Résumé

Windows mises à jour publiées le 10 août 2021 et les ultérieures nécessitent par défaut des privilèges d’administration pour installer les pilotes. Nous avons apporté cette modification dans le comportement par défaut pour résoudre le risque sur tous les Windows, y compris les appareils qui n’utilisent pas de fonctionnalités de point et d’impression ou d’impression. Pour plus d’informations, voir Changement de comportement des points et d’impression par défaut et CVE-2021-34481.  

Par défaut, les utilisateurs qui ne sont pas administrateurs ne pourront plus utiliser les paramètres Point et Imprimer sans élévation de privilèges à l’administrateur :

  • Installer de nouvelles imprimantes Ă  l’aide de pilotes sur un ordinateur ou un serveur distant

  • Mettre Ă  jour les pilotes d’imprimante existants Ă  l’aide de pilotes provenant d’un ordinateur ou d’un serveur distant

Remarque Si vous n’utilisez pas les paramètres Point et Imprimer, vous ne serez pas affecté par cette modification et serez protégé par défaut après l’installation des mises à jour publiées le 10 août 2021 ou une version ultérieure.

Important Une mise à jour publiée le 12 janvier 2021 ou une version ultérieure doit être publiée pour les clients d’impression de votre environnement avant la publication des mises à jour du 14 septembre 2021.  Pour plus d’informations, voir T2 de la foire aux questions ci-dessous.

Modifier le comportement d’installation du pilote par défaut à l’aide d’une clé de Registre

Vous pouvez modifier ce comportement par défaut à l’aide de la clé de Registre dans le tableau ci-dessous. Toutefois, soyez très prudent lorsque vous utilisez une valeur de zéro (0), car cela rend les appareils vulnérables. Si vous devez utiliser la valeur de Registre 0 dans votre environnement, nous vous recommandons de l’utiliser temporairement pendant que vous ajustez votre environnement pour autoriser les appareils Windows à utiliser la valeur d’un (1).   

Emplacement du Registre

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Nom DWord

RestrictDriverInstallationToAdministrators

Données de valeur

Comportement par défaut : La définition de cette valeur sur 1 ou si la clé n’est pas définie ou présente nécessite un privilège d’administrateur pour installer un pilote d’imprimante lors de l’utilisation des paramètres Point et Imprimer. Cette clé de Registre remplace tous les paramètres de stratégie de groupe Restrictions de point et d’impression et garantit que seuls les administrateurs peuvent installer des pilotes d’imprimante à partir d’un serveur d’impression à l’aide des paramètres Point et Imprimer.

La définition de la valeur 0 permet aux non-administrateurs d’installer des pilotes signés et non signés sur un serveur d’impression, mais ne remplace pas les paramètres de stratégie de groupe Point et Imprimer. Par conséquent, les paramètres de stratégie de groupe Point et Restrictions d’impression peuvent remplacer ce paramètre de clé de Registre pour empêcher les non-administrateurs d’installer les pilotes d’impression signés et non signés à partir d’un serveur d’impression. Certains administrateurs peuvent définir la valeur 0 pour permettre aux non-administrateurs d’installer et de mettre à jour les pilotes après avoir ajouté des restrictions supplémentaires, y compris en ajoutant un paramètre de stratégie qui limite les conditions à partir des lesquelles les pilotes peuvent être installés.

Important Il n’existe aucune combinaison d’atténuations équivalente à la définition de RestrictDriverInstallationToAdministrators sur 1.

Remarque Les mises à jour publiées le 6 juillet 2021 ou version ultérieure ont une valeur par défaut de 0 (désactivée) jusqu’à ce que l’installation des mises à jour soit publiée le 10 août 2021 ou une version ultérieure.  Les mises à jour publiées le 10 août 2021 ou version ultérieure ont la valeur 1 par défaut (activée).

Redémarrage requis

Aucun redémarrage n’est nécessaire lors de la création ou de la modification de cette valeur de Registre.

Remarque Windows mises à jour ne définissent ou ne modifient pas la clé de Registre. Vous pouvez définir la clé de Registre avant ou après l’installation des mises à jour publiées le 10 août 2021 ou une version ultérieure.

Automatiser l’ajout de la valeur de Registre RestrictDriverInstallationToAdministrators

Pour automatiser l’ajout de la valeur de Registre RestrictDriverInstallationToAdministrators, suivez ces étapes :

  1. Ouvrez une fenêtre d’invite de commandes (cmd.exe) avec des autorisations élevées.

  2. Tapez la commande suivante, puis appuyez sur Entrée :

    reg add « HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint » /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Définir les restrictDriverInstallationToAdministrators à l’aide d’une stratégie de groupe

Après avoir installé les mises à jour publiées le 12 octobre 2021 ou version ultérieure, vous pouvez également définir les outils d’installation de RestrictDriverInstallationToAdministrators à l’aide d’une stratégie de groupe, en suivant les instructions suivantes :

  1. Ouvrez l’outil éditeur de stratégie de groupe et allez à Configuration > modèles d’administration > printers. 

  2. Définissez le paramètre « Activé » sur « Activé » pour l’installation du pilote d’impression Limites. La valeur de Registre de RestrictDriverInstallationToAdministrators est alors définie sur 1.

