Yhteenveto
Windows 10. elokuuta 2021 ja sitä uudempien päivityksien asentamiseen vaaditaan oletusarvoisesti järjestelmänvalvojan oikeudet. Olemme tehneet tämän oletusasetuksen muutoksen, joka vastaa kaikkien laitteiden Windows, mukaan lukien laitteet, jotka eivät käytä Piste- ja Tulostus- tai Tulostus-toimintoja. Lisätietoja on kohdassa Pisteen ja tulostuksen oletusasetusten muuttaminen jaCVE-2021-34481.
Oletusarvoisesti muut kuin järjestelmänvalvojat käyttäjät eivät voi enää tehdä seuraavaa Point- ja Print-käyttöoikeuksien avulla ilman järjestelmänvalvojan oikeuksia:
-
Uusien tulostimien asentaminen ohjaimia käyttämällä etätietokoneessa tai palvelimessa
-
Aiemmin luotujen tulostinohjainten päivittäminen etätietokoneen tai palvelimen ohjainten avulla
Huomautus Jos et käytä Piste- ja Tulosta-asetuksia, tämä muutos ei koske sinua, ja se suojataan oletusarvoisesti 10. elokuuta 2021 julkaistujen päivitysten asentamisen jälkeen.
Tärkeää Tulostuksessa ympäristössäsi on oltava päivitys, joka on julkaistu 12. tammikuuta 2021 tai uudempi ennen päivitysten asentamista 14. syyskuuta 2021. Lisätietoja on jäljempänä kohdassa Usein kysytyt kysymykset Q2.
Ohjaimen oletusasennuksen muokkaaminen rekisteriavaimen avulla
Voit muokata tätä oletusasetusta käyttämällä alla olevassa taulukossa olevaa rekisteriavainta. Ole kuitenkin erittäin varovainen, kun käytät nolla-arvoa (0), koska tämä tekee laitteista haavoittuvia. Jos sinun on käytettävä ympäristössäsi rekisteriarvoa 0, on suositeltavaa käyttää sitä tilapäisesti säätäessäsi ympäristöä niin, että Windows laitteet voivat käyttää yhden arvon (1).
Rekisterisijainti |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord-nimi |
RestrictDriverInstallationToAdministrators |
Arvon tiedot |
Oletustoiminta: Jos tämän arvon arvo on 1tai avainta ei ole määritetty tai sitä ei ole määritetty, järjestelmänvalvojan oikeudet edellyttävät minkä tahansa tulostinohjaimen asentamista Point- ja Print-näppäimiä käytettäessä. Tämä rekisteriavain ohittaa kaikki Piste- ja Tulostusrajoitukset-ryhmäkäytäntöasetukset ja varmistaa, että vain järjestelmänvalvojat voivat asentaa tulostinohjaimet tulostuspalvelimesta Point- ja Print-näppäimillä. Kun määrität arvoksi 0 , muut kuin järjestelmänvalvojat voivat asentaa allekirjoitettuja ja allekirjoittamattomia ohjaimia tulostuspalvelimeen , mutta eivät ohita Point- ja Print-ryhmäkäytäntöasetuksia. Siksi piste- ja tulostusrajoitusten ryhmäkäytäntöasetukset voivat ohittaa tämän rekisteriavainasetuksen, jotta muut kuin järjestelmänvalvojat eivät voi asentaa allekirjoitettuja ja allekirjoittamattomia tulostusohjaimia tulostuspalvelimesta. Jotkin järjestelmänvalvojat voivat määrittää arvoksi 0, jotta muut kuin järjestelmänvalvojat voivat asentaa ja päivittää ohjaimia lisärajoitusten lisäämisen jälkeen, mukaan lukien lisäämällä käytäntöasetuksen, joka rajoittaa ohjaimien asentamista. Tärkeää Ei ole mitigaatioiden yhdistelmää, joka vastaa RestrictDriverInstallationToAdministrators-asetuksen arvoksi 1. Huomautus 6. heinäkuuta 2021 julkaistujen päivitysten oletusasetus on 0 (poistettu käytöstä) 10. elokuuta 2021 tai sitä uudempiin päivityksiin asti. 10. elokuuta 2021 julkaistujen tai uudempien päivitysten oletusarvo on 1 (käytössä). |
Uudelleenkäynnistysvaatimukset |
Tätä rekisteriarvoa luotaessa tai muokattaessa ei tarvitse käynnistää uudelleen. |
Huomautus Windows ei määritä tai muuta rekisteriavainta. Voit määrittää rekisteriavaimen ennen 10. elokuuta 2021 tai sitä uudempien päivityksien asentamista tai sen jälkeen.
