern zu erlauben, die paketbewusste Treiber verwenden.
Verwenden Sie die folgenden Schritte:
-
Wählen Sie auf dem Domänencontroller Start, anschließend Verwaltungstools und dann Gruppenrichtlinienverwaltung aus. Wählen Sie alternativ Start aus, wählen Sie Ausführen aus, geben Sie GPMC.MSC ein, und drücken Sie dann die EINGABETASTE.
-
Erweitern Sie die Gesamtstruktur, und erweitern Sie dann die Domänen.
-
Wählen Sie unter Ihrer Domäne die Organisationseinheit aus, in der Sie diese Richtlinie erstellen möchten.
-
Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, wählen Sie dann Gruppenrichtlinienobjekt in dieser Domäne erstellen aus , und verknüpfen Sie es hier.
-
Geben Sie dem Gruppenrichtlinienobjekt einen Namen, und wählen Sie OK aus.
-
Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus , um den Gruppenrichtlinien-Verwaltungs-Editor zu öffnen.
-
Erweitern Sie im Gruppenrichtlinien-Verwaltungs-Editor die folgenden Ordner:
-
Computerkonfiguration
-
Richtlinien
-
Administrative Vorlagen
-
Lokale Computerpoligen
-
„Drucker“
-
-
Aktivieren Sie "Package Point" und "Print - Approved servers" , und wählen Sie die Schaltfläche Anzeigen aus .
-
Geben Sie die vollqualifizierten Servernamen ein. Trennen Sie die einzelnen Namen durch ein Semikolon (;).
Hinweis Nach der Installation von Updates, die am 21. September 2021 oder höher veröffentlicht wurden, können Sie diese Gruppenrichtlinie mit einem Punkt oder Punkt (.) konfigurieren. Durch Trennzeichen getrennte IP-Adressen austauschbar mit vollqualifizierten Hostnamen.
Häufig gestellte Fragen
F1: Bei jedem Versuch, zu drucken, wird die Eingabeaufforderung "Vertrauen Sie diesem Drucker" angezeigt, und es sind Administratoranmeldeinformationen erforderlich, um den Druck fortsetzen zu können. Wird das erwartet?
A1: Es wird nicht erwartet, dass Sie zu jedem Druckauftrag aufgefordert werden. Die meisten Umgebungen oder Geräte, in denen dieses Problem vor sich geht, werden durch die Installation von Updates behoben, die am 12. Oktober 2021 oder höher veröffentlicht wurden. Diese Updates beheben ein Problem im Zusammenhang mit Druckservern und Druckclients, die sich nicht in derselben Zeitzone befinden.
Wenn dieses Problem nach der Installation von Updates, die am 12. Oktober 2021 oder höher veröffentlicht wurden, weiterhin vor sich hat, müssen Sie sich möglicherweise an den Hersteller Ihres Druckers wenden, um aktualisierte Treiber zu erhalten. Dieses Problem kann auch auftreten, wenn ein Druckertreiber auf dem Druckclient und der Druckserver denselben Dateinamen verwenden, der Server aber über eine neuere Version der Treiberdatei verfügt. Wenn der Druckclient eine Verbindung mit dem Druckserver herstellt, findet er eine neuere Treiberdatei und wird aufgefordert, die Treiber auf dem Druckclient zu aktualisieren. Die Datei in dem zur Installation angebotenen Paket enthält jedoch nicht die neuere Treiberdateiversion.
Bei den verglichenen Dateien handelt es sich um die Treiber im Ordner "Spool", normalerweise unter "C:\Windows\System32\spool\drivers\x64\3" sowohl auf dem Druckclient als auch auf dem Druckserver. Das zur Installation angebotene Treiberpaket ist in der Regel auf dem Druckserver unter "C:\Windows\System32\spool\drivers\x64\PCC" zu finden. Nachdem die Dateien im Ordner "\3 " zwischen Geräten verglichen wurden und nicht übereinstimmen, wird das Paket in PCC installiert. Wenn die Dateien im Ordner " \3 " des Druckservers nicht von dem druckertreibern sind, den PCC für den Client bietet, vergleicht der Druckclient die Dateien und findet bei jedem Druck die Konflikte.
Um dieses Problem zu verringern, stellen Sie sicher, dass Sie die neuesten Treiber für alle Ihre Druckgeräte verwenden. Verwenden Sie nach Möglichkeit auf dem Druckclient und Druckserver dieselbe Version des Druckertreibers. Wenn das Problem durch Aktualisieren von Treibern in Ihrer Umgebung nicht behoben werden kann, wenden Sie sich an den Support Ihres Druckerherstellers (OEM).
F2: Ich habe die am 14. September 2021 veröffentlichten Updates installiert, und einige Windows können nicht auf Netzwerkdruckern gedruckt werden. Gibt es eine Bestellung, in der ich Updates auf Druckclients und Druckservern installieren muss?
A2: Vor der Installation von Updates, die am 14. September 2021 oder höher auf Druckservern veröffentlicht wurden, müssen Druckclients die am 12. Januar 2021 oder höher veröffentlichten Updates installiert haben. Windows werden nicht gedruckt, wenn sie kein update installiert haben, das am 12. Januar 2021 oder höher veröffentlicht wurde.
Hinweis Sie müssen keine früheren Updates installieren und können nach dem 12. Januar 2021 ein beliebiges Update auf Druckclients installieren. Wir empfehlen, das neueste kumulative Update sowohl auf Clients als auch auf Servern zu installieren.