סיכום
Windows שפורסמו ב- 10 באוגוסט 2021 ואילך יידרשו, כברירת מחדל, הרשאות ניהול להתקנת מנהלי התקנים. ביצענו שינוי זה באופן הפעולה המהווה ברירת מחדל כדי לטפל בסיכון בכל Windows, כולל מכשירים שלא משתמשים בפונקציונליות הצבע וההדפסה או ההדפסה. לקבלת מידע נוסף, ראה שינוי אופן פעולה המהווה ברירת מחדל של הצבע והדפס ו- CVE-2021-34481.
כברירת מחדל, משתמשים שאינם מנהלי מערכת לא יוכלו עוד לבצע את הפעולות הבאות באמצעות Point and Print ללא העלאת רמת הרשאות למנהל המערכת:
-
התקנת מדפסות חדשות באמצעות מנהלי התקנים במחשב או בשרת מרוחק
-
עדכון מנהלי מדפסות קיימים באמצעות מנהלי התקנים ממחשב או שרת מרוחק
הערה אם אינך משתמש ב- Point and Print, אינך אמור להיות מושפע משינוי זה, והוא יהיה מוגן כברירת מחדל לאחר התקנת עדכונים שהופצה ב- 10 באוגוסט 2021 ואילך.
חשוב ללקוחות הדפסה בסביבה שלך חייב להיות עדכון שהופצה ב- 12 בינואר 2021 ואילך לפני התקנת עדכונים שהופצה ב- 14 בספטמבר 2021. עיין ב - Q2 ב"שאלות נפוצות" להלן לקבלת מידע נוסף.
שינוי אופן הפעולה המהווה ברירת מחדל להתקנת מנהל התקן באמצעות מפתח רישום
באפשרותך לשנות אופן פעולה זה המהווה ברירת מחדל באמצעות מפתח הרישום בטבלה שלהלן. עם זאת, היזהר מאוד בעת שימוש בערך של אפס (0) מכיוון ששימוש זה הופך מכשירים לפגיעים. אם עליך להשתמש בערך הרישום של 0 בסביבה שלך, מומלץ להשתמש בו באופן זמני בעת התאמת הסביבה שלך כדי לאפשר למכשירי Windows להשתמש בערך של אחד (1).
מיקום הרישום |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
שם DWord |
RestrictDriverInstallationToAdministrators |
נתוני ערך |
אופן פעולה המהווה ברירת מחדל: הגדרת ערך זה ל - 1או אם המפתח אינו מוגדר או אינו קיים, תדרוש הרשאת מנהל מערכת כדי להתקין מנהל מדפסת כלשהו בעת שימוש ב- Point and Print. מפתח רישום זה יעקף את כל הגדרות המדיניות הקבוצתית של 'הגבלות הצבע והדפס' ומבטיח שרק מנהלי מערכת יכולים להתקין מנהלי מדפסות משרת הדפסה באמצעות Point and Print. הגדרת הערך ל- 0 מאפשרת למשתמשים שאינם מנהלי מערכת להתקין מנהלי התקנים חתומים ולא חתומים בשרת הדפסה, אך אינה עוקפת את הגדרות המדיניות הקבוצתית הצבע והדפס. כתוצאה מכך, הגדרות המדיניות הקבוצתית 'הגבלות הצבע והדפס' יכולות לעקוף הגדרת מפתח רישום זו כדי למנוע ממנהלים שאינם מנהלי מערכת להתקין מנהלי הדפסה חתומים ולא חתומים משרת הדפסה. מנהלי מערכת מסוימים עשויים להגדיר את הערך ל- 0 כדי לאפשר למנהלים שאינם מנהלי מערכת להתקין ולעדכן מנהלי התקנים לאחר הוספת הגבלות נוספות, כולל הוספת הגדרת מדיניות המגבילה את מקום ההתקנה של מנהלי התקנים. חשוב אין שילוב של גורמים מקלים המקבילים להגדרת RestrictDriverInstallationToAdministrators ל- 1. הערה עדכונים שהופצה ב- 6 ביולי 2021 ואילך כוללים ברירת מחדל של 0 (לא זמין) עד להתקנת העדכונים שהופצה ב- 10 באוגוסט 2021 ואילך. עדכונים שהופצה ב- 10 באוגוסט 2021 ואילך כוללים ברירת מחדל של 1 (זמין). |
דרישות הפעלה מחדש |
לא נדרשת הפעלה מחדש בעת יצירה או שינוי של ערך רישום זה. |
הערה Windows לא יגדירו או ישתנו את מפתח הרישום. באפשרותך להגדיר את מפתח הרישום לפני או אחרי התקנת עדכונים שהופצה ב- 10 באוגוסט 2021 ואילך.