Installer des pilotes d’impression lorsque le nouveau paramètre par défaut est appliqué

Si vous définissez restrictDriverInstallationToAdministrators comme non défini ou sur 1, selon votre environnement, les utilisateurs doivent utiliser l’une des méthodes suivantes pour installer des imprimantes :

  • Lorsque vous tentez d’installer un pilote d’imprimante, fournissez un nom d’utilisateur et un mot de passe d’administrateur lorsque vous y est invitĂ©.

  • Incluez les pilotes d’imprimante nĂ©cessaires dans l’image du système d’exploitation.

  • DĂ©finissez temporairement RestrictDriverInstallationToAdministrators sur 0 pour installer les pilotes d’imprimante.

Remarque Si vous ne pouvez pas installer de pilotes d’imprimante, même si vous avez des privilèges d’administrateur, vous devez désactiver les stratégies de groupe Utiliser uniquement le point de package et Imprimer.

Paramètres recommandés et atténuations partielles pour les environnements qui ne peuvent pas utiliser le comportement par défaut

Les atténuations suivantes peuvent vous aider à sécuriser tous les environnements, en particulier si vous devez définir RestrictDriverInstallationToAdministrators sur 0. Ces atténuations ne complètent pas les vulnérabilités dans CVE-2021-34481.

Important Il n’existe aucune combinaison d’atténuations équivalente à la définition de RestrictDriverInstallationToAdministrators sur 1.

Vérifiez que RpcAuthnLevelPrivacyEnabled est défini sur 1 ou non défini

Vérifiez que RpcAuthnLevelPrivacyEnabled est défini sur 1 ou non défini comme décrit dans la gestion du déploiement des modifications de liaison RPC d’imprimante pour CVE-2021-1678 (KB4599464).

Vérifier que les invites de sécurité sont activées pour pointer et imprimer

Vérifiez que les invites de sécurité sont activées pour pointer et imprimer comme décrit dans la mise à jour KB5005010 : limitation de l’installation de nouveaux pilotes d’imprimante après l’application des mises à jour du 6 juillet 2021. 

Autoriser les utilisateurs à se connecter à des serveurs d’impression spécifiques de confiance

Cette stratégie, restrictions sur les points et les impressions, s’applique aux imprimantes point et imprimer utilisant un pilote sur le serveur qui n’est pas pris en compte avec le package. 

Utilisez les Ă©tapes suivantes :

  1. Ouvrez la Console de gestion des stratégies de groupe (GPMC).

  2. Dans l’arborescence de la console gpMC, allez au domaine ou à l’unité d’organisation qui stocke les comptes d’utilisateurs pour lesquels vous voulez modifier les paramètres de sécurité des pilotes d’imprimante.

  3. Cliquez avec le bouton droit sur le domaine ou l’ou l’ou approprié, puis cliquez sur Créer un champ de groupe dans ce domaine , puis lier ici.Tapez un nom pour le nouvel objet de stratégie de groupe, puis cliquez sur OK.

  4. Cliquez avec le bouton droit sur l’GPO que vous avez créé, puis cliquez sur Modifier.

  5. Dans la fenêtre Éditeur de gestion des stratégies de groupe, cliquez sur Configuration de l’ordinateur , surStratégies, sur Modèles d’administration, puis sur Imprimantes.

  6. Cliquez avec le bouton droit sur Restrictions de point et d’impression, puis cliquez sur Modifier.

  7. Dans la boîte de dialogue Restrictions de point et d’impression , cliquez sur Activé.

  8. Sélectionnez la case à cocher Utilisateurs pour qu’elle ne puisse pointer et imprimer sur ces serveurs que si elle n’est pas déjà sélectionnée.

  9. Entrez le nom complet du serveur. Séparez les noms à l’aide d’un point-virgule (;).

    Remarque Après avoir installé les mises à jour publiées le 21 septembre 2021 ou version ultérieure, vous pouvez configurer cette stratégie de groupe avec un point ou un point (.) adresses IP délimitées indifféremment avec des noms d’hôte complets ;

  10. Dans la zone Lors de l’installation des pilotes pour une nouvelle connexion , sélectionnez Afficher un avertissement et Invite élevée.

  11. Dans la zone Lors de la mise à jour des pilotes pour une boîte de connexion existante, sélectionnez Afficher un avertissement et Invite avec élévation de élévation de débit.

  12. Cliquez sur OK.

Autoriser les utilisateurs à se connecter uniquement à un point de package spécifique et à des serveurs d’impression de confiance

Cette stratégie, Point de package et Imprimer - Serveurs approuvés, restreindra le comportement du client de façon à autoriser uniquement les connexions Point et Imprimer à des serveurs définis qui utilisent des pilotes qui sont conscients du package.

