Sažetak

Ažuriranja sustava Windows objavljena 10. kolovoza 2021. i novija prema zadanim će postavkama zahtijevati administrativne ovlasti za instalaciju upravljačkih programa. Tu smo promjenu izvršili zadanim ponašanjem radi rješavanja rizika na svim uređajima sa sustavom Windows, uključujući uređaje koji ne koriste funkcije Pokaži i Ispis ili Ispis. Dodatne informacije potražite u člancima Promjena zadanog ponašanja pokaži i ispiši i CVE-2021-34481.  

Korisnici koji nisu administratori po zadanom više neće moći učiniti sljedeće pomoću mogućnosti Pokaži i Ispiši bez povećanja ovlasti administratoru:

  • Instaliranje novih pisača pomoću upravljačkih programa na udaljenom računalu ili poslužitelju

  • Ažuriranje postojećih upravljačkih programa pisača pomoću upravljačkih programa s udaljenog računala ili poslužitelja

Napomena Ako ne koristite Point and Print, ta promjena ne bi trebala utjecati na vas i bit ćete zaštićeni prema zadanim postavkama nakon instalacije ažuriranja objavljenih 10. kolovoza 2021. ili novije.

Važno Klijenti za ispis u vašem okruženju moraju imati ažuriranje izdano 12. siječnja 2021. ili novije prije instaliranja ažuriranja od 14. rujna 2021.  Dodatne informacije potražite u odjeljku Q2 u odjeljku "Najčešća pitanja".

Izmjena zadanog ponašanja instalacije upravljačkog programa pomoću ključa registra

To zadano ponašanje možete izmijeniti pomoću ključa registra u tablici u nastavku. No budite vrlo oprezni prilikom korištenja vrijednosti nula (0) jer je to ranjivost uređaja. Ako morate koristiti vrijednost registra 0 u svom okruženju, preporučujemo da je privremeno koristite dok prilagođavate okruženje da bi uređaji sa sustavom Windows mogli koristiti vrijednost jednog (1).   

Mjesto registra

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Naziv DWorda

RestrictDriverInstallationToAdministrators

Podaci o vrijednosti

Zadano ponašanje: Ako tu vrijednost postavite na 1 ili ako ključ nije definiran ili ne postoji, bit će potrebna administratorska privilegija za instalaciju upravljačkog programa pisača prilikom korištenja funkcije Pokaži i ispiši. Ovaj ključ registra nadjačat će sva ograničenja za točke i ispis pravilnik grupe i jamči da samo administratori mogu instalirati upravljačke programe pisača s poslužitelja za ispis pomoću funkcije Pokaži i ispiši.

Postavljanje vrijednosti na 0 omogućuje korisnicima koji nisu administratori da instaliraju potpisane i nepotpisane upravljačke programe na poslužitelj za ispis, ali ne nadjačava postavke funkcije Point i Print pravilnik grupe. Zbog toga ograničenja za točke i ispis pravilnik grupe mogu nadjačati tu postavku ključa registra da ne bi administratori mogli instalirati potpisane i nepotpisane upravljačke programe za ispis s poslužitelja za ispis. Neki administratori mogu postaviti vrijednost 0 tako da korisnici koji nisu administratori mogu instalirati i ažurirati upravljačke programe nakon dodavanja dodatnih ograničenja, uključujući dodavanje postavke pravilnika koja ograničava instalaciju upravljačkih programa.

Važno Ne postoji kombinacija ublažavanja koja je ekvivalentna postavljanju RestrictDriverInstallationToAdministrators na 1.

Napomena Ažuriranja izdano 6. srpnja 2021. ili novije imaju zadanu vrijednost 0 (onemogućeno) do instalacije ažuriranja objavljenih 10. kolovoza 2021. ili novije.  Ažuriranja izdano 10. kolovoza 2021. ili novije imaju zadanu vrijednost 1 (omogućeno).

Preduvjeti za ponovno pokretanje

Prilikom stvaranja ili izmjene vrijednosti registra nije potrebno ponovno pokretanje.

Napomena Ažuriranja sustava Windows neće postaviti ni promijeniti ključ registra. Ključ registra možete postaviti prije ili nakon instaliranja ažuriranja objavljenih 10. kolovoza 2021. ili novije.

Automatiziranje dodavanja vrijednosti registra RestrictDriverInstallationToAdministrators

Da biste automatizirali dodavanje vrijednosti registra RestrictDriverInstallationToAdministrators, slijedite ove korake:

  1. Otvorite prozor naredbenog retka (cmd.exe) s dodatnim dozvolama.

  2. Upišite sljedeću naredbu, a zatim pritisnite Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Postavljanje alata RestrictDriverInstallationToAdministrators pomoću pravilnik grupe

Nakon instalacije ažuriranja objavljenih 12. listopada 2021. ili novije verzije možete postaviti i RestrictDriverInstallationToAdministrators pomoću pravilnik grupe pomoću sljedećih uputa:

  1. Otvorite alat za uređivanje pravilnika grupe i idite na Konfiguracija računala > administrativne predloške > pisačima. 

