Összefoglalás
Windows 2021. augusztus 10-én és az újabb kiadásokban megjelent frissítések alapértelmezés szerint rendszergazdai jogosultságot igényelnek az illesztőprogramok telepítéséhez. Ezt a változtatást az alapértelmezett működésmódban úgy változott, hogy az összes Windows, beleértve azokat az eszközöket is, amelyek nem használják a Point és a Print vagy a Print funkciót. További információt a Point and Print Default Behavior Change és CVE-2021-34481 (A pont és a nyomtatás alapértelmezett viselkedésének módosítása és a CVE-2021-34481) között található.
Alapértelmezés szerint a nem rendszergazda felhasználók a továbbiakban nem fogják tudni az alábbiakat a Pont és a Nyomtatás használatával a rendszergazda jogosultsági szint jogosultsága nélkül használni:
-
Új nyomtatók telepítése illesztőprogramokkal távoli számítógépen vagy kiszolgálón
-
Meglévő nyomtató-illesztőprogramok frissítése távoli számítógépről vagy kiszolgálóról származó illesztőprogramokkal
Megjegyzés Ha nem használja a Point and Print 2021-es vagy újabb augusztus 10-én kiadott frissítéseket, a változás nem érinti, és alapértelmezés szerint védelem alatt lesz.
Fontos A 2021. szeptember 14-i kiadás telepítése előtt a környezetében a nyomtatási ügyfeleknek ki kell lennie 2021. január 12-én vagy egy újabb frissítéssel. További információt alább, a "Gyakori kérdések" 2 . negyedévében olvashat.
Az alapértelmezett illesztőprogram telepítési viselkedésének módosítása beállításkulcs használatával
Ezt az alapértelmezett viselkedést az alábbi táblázat beállításkulcsával módosíthatja. Legyen azonban nagyon óvatos, amikor nulla (0) értéket használ, mert így az eszközök sebezhetővé válnak. Ha a 0 beállításjegyzékbeli értéket kell használnia a környezetében, azt javasoljuk, hogy ideiglenesen használja, miközben úgy módosítja a környezetét, hogy az Windows-eszközök egy (1) értéket használjanak.
Beállításjegyzékbeli hely |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord név |
RestrictDriverInstallationToAdministrators |
Érték |
Alapértelmezett működés: Ha ezt az értéket 1-re írják be, vagy ha a kulcs nincs definiálva vagy nincs jelen, a Point and Print használata esetén rendszergazdai jogosultság szükséges a nyomtató illesztőprogramjának telepítéséhez. Ez a beállításkulcs felülírja a pont- és nyomtatási korlátozások csoportházirend-beállításait, és biztosítja, hogy csak a rendszergazdák telepítenének nyomtató-illesztőprogramokat a nyomtatókiszolgálóról a Point and Print használatával. Ha a 0 értéket használja, a rendszergazdák telepíthet aláírt és aláíratlan illesztőprogramokat a nyomtatókiszolgálóra, de nem bírálják felül a Pont és a Nyomtatás csoportházirend beállításait. Ennek következtében a Pont- és nyomtatási korlátozások csoportházirend-beállításai felülbírálhatják ezt a beállításkulcs-beállítást, így a rendszergazdák nem telepíthet aláírt és aláíratlan nyomtatóillesztőket a nyomtatókiszolgálóról. Előfordulhat, hogy egyes rendszergazdák a 0 értéket állítva engedélyezik a rendszergazdáknak az illesztőprogramok telepítését és frissítését, ha további korlátozásokat is hozzáadnak, például egy olyan házirend-beállítást, amely korlátozza az illesztőprogramok telepítését. Fontos Nincs olyan kombináció, amely egyenértékű a RestrictDriverInstallationToAdministrators beállítással 1-re. Megjegyzés A 2021. július 6-án vagy később kiadott frissítések alapértelmezés szerint 0 (letiltva) vannak egészen a 2021. augusztus 10-ig vagy újabb augusztus 10-ig kiadott frissítések telepítéséhez. A 2021. augusztus 10-én vagy újabban kiadott frissítések alapértelmezett beállítása 1 (engedélyezve van). |
Újraindítási követelmények |
A beállításjegyzékbeli érték létrehozásakor vagy módosításakor nincs szükség újraindításra. |
Megjegyzés Windows beállításkulcs nem lesz beállítva és nem módosítja a beállításkulcsot. A 2021. augusztus 10-én vagy később kiadott frissítések telepítése előtt vagy után beállíthatja a beállításkulcsot.
