Resumen

Windows actualizaciones publicadas el 10 de agosto de 2021 y posteriores requerirán, de forma predeterminada, privilegios administrativos para instalar controladores. Hemos realizado este cambio en el comportamiento predeterminado para abordar el riesgo en todos los dispositivos Windows, incluidos los dispositivos que no usan la funcionalidad de impresión o punto. Para obtener más información, vea Cambio de comportamiento predeterminado de punto e impresión y CVE-2021-34481.  

De forma predeterminada, los usuarios que no sean administradores ya no podrán hacer lo siguiente con Punto e Imprimir sin una elevación de privilegios para el administrador:

  • Instalar impresoras nuevas con controladores en un equipo o servidor remoto

  • Actualizar controladores de impresora existentes con controladores de un equipo o servidor remoto

Nota Si no usa Punto e Impresión, este cambio no le afecta y estará protegido de forma predeterminada después de instalar las actualizaciones publicadas el 10 de agosto de 2021 o posteriores.

Importante La impresión de clientes en su entorno debe tener una actualización publicada el 12 de enero de 2021 o posterior antes de instalar las actualizaciones, el 14 de septiembre de 2021.  Vea la Q2 en "Preguntas más frecuentes" a continuación para obtener más información.

Modificar el comportamiento predeterminado de instalación del controlador con una clave del Registro

Puede modificar este comportamiento predeterminado con la clave del Registro en la tabla siguiente. Sin embargo, tenga mucho cuidado al usar un valor de cero (0) porque hacerlo hace que los dispositivos sean vulnerables. Si debe usar el valor del Registro de 0 en su entorno, le recomendamos que lo use temporalmente mientras ajusta el entorno para permitir que los dispositivos Windows usen el valor de uno (1).   

Ubicación del Registro

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord name

RestrictDriverInstallationToAdministrators

Datos de valor

Comportamiento predeterminado: Establecer este valor en 1o si la clave no está definida o no está presente, requerirá privilegios de administrador para instalar cualquier controlador de impresora al usar Punto e Imprimir. Esta clave del Registro invalidará toda la configuración de directiva de grupo Restricciones de impresión y puntos y garantiza que solo los administradores puedan instalar controladores de impresora desde un servidor de impresión con Punto e Impresión.

Establecer el valor en 0 permite a los no administradores instalar controladores firmados y sin firmar en un servidor de impresión, pero no reemplaza la configuración de directiva de grupo de puntos e impresión. Por lo tanto, la configuración de directiva de grupo Restricciones de impresión y punto puede invalidar esta configuración de clave del Registro para impedir que los no administradores instalen controladores de impresión firmados y sin firmar desde un servidor de impresión. Es posible que algunos administradores establezcan el valor en 0 para permitir que los no administradores instalen y actualicen controladores después de agregar restricciones adicionales, incluida la adición de una configuración de directiva que limite el lugar desde el que se pueden instalar los controladores.

Importante No hay ninguna combinación de mitigaciones que equivale a establecer RestrictDriverInstallationToAdministrators en 1.

Nota Las actualizaciones publicadas el 6 de julio de 2021 o posteriores tienen un valor predeterminado de 0 (deshabilitado) hasta la instalación de las actualizaciones publicadas el 10 de agosto de 2021 o posterior.  Las actualizaciones publicadas el 10 de agosto de 2021 o posteriores tienen un valor predeterminado de 1 (habilitado).

Requisitos de reinicio

No es necesario reiniciar al crear o modificar este valor del Registro.

Nota Windows actualizaciones no establecerán ni cambiarán la clave del Registro. Puede establecer la clave del Registro antes o después de instalar las actualizaciones publicadas el 10 de agosto de 2021 o posterior.

Automatizar la adición del valor del Registro RestrictDriverInstallationToAdministrators

Para automatizar la adición del valor del Registro RestrictDriverInstallationToAdministrators, siga estos pasos:

  1. Abra una ventana del símbolo del sistema (cmd.exe) con permisos elevados.

  2. Escriba el comando siguiente y presione Entrar:

    reg agregar "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Establecer RestrictDriverInstallationToAdministrators con directiva de grupo

Después de instalar actualizaciones publicadas el 12 de octubre de 2021 o posteriores, también puede establecer RestrictDriverInstallationToAdministrators con una directiva de grupo, con las siguientes instrucciones:

  1. Abra la herramienta editor de directivas de grupo y vaya a Configuración del equipo> plantillas administrativas > impresoras. 

