Résumé
Windows mises Ă jour publiĂ©es le 10 aoĂ»t 2021 et les ultĂ©rieures nĂ©cessitent par dĂ©faut des privilèges d’administration pour installer les pilotes. Nous avons apportĂ© cette modification dans le comportement par dĂ©faut pour rĂ©soudre le risque sur tous les Windows, y compris les appareils qui n’utilisent pas de fonctionnalitĂ©s de point et d’impression ou d’impression. Pour plus d’informations, voir Changement de comportement des points et d’impression par dĂ©faut et CVE-2021-34481. Â
Par défaut, les utilisateurs qui ne sont pas administrateurs ne pourront plus utiliser les paramètres Point et Imprimer sans élévation de privilèges à l’administrateur :
-
Installer de nouvelles imprimantes à l’aide de pilotes sur un ordinateur ou un serveur distant
-
Mettre à jour les pilotes d’imprimante existants à l’aide de pilotes provenant d’un ordinateur ou d’un serveur distant
Remarque Si vous n’utilisez pas les paramètres Point et Imprimer, vous ne serez pas affecté par cette modification et serez protégé par défaut après l’installation des mises à jour publiées le 10 août 2021 ou une version ultérieure.
Important Une mise à jour publiée le 12 janvier 2021 ou une version ultérieure doit être publiée pour les clients d’impression de votre environnement avant la publication des mises à jour du 14 septembre 2021. Pour plus d’informations, voir T2 de la foire aux questions ci-dessous.
Modifier le comportement d’installation du pilote par défaut à l’aide d’une clé de Registre
Vous pouvez modifier ce comportement par dĂ©faut Ă l’aide de la clĂ© de Registre dans le tableau ci-dessous. Toutefois, soyez très prudent lorsque vous utilisez une valeur de zĂ©ro (0), car cela rend les appareils vulnĂ©rables. Si vous devez utiliser la valeur de Registre 0 dans votre environnement, nous vous recommandons de l’utiliser temporairement pendant que vous ajustez votre environnement pour autoriser les appareils Windows Ă utiliser la valeur d’un (1). Â
Emplacement du Registre |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Nom DWord |
RestrictDriverInstallationToAdministrators |
Données de valeur |
Comportement par défaut : La définition de cette valeur sur 1 ou si la clé n’est pas définie ou présente nécessite un privilège d’administrateur pour installer un pilote d’imprimante lors de l’utilisation des paramètres Point et Imprimer. Cette clé de Registre remplace tous les paramètres de stratégie de groupe Restrictions de point et d’impression et garantit que seuls les administrateurs peuvent installer des pilotes d’imprimante à partir d’un serveur d’impression à l’aide des paramètres Point et Imprimer. La définition de la valeur 0 permet aux non-administrateurs d’installer des pilotes signés et non signés sur un serveur d’impression, mais ne remplace pas les paramètres de stratégie de groupe Point et Imprimer. Par conséquent, les paramètres de stratégie de groupe Point et Restrictions d’impression peuvent remplacer ce paramètre de clé de Registre pour empêcher les non-administrateurs d’installer les pilotes d’impression signés et non signés à partir d’un serveur d’impression. Certains administrateurs peuvent définir la valeur 0 pour permettre aux non-administrateurs d’installer et de mettre à jour les pilotes après avoir ajouté des restrictions supplémentaires, y compris en ajoutant un paramètre de stratégie qui limite les conditions à partir des lesquelles les pilotes peuvent être installés. Important Il n’existe aucune combinaison d’atténuations équivalente à la définition de RestrictDriverInstallationToAdministrators sur 1. Remarque Les mises à jour publiées le 6 juillet 2021 ou version ultérieure ont une valeur par défaut de 0 (désactivée) jusqu’à ce que l’installation des mises à jour soit publiée le 10 août 2021 ou une version ultérieure. Les mises à jour publiées le 10 août 2021 ou version ultérieure ont la valeur 1 par défaut (activée). |
Redémarrage requis |
Aucun redémarrage n’est nécessaire lors de la création ou de la modification de cette valeur de Registre. |
Remarque Windows mises à jour ne définissent ou ne modifient pas la clé de Registre. Vous pouvez définir la clé de Registre avant ou après l’installation des mises à jour publiées le 10 août 2021 ou une version ultérieure.
Automatiser l’ajout de la valeur de Registre RestrictDriverInstallationToAdministrators
Pour automatiser l’ajout de la valeur de Registre RestrictDriverInstallationToAdministrators, suivez ces étapes :
-
Ouvrez une fenêtre d’invite de commandes (cmd.exe) avec des autorisations élevées.
-
Tapez la commande suivante, puis appuyez sur Entrée :
reg add « HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint » /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Définir les restrictDriverInstallationToAdministrators à l’aide d’une stratégie de groupe
Après avoir installé les mises à jour publiées le 12 octobre 2021 ou version ultérieure, vous pouvez également définir les outils d’installation de RestrictDriverInstallationToAdministrators à l’aide d’une stratégie de groupe, en suivant les instructions suivantes :
-
Ouvrez l’outil Ă©diteur de stratĂ©gie de groupe et allez Ă Configuration > modèles d’administration > printers.Â
-
Définissez le paramètre « Activé » sur « Activé » pour l’installation du pilote d’impression Limites. La valeur de Registre de RestrictDriverInstallationToAdministrators est alors définie sur 1.