Utilisez les Ă©tapes suivantes :

  1. Dans le contrôleur de domaine, sélectionnez Démarrer, Outils d’administration, puis Gestion des stratégies de groupe. Vous pouvez également sélectionner Démarrer, exécuter, taper GPMC.MSC, puis appuyer sur Entrée.

  2. DĂ©veloppez la forĂŞt, puis les domaines.

  3. Sous votre domaine, sélectionnez l’ou où vous souhaitez créer cette stratégie.

  4. Cliquez avec le bouton droit sur l’ou, puis sélectionnez Créer un GPO dans ce domaine, puis lier ici.

  5. Donnez un nom à l’po, puis sélectionnez OK.

  6. Cliquez avec le bouton droit sur l’objet de stratégie de groupe nouvellement créé, puis sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe.

  7. Dans l’Éditeur de gestion des stratégies de groupe, développez les dossiers suivants :

    1. Configuration de l’ordinateur

    2. Stratégies

    3. Modèles d’administration

    4. Polices informatiques locales

    5. Imprimantes

  8. Activer le point de package et l’impression - Serveurs approuvés et sélectionner le bouton Afficher...

  9. Entrez le nom complet du serveur. Séparez les noms à l’aide d’un point-virgule (;).

    Remarque Après avoir installé les mises à jour publiées le 21 septembre 2021 ou version ultérieure, vous pouvez configurer cette stratégie de groupe avec un point ou un point (.) adresses IP délimitées indifféremment avec des noms d’hôte complets ;

Forum Aux Questions

Q1 : chaque fois que j’essaie d’imprimer, je reçois une invite disant « Faites-vous confiance à cette imprimante » et nécessite des informations d’identification d’administrateur pour continuer.  Est-ce prévu ?

A1:Être invité à chaque tâche d’impression n’est pas prévu. La plupart des environnements ou appareils qui sont en situation de problème seront résolus en installant les mises à jour publiées le 12 octobre 2021 ou une version ultérieure.  Ces mises à jour corriger un problème lié aux serveurs d’impression et aux clients d’impression qui ne se sont pas situés dans le même fuseau horaire. 

Si vous continuez à ce problème après avoir installé les mises à jour publiées le 12 octobre 2021 ou une version ultérieure, vous devrez peut-être contacter le fabricant de votre imprimante pour obtenir des pilotes mis à jour.  Ce problème peut également se produire lorsqu’un pilote d’impression sur le client d’impression et le serveur d’impression utilisent le même nom de fichier, mais que le serveur dispose d’une version plus récente du fichier de pilote. Lorsque le client d’impression se connecte au serveur d’impression, il trouve un fichier de pilote plus nouveau et est invité à mettre à jour les pilotes sur le client d’impression. Toutefois, le fichier du package proposé pour l’installation n’inclut pas la version de fichier de pilote la plus récente. 

Les fichiers comparés sont les pilotes dans le dossier Depool, généralement dans C:\Windows\System32\spool\drivers\x64\3 sur le client d’impression et le serveur d’impression.  Le package de pilote proposé pour l’installation se fera généralement au niveau de C:\Windows\System32\spool\drivers\x64\DANS le serveur d’impression.  Une fois les fichiers du dossier \3 comparés entre les appareils, s’ils ne correspondent pas, le package dans MOBILE est installé.  Si les fichiers dans le dossier \3 du serveur d’impression ne sont pas du même pilote d’imprimante que celui offre au client, le client d’impression compare les fichiers et trouve l’inrélision à chaque impression. 

Pour atténuer ce problème, vérifiez que vous utilisez les pilotes les plus récents pour tous vos périphériques d’impression.  Si possible, utilisez la même version du pilote d’impression sur le client d’impression et le serveur d’impression. Si la mise à jour des pilotes dans votre environnement ne résout pas le problème, contactez le support technique du fabricant de votre imprimante (OEM).

T2 : J’ai installé les mises à jour publiées le 14 septembre 2021 et certains Windows ne peuvent pas imprimer sur des imprimantes réseau.  Y a-t-il une commande pour installer les mises à jour sur les clients d’impression et les serveurs d’impression ?

A2 : avant l’installation des mises à jour publiées le 14 septembre 2021 ou une version ultérieure sur les serveurs d’impression, les clients d’impression doivent avoir installé les mises à jour publiées le 12 janvier 2021 ou une version ultérieure. Windows ne s’imprimeront pas s’ils n’ont pas installé de mise à jour publiée le 12 janvier 2021 ou une version ultérieure. 

Remarque Vous n’avez pas besoin d’installer des mises à jour antérieures et pouvez installer les mises à jour après le 12 janvier 2021 sur les clients d’impression.  Nous vous recommandons d’installer la dernière mise à jour cumulative sur les clients et les serveurs.

Ressources

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.