A RestrictDriverInstallationToAdministrators beállításérték automatikus beállítása
A RestrictDriverInstallationToAdministrators beállításjegyzékbeli érték automatikus kiegészítéséhez kövesse az alábbi lépéseket:
-
Nyisson meg egy parancssorablakot (cmd.exe) magasabb szintű engedélyekkel.
-
Írja be a következő parancsot, majd nyomja le az Enter billentyűt:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Set RestrictDriverInstallationToAdministrators using Group Policy
A 2021. október 12-én vagy újabb verzióban kiadott frissítések telepítése után a Következő utasítások szerint csoportházirend használatával is beállíthatja a RestrictDriverInstallationToAdministrators beállítását:
-
Nyissa meg a csoportházirend-szerkesztő eszközt, és nyissa meg a Számítógép konfigurációja> felügyeleti sablonokat > nyomtatókon.
-
Állítsa a Limits print driver installation (A nyomtatóillesztő telepítésének korlátai) beállítást a Rendszergazdák beállításra, és állítsa az "Enabled" (Engedélyezve) beállítást. Ezzel a RestrictDriverInstallationToAdministrators beállításjegyzékbeli értékét 1-re állítsa.
Nyomtató-illesztőprogramok telepítése az új alapértelmezett beállítás kényszerítés után
Ha a RestrictDriverInstallationToAdministrators beállítását nem definiáltként vagy 1-re (a környezettől függően) adja meg, a felhasználóknak az alábbi módszerek egyikével kell telepíteniük a nyomtatókat:
-
Adjon meg egy rendszergazdai felhasználónevet és jelszót, amikor a nyomtató-illesztőprogram telepítésekor a rendszer hitelesítő adatokat kér.
-
A szükséges nyomtató-illesztőprogramokat foglalja bele az operációs rendszer képére.
-
A nyomtatóillesztők telepítéséhez ideiglenesen állítsa a RestrictDriverInstallationToAdministrators beállítás 0-ra.
Megjegyzés Ha még rendszergazdai jogosultsággal sem tud nyomtatóillesztőket telepíteni, le kell tiltania a Csak a csomag ponttal és a nyomtatással csoportházirendet .
Ajánlott beállítások és részleges kezelési megoldások olyan környezetek esetén, amelyek nem tudják használni az alapértelmezett viselkedést
Az alábbi megoldások segíthetnek az összes környezet biztonságában, de különösen akkor, ha a RestrictDriverInstallationToAdministrators beállításnál a 0-t kell beállítani. Ezek a megoldások nem teljes mértékben szüntetik meg a CVE-2021-34481 biztonsági réseit.
Fontos Nincs olyan kombináció, amely egyenértékű a RestrictDriverInstallationToAdministrators beállítással 1-re.
Annak ellenőrzése, hogy az RpcAuthnLevelPrivacyEnabled értéke 1 vagy nincs-e definiálva
Ellenőrizze, hogy az RpcAuthnLevelPrivacyEnabled értéke 1-e, vagy nincs definiálva a Printer RPC binding changes for CVE-2021-1678 (KB4599464) (Printer RPC binding changes for CVE-2021-1678 (KB4599464) című cikk leírtak szerint.
Annak ellenőrzése, hogy a biztonsági figyelmeztetések engedélyezve vannak-e a Pont és a Nyomtatás beállításhoz
Ellenőrizze, hogy engedélyezve vannak-e a biztonsági kérések a Point and Print alkalmazáshoz a KB5005010: Az új nyomtató-illesztőprogramok telepítésének korlátozása a 2021. július 6-i frissítések telepítése után című cikknek megfelelő módon.
A felhasználók csak megbízható nyomtatókiszolgálókhoz való csatlakozásának megengedve
Ez a házirend (Point and Print Restrictions) olyan pont- és nyomtatónyomtatókra vonatkozik, amelyek nem csomagra vonatkozó illesztőprogrammal rendelkeznek a kiszolgálón.