Installer des pilotes d’impression lorsque le nouveau paramètre par défaut est appliqué
Si vous définissez restrictDriverInstallationToAdministrators comme non défini ou sur 1, selon votre environnement, les utilisateurs doivent utiliser l’une des méthodes suivantes pour installer des imprimantes :
-
Lorsque vous tentez d’installer un pilote d’imprimante, fournissez un nom d’utilisateur et un mot de passe d’administrateur lorsque vous y est invité.
-
Incluez les pilotes d’imprimante nécessaires dans l’image du système d’exploitation.
-
Définissez temporairement RestrictDriverInstallationToAdministrators sur 0 pour installer les pilotes d’imprimante.
Remarque Si vous ne pouvez pas installer de pilotes d’imprimante, même si vous avez des privilèges d’administrateur, vous devez désactiver les stratégies de groupe Utiliser uniquement le point de package et Imprimer.
Paramètres recommandés et atténuations partielles pour les environnements qui ne peuvent pas utiliser le comportement par défaut
Les atténuations suivantes peuvent vous aider à sécuriser tous les environnements, en particulier si vous devez définir RestrictDriverInstallationToAdministrators sur 0. Ces atténuations ne complètent pas les vulnérabilités dans CVE-2021-34481.
Important Il n’existe aucune combinaison d’atténuations équivalente à la définition de RestrictDriverInstallationToAdministrators sur 1.
Vérifiez que RpcAuthnLevelPrivacyEnabled est défini sur 1 ou non défini
Vérifiez que RpcAuthnLevelPrivacyEnabled est défini sur 1 ou non défini comme décrit dans la gestion du déploiement des modifications de liaison RPC d’imprimante pour CVE-2021-1678 (KB4599464).
Vérifier que les invites de sécurité sont activées pour pointer et imprimer
VĂ©rifiez que les invites de sĂ©curitĂ© sont activĂ©es pour pointer et imprimer comme dĂ©crit dans la mise Ă jour KB5005010 : limitation de l’installation de nouveaux pilotes d’imprimante après l’application des mises Ă jour du 6 juillet 2021.Â
Autoriser les utilisateurs à se connecter à des serveurs d’impression spécifiques de confiance
Cette stratĂ©gie, restrictions sur les points et les impressions, s’applique aux imprimantes point et imprimer utilisant un pilote sur le serveur qui n’est pas pris en compte avec le package.Â
Utilisez les Ă©tapes suivantes :
-
Ouvrez la Console de gestion des stratégies de groupe (GPMC).
-
Dans l’arborescence de la console gpMC, allez au domaine ou à l’unité d’organisation qui stocke les comptes d’utilisateurs pour lesquels vous voulez modifier les paramètres de sécurité des pilotes d’imprimante.
-
Cliquez avec le bouton droit sur le domaine ou l’ou l’ou approprié, puis cliquez sur Créer un champ de groupe dans ce domaine , puis lier ici.Tapez un nom pour le nouvel objet de stratégie de groupe, puis cliquez sur OK.
-
Cliquez avec le bouton droit sur l’GPO que vous avez créé, puis cliquez sur Modifier.
-
Dans la fenêtre Éditeur de gestion des stratégies de groupe, cliquez sur Configuration de l’ordinateur , surStratégies, sur Modèles d’administration, puis sur Imprimantes.
-
Cliquez avec le bouton droit sur Restrictions de point et d’impression, puis cliquez sur Modifier.
-
Dans la boîte de dialogue Restrictions de point et d’impression , cliquez sur Activé.
-
Sélectionnez la case à cocher Utilisateurs pour qu’elle ne puisse pointer et imprimer sur ces serveurs que si elle n’est pas déjà sélectionnée.
-
Entrez le nom complet du serveur. Séparez les noms à l’aide d’un point-virgule (;).
Remarque Après avoir installé les mises à jour publiées le 21 septembre 2021 ou version ultérieure, vous pouvez configurer cette stratégie de groupe avec un point ou un point (.) adresses IP délimitées indifféremment avec des noms d’hôte complets ;
-
Dans la zone Lors de l’installation des pilotes pour une nouvelle connexion , sélectionnez Afficher un avertissement et Invite élevée.
-
Dans la zone Lors de la mise à jour des pilotes pour une boîte de connexion existante, sélectionnez Afficher un avertissement et Invite avec élévation de élévation de débit.
-
Cliquez sur OK.
Autoriser les utilisateurs à se connecter uniquement à un point de package spécifique et à des serveurs d’impression de confiance
Cette stratégie, Point de package et Imprimer - Serveurs approuvés, restreindra le comportement du client de façon à autoriser uniquement les connexions Point et Imprimer à des serveurs définis qui utilisent des pilotes qui sont conscients du package.