  2. Postavite postavku Ograničenja instalacije upravljačkog programa za ispis na Administratore na "Omogućeno". Time će se vrijednost registra RestrictDriverInstallationToAdministrators postaviti na 1.

Instaliranje upravljačkih programa za ispis kada se nametne nova zadana postavka

Ako Ste postavili RestrictDriverInstallationToAdministrators kao što nije definirano ili na 1, ovisno o vašem okruženju, korisnici moraju koristiti jedan od sljedećih načina instalacije pisača:

  • Navedite administratorski korisničko ime i lozinku kada se od vas zatraži da unesete vjerodajnice prilikom pokušaja instalacije upravljačkog programa pisača.

  • U sliku OS-a uvrstite potrebne upravljačke programe pisača.

  • Privremeno postavite RestrictDriverInstallationToAdministrators na 0 da biste instalirali upravljačke programe pisača.

Napomena Ako ne možete instalirati upravljačke programe pisača, čak ni uz administratorske ovlasti, morate onemogućiti mogućnost Samo koristi točku paketa i ispis pravilnik grupe.

Preporučene postavke i djelomična ublažavanja za okruženja koja ne mogu koristiti zadano ponašanje

Sljedeća ublažavanja mogu pomoći u zaštiti svih okruženja, ali osobito ako morate postaviti RestrictDriverInstallationToAdministrators na 0. Ova ublažavanja ne rješavaju u potpunosti slabe točke u CVE-2021-34481.

Važno Ne postoji kombinacija ublažavanja koja je ekvivalentna postavljanju RestrictDriverInstallationToAdministrators na 1.

Provjerite je li RpcAuthnLevelPrivacyEnabled postavljen na 1 ili nije definiran

Provjerite je li RpcAuthnLevelPrivacyEnabled postavljen na 1 ili nije definiran na način opisan u članku Upravljanje implementacijom RPC promjena povezivanja pisača za CVE-2021-1678 (KB4599464).

Provjera jesu li sigurnosni upiti omogućeni za Point i Print

Provjerite jesu li sigurnosni upiti omogućeni za Point i Print kao što je opisano u članku KB5005010: ograničavanje instalacije novih upravljačkih programa pisača nakon primjene ažuriranja od 6. srpnja 2021. 

Dopusti korisnicima povezivanje samo s određenim poslužiteljima za ispis koje smatrate pouzdanima

Ovo pravilo, Ograničenja za točke i ispis, odnosi se na pisače Point i Print koji koriste upravljački program koji ne podržava pakete na poslužitelju. 

Slijedite sljedeće korake:

  1. Otvorite pravilnik grupe Management Console (GPMC).

  2. U stablu konzole GPMC otvorite domenu ili organizacijsku jedinicu (OU) u kojoj se pohranjuju korisnički računi za koje želite izmijeniti sigurnosne postavke upravljačkog programa pisača.

  3. Desnom tipkom miša kliknite odgovarajuću domenu ili OU, a zatim kliknite Stvori GPO u ovoj domeni i Poveži je ovdje.Upišite naziv novog objekta pravilnik grupe (GPO), a zatim kliknite U redu.

  4. Desnom tipkom miša kliknite GPO koji ste stvorili, a zatim kliknite Uređivanje.

  5. U prozoru pravilnik grupe Management Editor kliknite Konfiguracija računala, zatim Pravilnici, potom Administrativni predlošci, a potom Pisači.

  6. Desnom tipkom miša kliknite Ograničenja za točke i ispis, a zatim kliknite Uređivanje.

  7. U dijaloškom okviru Ograničenja za točke i ispis kliknite Omogućeno.

  8. Potvrdite okvir Korisnici mogu pokažiti i ispisivati samo na tim poslužiteljima ako već nije potvrđen.

  9. Unesite potpuno kvalificirane nazive poslužitelja. Svaki naziv odvojite točkom sa zarezom (;).

    Napomena Nakon instaliranja ažuriranja objavljenih 21. rujna 2021. ili novije, pravilnik grupe možete konfigurirati točkom ili točkom (.) razgraničene IP adrese naizmjenično s potpuno kvalificiranim nazivima glavnog računala.

  10. U okviru Prilikom instalacije upravljačkih programa za novu vezu odaberite Pokaži upozorenje i Povišeni upit.

  11. U okviru Prilikom ažuriranja upravljačkih programa za postojeću vezu odaberite Pokaži upozorenje i Povišeni upit.

  12. Kliknite U redu.

Dopusti korisnicima povezivanje samo s određenim poslužiteljima točke paketa i ispisa koje smatrate pouzdanima

Ovo pravilo, Package Point i Print – odobreni poslužitelji, ograničit će ponašanje klijenta tako da dopusti veze point i print samo na definirane poslužitelje koji koriste upravljačke programe koji koriste pakete.