Kövesse az alábbi lépéseket:
-
Nyissa meg a Csoportházirend kezelése konzolt (GPMC).
-
A GPMC konzolfáján kattintson arra a tartományra vagy szervezeti egységre, amely azokat a felhasználói fiókokat tárolja, amelyeknél módosítani szeretné a nyomtatóillesztő biztonsági beállításait.
-
Kattintson a jobb gombbal a megfelelő tartományra vagy szervezeti egységre, és válassza a GPO létrehozása ebben a tartományban és a Csatolás ide hivatkozást.Írja be az új csoportházirend-objektum nevét, majd kattintson az OK gombra.
-
Kattintson a jobb gombbal a létrehozott objektumra, majd kattintson a Szerkesztés parancsra.
-
A Csoportházirend-kezelő szerkesztő ablakban kattintson a Számítógép konfigurációja, majd a Házirendek, majd a Felügyeleti sablonok, végül a Nyomtatók elemre.
-
Kattintson a jobb gombbal a Rámutatás és a Nyomtatási korlátozások elemre, majd kattintson a Szerkesztés parancsra.
-
A Pont - és nyomtatási korlátozások párbeszédpanelen kattintson az Engedélyezve gombra.
-
Jelölje be A felhasználók csak ezekre a kiszolgálókra mutathat és nyomtathat jelölőnégyzetet, ha még nincs bejelölve.
-
Írja be a teljesen minősített kiszolgálóneveket. Pontosvesszővel (pontosvesszővel) válassza el egymástól a ;).
Megjegyzés A 2021. szeptember 21-én vagy később kiadott frissítések telepítése után ponttal vagy ponttal (.) konfigurálhatja a csoportházirendet. határolt IP-címek teljesen minősített állomásnevekkel felcserélhetők.
-
Az Illesztőprogramok új kapcsolathoz telepítésekor mezőben válassza a Figyelmeztetés megjelenítése és az Emelt szintű üzenet megjelenítése lehetőséget.
-
A Meglévő kapcsolat illesztőprogramjainak frissítésekkor mezőben válassza a Figyelmeztetés megjelenítése és az Emelt szintű üzenet megjelenítése lehetőséget.
-
Kattintson az OK gombra.
A felhasználók csak megbízható package point- és print-kiszolgálókhoz csatlakozhatnak
Ez a házirend a Package Point and Print - Approved servers (Csomagpont és nyomtatás) jóváhagyott kiszolgálókra korlátozza az ügyfélprogram viselkedését úgy, hogy csak a csomagvezető illesztőprogramokat felhasználó definiált kiszolgálókhoz engedélyezze a Pont- és a Print-kapcsolatokat.
Kövesse az alábbi lépéseket:
-
A tartományvezérlőn válassza a Start gombot, válassza a Felügyeleti eszközök, majd a Csoportházirend-kezelés lehetőséget. Másik lehetőségként válassza a Start gombot, válassza a Futtatás parancsot, írja be a GPMC.MSC parancsot, és nyomja le az Enter billentyűt.
-
Bontsa ki az erdőt, majd bontsa ki a tartományokat.
-
A tartománya alatt válassza ki azt az szervezeti egységnevet, amelyben létre szeretné hozni a házirendet.
-
Kattintson a jobb gombbal a szervezeti egységre, és válassza a GPO létrehozása ebben a tartományban lehetőséget, és csatolja ide.
-
Nevezze el a GPO-t, és válassza az OK gombot.
-
Kattintson a jobb gombbal az újonnan létrehozott Csoportházirend-objektumra, és a Szerkesztés gombra kattintva nyissa meg a Csoportházirend-kezelő szerkesztőt.
-
A Csoportházirend-kezelő szerkesztőben bontsa ki az alábbi mappákat:
-
Számítógép konfigurációja
-
Házirendek
-
Felügyeleti sablonok
-
Helyi számítógéprendek
-
Nyomtatók
-
-
Engedélyezze a Package Point and Print - Approved servers (Jóváhagyott kiszolgálók) lehetőséget, és válassza a Show... gombot .
-
Írja be a teljesen minősített kiszolgálóneveket. Pontosvesszővel (pontosvesszővel) válassza el egymástól a ;).