Utilisez les Ă©tapes suivantes :
-
Dans le contrôleur de domaine, sélectionnez Démarrer, Outils d’administration, puis Gestion des stratégies de groupe. Vous pouvez également sélectionner Démarrer, exécuter, taper GPMC.MSC, puis appuyer sur Entrée.
-
DĂ©veloppez la forĂŞt, puis les domaines.
-
Sous votre domaine, sélectionnez l’ou où vous souhaitez créer cette stratégie.
-
Cliquez avec le bouton droit sur l’ou, puis sélectionnez Créer un GPO dans ce domaine, puis lier ici.
-
Donnez un nom à l’po, puis sélectionnez OK.
-
Cliquez avec le bouton droit sur l’objet de stratégie de groupe nouvellement créé, puis sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe.
-
Dans l’Éditeur de gestion des stratégies de groupe, développez les dossiers suivants :
-
Configuration de l’ordinateur
-
Stratégies
-
Modèles d’administration
-
Polices informatiques locales
-
Imprimantes
-
-
Activer le point de package et l’impression - Serveurs approuvés et sélectionner le bouton Afficher...
-
Entrez le nom complet du serveur. Séparez les noms à l’aide d’un point-virgule (;).
Remarque Après avoir installé les mises à jour publiées le 21 septembre 2021 ou version ultérieure, vous pouvez configurer cette stratégie de groupe avec un point ou un point (.) adresses IP délimitées indifféremment avec des noms d’hôte complets ;
Forum Aux Questions
Q1 : chaque fois que j’essaie d’imprimer, je reçois une invite disant « Faites-vous confiance à cette imprimante » et nécessite des informations d’identification d’administrateur pour continuer. Est-ce prévu ?
A1:ĂŠtre invitĂ© Ă chaque tâche d’impression n’est pas prĂ©vu. La plupart des environnements ou appareils qui sont en situation de problème seront rĂ©solus en installant les mises Ă jour publiĂ©es le 12 octobre 2021 ou une version ultĂ©rieure. Ces mises Ă jour corriger un problème liĂ© aux serveurs d’impression et aux clients d’impression qui ne se sont pas situĂ©s dans le mĂŞme fuseau horaire.Â
Si vous continuez Ă ce problème après avoir installĂ© les mises Ă jour publiĂ©es le 12 octobre 2021 ou une version ultĂ©rieure, vous devrez peut-ĂŞtre contacter le fabricant de votre imprimante pour obtenir des pilotes mis Ă jour. Ce problème peut Ă©galement se produire lorsqu’un pilote d’impression sur le client d’impression et le serveur d’impression utilisent le mĂŞme nom de fichier, mais que le serveur dispose d’une version plus rĂ©cente du fichier de pilote. Lorsque le client d’impression se connecte au serveur d’impression, il trouve un fichier de pilote plus nouveau et est invitĂ© Ă mettre Ă jour les pilotes sur le client d’impression. Toutefois, le fichier du package proposĂ© pour l’installation n’inclut pas la version de fichier de pilote la plus rĂ©cente.Â
Les fichiers comparĂ©s sont les pilotes dans le dossier Depool, gĂ©nĂ©ralement dans C:\Windows\System32\spool\drivers\x64\3 sur le client d’impression et le serveur d’impression. Le package de pilote proposĂ© pour l’installation se fera gĂ©nĂ©ralement au niveau de C:\Windows\System32\spool\drivers\x64\DANS le serveur d’impression. Une fois les fichiers du dossier \3 comparĂ©s entre les appareils, s’ils ne correspondent pas, le package dans MOBILE est installĂ©. Si les fichiers dans le dossier \3 du serveur d’impression ne sont pas du mĂŞme pilote d’imprimante que celui offre au client, le client d’impression compare les fichiers et trouve l’inrĂ©lision Ă chaque impression.Â
Pour atténuer ce problème, vérifiez que vous utilisez les pilotes les plus récents pour tous vos périphériques d’impression. Si possible, utilisez la même version du pilote d’impression sur le client d’impression et le serveur d’impression. Si la mise à jour des pilotes dans votre environnement ne résout pas le problème, contactez le support technique du fabricant de votre imprimante (OEM).
T2 : J’ai installé les mises à jour publiées le 14 septembre 2021 et certains Windows ne peuvent pas imprimer sur des imprimantes réseau. Y a-t-il une commande pour installer les mises à jour sur les clients d’impression et les serveurs d’impression ?
A2 : avant l’installation des mises Ă jour publiĂ©es le 14 septembre 2021 ou une version ultĂ©rieure sur les serveurs d’impression, les clients d’impression doivent avoir installĂ© les mises Ă jour publiĂ©es le 12 janvier 2021 ou une version ultĂ©rieure. Windows ne s’imprimeront pas s’ils n’ont pas installĂ© de mise Ă jour publiĂ©e le 12 janvier 2021 ou une version ultĂ©rieure.Â
Remarque Vous n’avez pas besoin d’installer des mises à jour antérieures et pouvez installer les mises à jour après le 12 janvier 2021 sur les clients d’impression. Nous vous recommandons d’installer la dernière mise à jour cumulative sur les clients et les serveurs.