הפיכת התוספת של RestrictDriverInstallation לאוטומטית לערך הרישום של RestrictDriverInstallationToAdministrators
כדי להפוך את התוספת של ערך הרישום RestrictDriverInstallationToAdministrators לאוטומטית, בצע את הפעולות הבאות:
-
פתח חלון שורת פקודה (cmd.exe) עם הרשאות מלאות.
-
הקלד את הפקודה הבאה ולאחר מכן הקש Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
הגדרת RestrictDriverInstallationToAdministrators באמצעות מדיניות קבוצתית
לאחר התקנת עדכונים שהופצה ב- 12 באוקטובר 2021 ואילך, באפשרותך גם להגדיר את RestrictDriverInstallationToAdministrators באמצעות מדיניות קבוצתית, באמצעות ההוראות הבאות:
-
פתח את הכלי של עורך המדיניות הקבוצתית ו עבור אל תצורת מחשב> ניהול> מדפסות.
-
הגדר את ההגדרה הגבלת התקנת מנהל התקן הדפסה למנהלי מערכת כ"זמין". פעולה זו תגדיר את ערך הרישום של RestrictDriverInstallationToAdministrators ל- 1.
התקנת מנהלי התקנים של הדפסה כאשר הגדרת ברירת המחדל החדשה נאכפת
אם תגדיר את RestrictDriverInstallationToAdministrators כפי שלא הוגדר או כ- 1, בהתאם לסביבה שלך, המשתמשים חייבים להשתמש באחת מהשיטות הבאות כדי להתקין מדפסות:
-
ספק שם משתמש וסיסמה של מנהל מערכת כאשר תתבקש לספק אישורים בעת ניסיון להתקין מנהל מדפסת.
-
כלול את מנהלי המדפסת הדרושים בתמונת מערכת ההפעלה.
-
הגדר באופן זמני את RestrictDriverInstallationToAdministrators ל- 0 כדי להתקין מנהלי מדפסות.
הערה אם אין באפשרותך להתקין מנהלי מדפסת, גם עם הרשאת מנהל מערכת, עליך להפוך את המדיניות הקבוצתית 'נקודת חבילה' ו'הדפס' ללא זמינה.
הגדרות מומלצות והפחתת הסיכון החלקית עבור סביבות שלא ניתן להשתמש בהתנהגות ברירת המחדל
ההנגנות הבאות יכולות לעזור לאבטח את כל הסביבות, אך במיוחד אם עליך להגדיר את RestrictDriverInstallationToAdministrators ל- 0. גורמים מקלים אלה אינם פותרים לחלוטין את הפגיעויות ב - CVE-2021-34481.
חשוב אין שילוב של גורמים מקלים המקבילים להגדרת RestrictDriverInstallationToAdministrators ל- 1.
ודא ש- RpcAuthnLevelPrivacyEnabled מוגדר ל- 1 או לא מוגדר
ודא ש- RpcAuthnLevelPrivacyEnabled מוגדר ל- 1 או לא מוגדר כמתואר בניהול הפריסה של שינויים באיגוד RPC של מדפסת עבור CVE-2021-1678 (KB4599464).
ודא שהנחיות אבטחה זמינות עבור 'הצבע והדפס'
ודא שהנחיות אבטחה זמינות עבור הצבע והדפסת כמתואר ב- KB5005010: הגבלת ההתקנה של מנהלי מדפסת חדשים לאחר החלת העדכונים ב- 6 ביולי 2021.