RestrictDriverInstallationToAdministrators-rekisteriarvon lisäämisen automatisointi
Voit automatisoida RestrictDriverInstallationToAdministrators-rekisteriarvon lisäämisen seuraavasti:
-
Avaa komentokehoteikkuna (cmd.exe) järjestelmänvalvojan oikeuksilla.
-
Kirjoita seuraava komento ja paina sitten Enter-näppäintä:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
RestrictDriverInstallationToAdministrator-asetusten määrittäminen ryhmäkäytännön avulla
Kun olet asentanut 12. lokakuuta 2021 tai uudemman julkaistun päivityksen, voit myös määrittää RestrictDriverInstallationToAdministrators ryhmäkäytännön avulla noudattamalla seuraavia ohjeita:
-
Avaa ryhmäkäytäntöeditorityökalu ja valitse Tietokoneasetukset> hallintamallit > tulostimet.
-
Määritä Rajat tulostinohjaimen asennukselle järjestelmänvalvojille - asetukseksi Käytössä. Tämä määrittää RestrictDriverInstallationToAdministrators-rekisteriarvon arvoksi 1.
Tulostinohjaimien asentaminen, kun uusi oletusasetus on käytössä
Jos määrität RestrictDriverInstallationToAdministrators (ei määritetty) tai 1 (ympäristön mukaan), käyttäjien on asennettava tulostimet jomallakin seuraavista tavoista:
-
Anna järjestelmänvalvojan käyttäjänimi ja salasana pyydettäessä tunnistetietoja, kun yrität asentaa tulostinohjainta.
-
Sisällytä tarvittavat tulostinohjaimet käyttöjärjestelmän kuvaan.
-
Asenna tulostinohjaimet asettamalla RestrictDriverInstallationToAdministrators tilapäisesti arvoksi 0.
Huomautus Jos tulostinohjaimia ei voi asentaa, vaikka sinulla olisi järjestelmänvalvojan oikeudet, sinun on poistettava käytöstä Vain pakkauspiste- ja tulostusryhmäkäytäntö - asetus.
Suositellut asetukset ja osittaiset riskien lieventämiset ympäristöissä, jotka eivät voi käyttää oletustoimintatapaa
Seuraavat riskien lieventämiset voivat auttaa suojaamaan kaikkia ympäristöjä, mutta etenkin, jos RestrictDriverInstallationToAdministrators-asetuksen on oltava 0. Nämä riskien lieventämiset eivät täysin vastaa CVE-2021-34481-tietoturva-aukkoja.
Tärkeää Ei ole mitigaatioiden yhdistelmää, joka vastaa RestrictDriverInstallationToAdministrators-asetuksen arvoksi 1.
Varmista, että RpcAuthnLevelPrivacyEnabled-asetuksena on 1 tai sitä ei ole määritetty
Varmista, että RpcAuthnLevelPrivacyEnabled-asetuksena on 1 tai ei ole määritetty artikkelissa Tulostimen RPC-sidontamuutosten hallinta CVE-2021-1678:ssa (KB4599464) kuvatulla tavalla.
Varmista, että Piste- ja Tulosta-toiminto on otettu käyttöön suojauskehotteessa
Varmista, että Piste- ja Tulosta-toimintoihin on otettu käyttöön suojauskehotteet artikkelissa KB5005010: Uusien tulostinohjainten asennuksen rajoittaminen 6. heinäkuuta 2021 -päivitysten asentamisen jälkeen kuvatulla tavalla.