Megjegyzés A 2021. szeptember 21-én vagy később kiadott frissítések telepítése után ponttal vagy ponttal (.) konfigurálhatja a csoportházirendet. határolt IP-címek teljesen minősített állomásnevekkel felcserélhetők.
Gyakori kérdések
1. kérdés: Minden alkalommal, amikor nyomtatni szeretnék, egy üzenetben a következőt látom: "Megbízik ebben a nyomtatóban". A folytatáshoz rendszergazdai hitelesítő adatokra van szükség. Ez várható?
A1:A program nem vár rá minden nyomtatási feladatra. A problémát tapasztaló környezetek vagy eszközök többsége 2021. október 12-én vagy újabb időpontban kiadott frissítések telepítésével megoldható. Ezek a frissítések azt a problémát javítják, amely miatt a nyomtatókiszolgálók és a nyomtató ügyfelek nem egy időzónában vannak.
Ha a 2021. október 12-én vagy később kiadott frissítések telepítése után továbbra is ez a probléma áll rendelkezésre, lehetséges, hogy kapcsolatba kell lépnie a nyomtató gyártójával a frissített illesztőprogramok telepítéséhez. Ez a probléma akkor is előfordulhat, ha a nyomtatókezelő és a nyomtatókiszolgáló ugyanazt a fájlnevet használja, de a kiszolgáló az illesztőprogram egy újabb verzióját használja. Amikor a nyomtatási ügyfélprogram csatlakozik a nyomtatókiszolgálóhoz, egy újabb illesztőprogram-fájlt talál, és a rendszer kéri az illesztőprogramok frissítését a nyomtatási ügyfélprogramban. A telepítéshez felkínált csomagban található fájl azonban nem tartalmazza az illesztőprogram újabb verzióját.
Az összehasonlított fájlok a nyomtatási mappában található illesztőprogramok, amelyek általában a C:\Windows\System32\spool\drivers\x64\3 mappában találhatók mind a nyomtatási ügyfélprogramban, mind a nyomtatókiszolgálón. A telepítéshez felajánlott illesztőprogram-csomag általában a nyomtatókiszolgáló C:\Windows\System32\spool\drivers\x64\PCC mappában található. Miután összehasonlította a \3 mappában lévő fájlokat az eszközök között, ha nem egyeznek, a PCC-csomag is telepítve van. Ha a nyomtatókiszolgáló \3 mappájában lévő fájlok nem az ügyfélnek a PCC által az ügyfélnek felajánlott nyomtató-illesztőprogramból vannak, a nyomtatási ügyfélprogram összehasonlítja a fájlokat, és minden alkalommal megkeresi az eltérést, valahányszor kinyomtatja.
A probléma megoldásához győződjön meg arról, hogy az összes nyomtató eszközén a legújabb illesztőprogramokat használja. Ahol lehetséges, használja a nyomtató-illesztőprogram azonos verzióját a nyomtatási ügyfélprogramban és a nyomtatókiszolgálón. Ha a környezet illesztőprogramjainak frissítése nem oldja meg a problémát, forduljon a nyomtató gyártójának támogatási szolgálatához (OEM).
2. negyedév: Telepítettem a 2021. szeptember 14-én kiadott frissítéseket, és néhány Windows eszköz nem tud hálózati nyomtatóra nyomtatni. Van-e olyan megrendelés, hogy frissítéseket kell telepítenem a nyomtatókhoz és a nyomtatókiszolgálókhoz?
A2: A nyomtatókiszolgálókra 2021. szeptember 14-én vagy később kiadott frissítések telepítése előtt a nyomtatási ügyfélnek telepítve kell lennie a 2021. január 12-én és az újabbakban kiadott frissítéseknek. Windows eszközök nem lesznek nyomtatva, ha nem telepítettek egy 2021. január 12-én vagy újabb verzióban kiadott frissítést.
Megjegyzés A korábbi frissítéseket nem kell telepítenie, és 2021. január 12. után már telepítheti a frissítéseket a nyomtatási ügyfeleken. Azt javasoljuk, hogy telepítse a legújabb összegző frissítést mind az ügyfelekre, mind a kiszolgálókra.