אפשר למשתמשים להתחבר לשרתי הדפסה ספציפיים שאתה בוטח בהם בלבד
מדיניות זו, הגבלות הצבע והדפס חלות על מדפסות הצבע והדפס באמצעות מנהל התקן שאינו מודע לחבילה בשרת.
בצע את השלבים הבאים:
-
פתח את מסוף ניהול המדיניות הקבוצתית (GPMC).
-
בעץ המסוף של GPMC, עבור אל התחום או היחידה הארגונית (OU) המאחסן את חשבונות המשתמשים שעבורם ברצונך לשנות את הגדרות האבטחה של מנהל המדפסת.
-
לחץ באמצעות לחצן העכבר הימני על התחום או ה- OU המתאימים ולחץ על צור GPO בתחום זה וקשר אותו לכאן.הקלד שם עבור אובייקט המדיניות הקבוצתית (GPO) החדש ולאחר מכן לחץ על אישור.
-
לחץ באמצעות לחצן העכבר הימני על ה- GPO שיצרת ולאחר מכן לחץ על ערוך.
-
בחלון עורך ניהול מדיניות קבוצתית, לחץ על תצורת מחשב, לחץ על מדיניות, לחץ על תבניות ניהול ולאחר מכן לחץ על מדפסות.
-
לחץ באמצעות לחצן העכבר הימני על הגבלות הצבע והדפס ולאחר מכן לחץ על ערוך.
-
בתיבת הדו-שיח הגבלות הצבע והדפס , לחץ על זמין.
-
בחר את תיבת הסימון משתמשים יכולים להצביע ולהדפיס לשרתים אלה רק אם היא עדיין לא נבחרה.
-
הזן את שמות השרתים המלאים. הפרד כל שם באמצעות נקודה-פסיק (;).
הערה לאחר התקנת עדכונים שהופצה ב- 21 בספטמבר 2021 ואילך, באפשרותך להגדיר מדיניות קבוצתית זו עם נקודה או נקודה (.) כתובות IP מופרדות לחילופין עם שמות מארחים מלאים.
-
בתיבה בעת התקנת מנהלי התקנים עבור חיבור חדש, בחר הצג אזהרה ובקשה עם הרשאות מלאות.
-
בתיבה בעת עדכון מנהלי התקנים עבור חיבור קיים , בחר הצג אזהרה ובקשה עם הרשאות מלאות.
-
לחץ על אישור.
אפשר למשתמשים להתחבר רק לשרתים ספציפיים של נקודת חבילה והדפסה שאתה בוטח בהם
מדיניות זו, נקודת חבילה והדפסה - שרתים מאושרים, תגביל את אופן הפעולה של הלקוח כדי לאפשר חיבורי Point ו- Print רק לשרתים מוגדרים המשתמשים במנהלי התקנים המודעים לחבילה.
בצע את השלבים הבאים:
-
בבקר התחום, בחר התחל, בחר כלי ניהול ולאחר מכן בחר ניהול מדיניות קבוצתית. לחלופין, בחר התחל, בחר הפעל, הקלד GPMC.MSC ולאחר מכן הקש Enter.
-
הרחב את היער ולאחר מכן הרחב את התחומים.
-
תחת התחום שלך, בחר את ה- OU שבו ברצונך ליצור מדיניות זו.
-
לחץ באמצעות לחצן העכבר הימני על ה- OU ולאחר מכן בחר צור GPO בתחום זה וקשר אותו לכאן.
-
תן ל- GPO שם ולאחר מכן בחר אישור.
-
לחץ באמצעות לחצן העכבר הימני על אובייקט המדיניות הקבוצתית החדש שנוצר ולאחר מכן בחר ערוך כדי לפתוח את עורך ניהול המדיניות הקבוצתית.
-
בעורך ניהול המדיניות הקבוצתית, הרחב את התיקיות הבאות:
-
תצורת מחשב
-
מדיניות
-
תבניות ניהול
-
המשטרה המקומית של המחשב
-
מדפסות
-
-
הפוך נקודת חבילה והדפסה לזמינים - שרתים מאושרים ובחר בלחצן הצג... .
-
הזן את שמות השרתים המלאים. הפרד כל שם באמצעות נקודה-פסיק (;).