Salli käyttäjien muodostaa yhteys vain tiettyihin tulostuspalvelimiin, jotka luotat
Tämä käytäntö (piste- ja tulostusrajoitukset) koskee piste- ja tulostustulostimia, jotka käyttävät palvelimessa ei-pakettia tietoisia ohjaimesta.
Toimi seuraavasti:
-
Avaa ryhmäkäytäntöjen hallintakonsoli (GPMC).
-
Siirry GPMC-konsolipuussa toimialueeseen tai organisaatioyksikköön (OU), johon tallennetaan käyttäjätilit, joiden tulostinohjaimen suojausasetuksia haluat muokata.
-
Napsauta sopivaa toimialuetta tai OU:tä hiiren kakkospainikkeella ja valitse Luo GPO tähän toimialueeseen ja linkitä se tähän.Kirjoita uuden ryhmäkäytäntöobjektin nimi ja valitse OK.
-
Napsauta luomaasi GPO:ta hiiren kakkospainikkeella ja valitse sitten Muokkaa.
-
Valitse Ryhmäkäytäntöjen hallintaeditori -ikkunassa Tietokoneasetukset, valitse Käytännöt, hallintamallit ja valitse sitten Tulostimet.
-
Napsauta hiiren kakkospainikkeella Kohtaa ja tulostusrajoituksia ja valitse sitten Muokkaa.
-
Valitse Piste - ja tulostusrajoitukset - valintaikkunassa Käytössä.
-
Valitse Käyttäjät voivat osoittaa ja tulostaa vain näihin palvelimiin - valintaruutu, jos se ei ole jo valittuna.
-
Kirjoita palvelimen täydellinen nimi. Erota nimet toisistaan puolipisteellä (;).
Huomautus Kun olet asentanut 21. syyskuuta 2021 tai sitä uudemman julkaistun päivityksen, voit määrittää tämän ryhmäkäytännön pisteellä tai pisteellä (.) erotinmerkkejä eroteltuja IP-osoitteita, jotka ovat keskenään täysin hyväksyttyjä isäntänimiä.
-
Valitse Asennettaessa uuden yhteyden ohjaimia - ruudussa Näytä varoitus ja Järjestelmänvalvojana-kehote.
-
Valitse Olemassa olevan yhteyden ohjaimia päivitettäessä - ruudussa Näytä varoitus ja Järjestelmänvalvojana-kehote.
-
Valitse OK.
Salli käyttäjien muodostaa yhteys vain tiettyihin luotamiisi pakettipiste- ja tulostuspalvelimiin
Tämä käytäntö( Package Point and Print – Hyväksytyt palvelimet) rajoittaa asiakkaan toiminnan sallimaan vain Point- ja Print-yhteydet määritetyille palvelimille, jotka käyttävät pakettia ohjaimia.
Toimi seuraavasti:
-
Valitse toimialueen ohjauskoneessa Aloitus, valitse Valvontatyökalut ja valitse sitten Ryhmäkäytännön hallinta. Voit myös valita Käynnistä , valita Suorita, kirjoittaaGPMC.MSC ja painaa sitten Enter-näppäintä.
-
Laajenna toimialuepuupuu ja laajenna sitten toimialueet.
-
Valitse toimialueestasi OU, johon haluat luoda tämän käytännön.
-
Napsauta OU-kohtaa hiiren kakkospainikkeella, valitse Luo tähän toimialueeseen GPO ja linkitä se tähän.
-
Anna GPO:lle nimi ja valitse sitten OK.
-
Napsauta juuri luotua ryhmäkäytäntöobjektia hiiren kakkospainikkeella ja avaa sitten ryhmäkäytäntöjen hallintaeditori valitsemalla Muokkaa.
-
Laajenna ryhmäkäytäntöjen hallintaeditorissa seuraavat kansiot:
-
Tietokoneen määritykset
-
Käytännöt
-
Hallintamallit
-
Paikalliset tietokoneyksiköt
-
Tulostimet
-
-
Ota pakettipiste ja tulostus käyttöön – Hyväksytyt palvelimet ja valitse Näytä...- painike.
-
Kirjoita palvelimen täydellinen nimi. Erota nimet toisistaan puolipisteellä (;).