  2. Establezca la configuración Límites de instalación del controlador de impresión en Administradores en "Habilitado". Esto establecerá el valor del Registro de RestrictDriverInstallationToAdministrators en 1.

Instalar controladores de impresión cuando se aplique la nueva configuración predeterminada

Si establece RestrictDriverInstallationToAdministrators como no definido o en 1, dependiendo de su entorno, los usuarios deben usar uno de los siguientes métodos para instalar impresoras:

  • Proporcione un nombre de usuario y una contraseña de administrador cuando se le soliciten credenciales al intentar instalar un controlador de impresora.

  • Incluya los controladores de impresora necesarios en la imagen del sistema operativo.

  • Establezca temporalmente RestrictDriverInstallationToAdministrators en 0 para instalar controladores de impresora.

Nota Si no puede instalar controladores de impresora, incluso con privilegios de administrador, debe deshabilitar la Directiva de grupo Solo usar punto de paquete e Imprimir.

Configuración recomendada y mitigaciones parciales para entornos que no pueden usar el comportamiento predeterminado

Las siguientes mitigaciones pueden ayudar a proteger todos los entornos, pero especialmente si debe establecer RestrictDriverInstallationToAdministrators en 0. Estas mitigaciones no abordan por completo las vulnerabilidades de CVE-2021-34481.

Importante No hay ninguna combinación de mitigaciones que equivale a establecer RestrictDriverInstallationToAdministrators en 1.

Compruebe que RpcAuthnLevelPrivacyEnabled está establecido en 1 o no definido

Compruebe que RpcAuthnLevelPrivacyEnabled está establecido en 1 o no definido como se describe en Administrar la implementación de cambios de enlace RPC de impresora para CVE-2021-1678 (KB4599464).

Comprobar que las indicaciones de seguridad están habilitadas para punto e impresión

Compruebe que las indicaciones de seguridad están habilitadas para Apuntar e imprimir, como se describe en KB5005010: Restringir la instalación de nuevos controladores de impresora después de aplicar las actualizaciones del 6 de julio de 2021. 

Permitir que los usuarios solo se conecten a servidores de impresión específicos en los que confía

Esta directiva, Restricciones de punto e impresión, se aplica a las impresoras de punto e impresión con un controlador que no es consciente del paquete en el servidor. 

Siga estos pasos:

  1. Abra la Consola de administración de directivas de grupo (GPMC).

  2. En el árbol de consola de GPMC, vaya al dominio o unidad organizativa (OU) que almacena las cuentas de usuario para las que desea modificar la configuración de seguridad del controlador de impresora.

  3. Haga clic con el botón derecho en el dominio o unidad organizativa adecuado y haga clic en Crear un GPO en este dominio y Vincule aquí.Escriba un nombre para el nuevo objeto de directiva de grupo (GPO) y, a continuación, haga clic en Aceptar.

  4. Haga clic con el botón derecho en el GPO que creó y, a continuación, haga clic en Editar.

  5. En la ventana Editor de administración de directivas de grupo, haga clic en Configuración del equipo, haga clic en Directivas,en Plantillas administrativas y, a continuación, en Impresoras.

  6. Haga clic con el botón derecho en Restricciones de punto e impresión y, a continuación, haga clic en Editar.

  7. En el cuadro de diálogo Restricciones de impresión y punto , haga clic en Habilitado.

  8. Seleccione la casilla Los usuarios solo pueden apuntar e imprimir en estos servidores si aún no está seleccionado.

  9. Escriba los nombres de servidor completos. Separe cada nombre con un punto y coma (;).

    Nota Después de instalar actualizaciones publicadas el 21 de septiembre de 2021 o posterior, puede configurar esta directiva de grupo con un punto o punto (.) direcciones IP delimitadas indistintamente con nombres de host completos.

  10. En el cuadro Al instalar controladores para una nueva conexión , seleccione Mostrar advertencia y Mensaje elevado.

  11. En el cuadro Al actualizar controladores para una conexión existente , seleccione Mostrar advertencia y Mensaje elevado.

  12. Haz clic en Aceptar.

Permitir que los usuarios solo se conecten a servidores de punto de paquete e impresión específicos en los que confía

Esta directiva, Punto de paquete e Impresión: servidores aprobados, restringirá el comportamiento del cliente para permitir solo las conexiones de punto e impresión a servidores definidos que usan controladores que admiten paquetes.