הערה לאחר התקנת עדכונים שהופצה ב- 21 בספטמבר 2021 ואילך, באפשרותך להגדיר מדיניות קבוצתית זו עם נקודה או נקודה (.) כתובות IP מופרדות לחילופין עם שמות מארחים מלאים.
שאלות נפוצות
ש1: בכל פעם שאני מנסה להדפיס, אני מקבל הודעה שאומרת " האם אתה בוטח במדפסת זו", והיא דורשת אישורי מנהל מערכת כדי להמשיך. האם זה צפוי?
A1:לא נדרשת בקשה לכל משימת הדפסה. רוב הסביבות או המכשירים החוויה בבעיה זו יפתרו על-ידי התקנת עדכונים שהופצה ב- 12 באוקטובר 2021 ואילך. עדכונים אלה לפתור בעיה הקשורה לשרתי הדפסה ולהדפיס לקוחות שלא קיימים באותו אזור זמן.
אם אתה עדיין נתקל בבעיה זו לאחר התקנת עדכונים שהופצה ב- 12 באוקטובר 2021 ואילך, ייתכן שיהיה עליך לפנות ליצרן המדפסת לקבלת מנהלי התקנים מעודכנים. בעיה זו עשויה להתרחש גם כאשר מנהל התקן הדפסה בלקוח ההדפסה ובשרת ההדפסה משתמשים באותו שם קובץ, אך לשרת יש גירסה חדשה יותר של קובץ מנהל ההתקן. כאשר לקוח ההדפסה מתחבר לשרת ההדפסה, הוא מוצא קובץ מנהל התקן חדש יותר ומתבקש לעדכן את מנהלי ההתקנים בלקוח ההדפסה. עם זאת, הקובץ בחבילה שהוא מוצע להתקנה אינו כולל את גירסת קובץ מנהל ההתקן החדשה יותר.
הקבצים בהשוואה הם מנהלי ההתקנים בתוך תיקיית ההדפסה ברקע, בדרך כלל ב- C:\Windows\System32\spool\drivers\x64\3 הן בלקוח ההדפסה וגם בשרת ההדפסה. חבילת מנהל ההתקן המוצעת להתקנה בדרך כלל תהיה ב- C:\Windows\System32\spool\drivers\x64\PCC בשרת ההדפסה. לאחר השוואה בין הקבצים בתיקיה \3 , אם הם אינם תואמים, החבילה ב- PCC מותקנת. אם הקבצים בתיקיה \3 של שרת ההדפסה אינם מאותו מנהל מדפסת ש- PCC מציע ללקוח, לקוח ההדפסה ישווה את הקבצים ויתאר את חוסר הה התאמה בכל פעם שהוא מדפיס.
כדי לצמצם בעיה זו, ודא שאתה משתמש במנהלי ההתקנים העדכניים ביותר עבור כל התקני ההדפסה שלך. ככל האפשר, השתמש באותה גירסה של מנהל התקן ההדפסה בלקוח ההדפסה ובשרת ההדפסה. אם עדכון מנהלי התקנים בסביבה שלך אינו פותר את הבעיה, פנה לתמיכה עבור יצרן המדפסת (OEM).
ש2: התקנתי עדכונים שהופצה ב- 14 בספטמבר 2021 ובמכשירי Windows מסוימים אין אפשרות להדפיס במדפסות רשת. האם יש הזמנה שאני צריך להתקין עדכונים בלקוחות הדפסה ובשרתי הדפסה?
ת2: לפני התקנת עדכונים שהופצה ב- 14 בספטמבר 2021 ואילך בשרתי הדפסה, לקוחות הדפסה חייבים להתקין עדכונים שהופצה ב- 12 בינואר 2021 ואילך. Windows לא יודפסו אם הם לא התקנו עדכון שהופצה ב- 12 בינואר 2021 ואילך.
הערה אינך צריך להתקין עדכונים מוקדמים יותר והתקן כל עדכון לאחר 12 בינואר 2021 בלקוחות הדפסה. מומלץ להתקין את העדכון המצטבר האחרון בלקוחות ובשרתים.