Slijedite sljedeće korake:

  1. Na domenskom kontroleru odaberite Start, zatim Administrativni alati, a zatim pravilnik grupe Upravljanje. Umjesto toga, odaberite Start, odaberite Pokreni, upišite GPMC.MSC, a zatim pritisnite Enter.

  2. Proširite šumu, a zatim proširite domene.

  3. U odjeljku vaše domene odaberite OU u kojem želite stvoriti taj pravilnik.

  4. Desnom tipkom miša kliknite OU, a zatim odaberite Stvori GPO u ovoj domeni i povežite ga ovdje.

  5. Imenujte GPO, a zatim odaberite U redu.

  6. Desnom tipkom miša kliknite novostvoreni pravilnik grupe objekt, a zatim odaberite Uređivanje da biste otvorili uređivač pravilnik grupe upravljanje.

  7. U uređivaču pravilnik grupe upravljanjem proširite sljedeće mape:

    1. Konfiguracija računala

    2. Politike

    3. Administrativni predlošci

    4. Lokalne računalne policije

    5. Pisači

  8. Enable Package Point and Print - Approved servers and select the Show... button.

  9. Unesite potpuno kvalificirane nazive poslužitelja. Svaki naziv odvojite točkom sa zarezom (;).

    Napomena Nakon instaliranja ažuriranja objavljenih 21. rujna 2021. ili novije, pravilnik grupe možete konfigurirati točkom ili točkom (.) razgraničene IP adrese naizmjenično s potpuno kvalificiranim nazivima glavnog računala.

Najčešća pitanja

P1: Svaki put kada pokušate ispisivati, primit ću upit "Smatrate li ovaj pisač pouzdanim", a za nastavak su potrebne administratorske vjerodajnice.  Je li to očekivano?

A1:Upit za svaki zadatak ispisa nije očekivan. Većina okruženja ili uređaja s tim problemom riješit će se instaliranjem ažuriranja objavljenih 12. listopada 2021. ili novijim.  Ta ažuriranja rješavaju problem povezan s poslužiteljima za ispis i klijentima za ispis koji nisu u istoj vremenskoj zoni. 

Ako i dalje imate taj problem nakon instalacije ažuriranja objavljenih 12. listopada 2021. ili novije, možda ćete se morati obratiti proizvođaču pisača radi ažuriranih upravljačkih programa.  Taj se problem može pojaviti i kada upravljački program za ispis na klijentu za ispis i poslužitelj za ispis koriste isti naziv datoteke, ali poslužitelj ima noviju verziju datoteke upravljačkog programa. Kada se klijent za ispis poveže s poslužiteljem za ispis, pronaći će noviju datoteku upravljačkog programa i od njega će se zatražiti da ažurira upravljačke programe na klijentu za ispis. No datoteka u paketu koji se nudi za instalaciju ne obuhvaća noviju verziju datoteke upravljačkog programa. 

Datoteke koje se uspoređuju su upravljački programi unutar mape usmjerivača, obično u mapi C:\Windows\System32\spool\drivers\x64\3 na klijentu za ispis i na poslužitelju za ispis.  Paket upravljačkog programa koji se nudi za instalaciju obično se nalazi u C:\Windows\System32\spool\drivers\x64\PCC na poslužitelju za ispis.  Nakon što se datoteke u mapi \3 uspoređuju između uređaja, ako se ne podudaraju, instalira se paket u PCC-u .  Ako datoteke u mapi \3 poslužitelja za ispis nisu iz istog upravljačkog programa pisača koji PCC nudi klijentu, klijent za ispis usporedit će datoteke i pronaći nepodudaranje prilikom svakog ispisa. 

Da biste ublažili taj problem, provjerite koristite li najnovije upravljačke programe za sve uređaje za ispis.  Kada je to moguće, koristite istu verziju upravljačkog programa za ispis na klijentu za ispis i poslužitelju za ispis. Ako ažuriranje upravljačkih programa u vašem okruženju ne riješi problem, obratite se podršci proizvođača pisača (OEM-a).

P2: Instalirao sam ažuriranja objavljena 14. rujna 2021. i neki uređaji sa sustavom Windows ne mogu ispisivati na mrežnim pisačima.  Postoji li narudžba za instalaciju ažuriranja na klijente za ispis i poslužitelje za ispis?

O2: Prije instaliranja ažuriranja objavljenih 14. rujna 2021. ili novije na poslužiteljima za ispis, klijenti za ispis moraju imati instalirana ažuriranja objavljena 12. siječnja 2021. ili novija. Uređaji sa sustavom Windows neće se ispisivati ako nisu instalirali ažuriranje izdano 12. siječnja 2021. ili novije. 

Napomena Nakon 12. siječnja 2021. na ispis klijenata ne morate instalirati earlier updates i možete instalirati bilo koje ažuriranje.  Preporučujemo da instalirate najnovije kumulativno ažuriranje na klijente i poslužitelje.

Resursi

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.