Huomautus Kun olet asentanut 21. syyskuuta 2021 tai sitä uudemman julkaistun päivityksen, voit määrittää tämän ryhmäkäytännön pisteellä tai pisteellä (.) erotinmerkkejä eroteltuja IP-osoitteita, jotka ovat keskenään täysin hyväksyttyjä isäntänimiä.
Usein kysytyt kysymykset
Kysymys 1: Aina kun yritän tulostaa, näyttöön tulee kehote" "Luotatko tähän tulostimeen", ja se edellyttää järjestelmänvalvojan tunnistetietoja, jotta voit jatkaa. Onko tämä odotettua?
A1:Jokaista tulostustyötä ei odoteta. Suurin osa ympäristöistä tai laitteista, joissa tämä ongelma ilmenee, ratkeaa asentamalla päivitykset, jotka on julkaistu 12. lokakuuta 2021 tai sitä uudemmalla versiolla. Nämä päivitykset liittyvät tulostuspalvelimiin ja tulostusasiakkaisiin, jotka eivät ole samalla aikavyöhykkeellä.
Jos ongelma ilmenee edelleen 12. lokakuuta 2021 tai sitä uudempien päivityksien asentamisen jälkeen, sinun on ehkä otettava yhteyttä tulostimen valmistajaan, jotta saat päivitetyt ohjaimet. Tämä ongelma voi ilmetä myös silloin, kun tulostinohjain ja tulostuspalvelin käyttävät samaa tiedostonimeä, mutta palvelimella on ohjaintiedoston uudempi versio. Kun tulostussovellus muodostaa yhteyden tulostuspalvelimeen, se löytää uuden ohjaintiedoston ja kehottaa päivittämään tulostinsovelluksen ohjaimet. Pakettiin sisältyvät tiedostot eivät kuitenkaan sisällä uudempia ohjaintiedostoversiota.
Verrattavat tiedostot ovat taustatulostuskansion ohjaimia, jotka ovat yleensä kansiossa C:\Windows\System32\spool\drivers\x64\3 sekä tulostussovelluksessa että tulostuspalvelimessa. Asennettavaksi tarjottu ohjainpaketti on yleensä tulostuspalvelimessa C:\Windows\System32\spool\drivers\x64\PCC. Kun \3-kansion tiedostoja verrataan laitteiden välillä, paketti PCC :ssä asennetaan, jos ne eivät täsmää. Jos tulostuspalvelimen \3-kansiossa sijaitsevat tiedostot eivät ole samalta tulostinohjaimelta, jonka PCC tarjoaa asiakkaalle, tulostussovellus vertaa tiedostoja ja löytää yhteensopimavirheen joka kerta, kun se tulostetaan.
Voit lieventää tätä ongelmaa tarkistamalla, että käytät uusimpia ohjaimia kaikissa tulostuslaitteillasi. Käytä mahdollisuuksien mukaan samaa tulostinohjaimen versiota tulostussovelluksessa ja tulostuspalvelimessa. Jos ympäristön ohjainten päivittäminen ei ratkaise ongelmaa, ota yhteyttä tulostimen valmistajan (OEM) tukeen.
K2: Asensin 14. syyskuuta 2021 julkaistut päivitykset ja jotkin Windows eivät voi tulostaa verkkotulostinta. Onko minun asennettava päivityksiä tulostusasiakkaisiin ja tulostuspalvelimiin?
A2: Ennen 14. syyskuuta 2021 julkaistujen päivitysten asentamista tulostuspalvelimissa tulostusasiakkaissa on oltava asennettuna päivitykset, jotka on julkaistu 12. tammikuuta 2021 tai sitä uudempi versio. Windows-laitteita ei tulosteta, jos niihin ei ole asennettu päivitystä, joka on julkaistu 12. tammikuuta 2021 tai sitä uudempi versio.
Huomautus Sinun ei tarvitse asentaa aiempia päivityksiä ja asentaa mitään päivitystä 12.1.2021 jälkeen tulostusasiakkaisiin. Suosittelemme asentamaan uusimman kumulatiivisen päivityksen sekä asiakkaisiin että palvelimiin.