Siga estos pasos:

  1. En el controlador de dominio, seleccione Inicio, Herramientas administrativas y, después, Administración de directivas de grupo. Como alternativa, seleccione Inicio, seleccione Ejecutar, escriba GPMC.MSC y, después, presione Entrar.

  2. Expanda el bosque y, a continuación, expanda los dominios.

  3. En su dominio, seleccione la unidad organizativa donde desea crear esta directiva.

  4. Haga clic con el botón derecho en la unidad organizativa y, a continuación , seleccione Crear un GPO en este dominio y vincule aquí.

  5. Asigne un nombre al GPO y, a continuación, seleccione Aceptar.

  6. Haga clic con el botón derecho en el objeto de directiva de grupo recién creado y, a continuación, seleccione Editar para abrir el Editor de administración de directivas de grupo.

  7. En el Editor de administración de directivas de grupo, expanda las carpetas siguientes:

    1. Configuración del equipo

    2. Directivas

    3. Plantillas administrativas

    4. Policías informáticas locales

    5. Impresoras

  8. Habilitar punto de paquete e imprimir: servidores aprobados y selecciona el botón Mostrar....

  9. Escriba los nombres de servidor completos. Separe cada nombre con un punto y coma (;).

    Nota Después de instalar actualizaciones publicadas el 21 de septiembre de 2021 o posterior, puede configurar esta directiva de grupo con un punto o punto (.) direcciones IP delimitadas indistintamente con nombres de host completos.

Preguntas frecuentes

P1: Cada vez que intento imprimir, recibo un mensaje que dice" ¿Confía en esta impresora? y requiere credenciales de administrador para continuar.  ¿Se espera esto?

A1:No se espera que se le solicite cada trabajo de impresión. La mayoría de los entornos o dispositivos que experimentan este problema se resolverán instalando actualizaciones publicadas el 12 de octubre de 2021 o posterior.  Estas actualizaciones abordan un problema relacionado con los servidores de impresión y los clientes de impresión que no están en la misma zona horaria. 

Si sigue teniendo este problema después de instalar las actualizaciones publicadas el 12 de octubre de 2021 o posterior, es posible que tenga que ponerse en contacto con el fabricante de la impresora para obtener controladores actualizados.  Este problema también puede ocurrir cuando un controlador de impresión en el cliente de impresión y el servidor de impresión usan el mismo nombre de archivo, pero el servidor tiene una versión más reciente del archivo de controlador. Cuando el cliente de impresión se conecta al servidor de impresión, encuentra un archivo de controlador más reciente y se le pide que actualice los controladores en el cliente de impresión. Sin embargo, el archivo del paquete que se ofrece para la instalación no incluye la versión más reciente del archivo de controlador. 

Los archivos que se comparan son los controladores de la carpeta de cola de impresión, normalmente en C:\Windows\System32\spool\drivers\x64\3 en el cliente de impresión y el servidor de impresión.  El paquete de controlador que se ofrece para la instalación normalmente estará en C:\Windows\System32\spool\drivers\x64\PCC en el servidor de impresión.  Una vez que los archivos de la carpeta \3 se comparan entre dispositivos, si no coinciden, se instala el paquete en PCC .  Si los archivos de la carpeta \3 del servidor de impresión no son del mismo controlador de impresora que PCC ofrece al cliente, el cliente de impresión comparará los archivos y encontrará la falta de coincidencia cada vez que imprima. 

Para mitigar este problema, compruebe que usa los controladores más recientes para todos los dispositivos de impresión.  Siempre que sea posible, use la misma versión del controlador de impresión en el cliente de impresión y el servidor de impresión. Si la actualización de controladores en su entorno no resuelve el problema, póngase en contacto con el soporte técnico del fabricante de la impresora (OEM).

P2: He instalado actualizaciones publicadas el 14 de septiembre de 2021 y algunos Windows no se pueden imprimir en impresoras de red.  ¿Hay un pedido que necesito para instalar actualizaciones en clientes de impresión y servidores de impresión?

A2: Antes de instalar actualizaciones publicadas el 14 de septiembre de 2021 o posterior en servidores de impresión, los clientes de impresión deben haber instalado actualizaciones publicadas el 12 de enero de 2021 o posterior. Windows dispositivos no se imprimirán si no han instalado una actualización publicada el 12 de enero de 2021 o posterior. 

Nota No es necesario instalar actualizaciones anteriores y puede instalar cualquier actualización después del 12 de enero de 2021 en los clientes de impresión.  Le recomendamos que instale la actualización acumulativa más reciente en clientes y servidores.

Recursos

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.