Riassunto
Windows aggiornamenti rilasciati il 10 agosto 2021 e versioni successive richiederanno, per impostazione predefinita, privilegi amministrativi per installare i driver. Questa modifica è stata apportata nel comportamento predefinito per affrontare il rischio in tutti i dispositivi Windows, inclusi i dispositivi che non usano la funzionalità Punto e Stampa o stampa. Per altre informazioni, vedere Modifica del comportamento predefinito punto e stampa e CVE-2021-34481.
Per impostazione predefinita, gli utenti non amministratori non saranno più in grado di eseguire le operazioni seguenti usando Point and Print senza privilegi elevati per l'amministratore:
-
Installare nuove stampanti usando i driver in un computer o un server remoto
-
Aggiornare i driver della stampante esistenti usando driver dal computer remoto o dal server
Nota Se non si usa Point and Print, questa modifica non dovrebbe essere influenzata e sarà protetta per impostazione predefinita dopo l'installazione degli aggiornamenti rilasciati il 10 agosto 2021 o versioni successive.
Importante I client di stampa nell'ambiente devono avere un aggiornamento rilasciato il 12 gennaio 2021 o versione successiva prima di installare gli aggiornamenti il 14 settembre 2021. Per altre informazioni, vedere domande frequenti in "Domande frequenti" di seguito.
Modificare il comportamento di installazione del driver predefinito usando una chiave del Registro di sistema
È possibile modificare questo comportamento predefinito usando la chiave del Registro di sistema nella tabella seguente. Tuttavia, prestare molta attenzione quando si usa un valore pari a zero (0) perché in questo modo i dispositivi sono vulnerabili. Se è necessario usare il valore del Registro di sistema 0 nell'ambiente, è consigliabile usarlo temporaneamente mentre si modifica l'ambiente in modo da consentire ai dispositivi Windows di usare il valore di uno (1).
Posizione del Registro di sistema |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Nome DWord |
RestrictDriverInstallationToAdministrators |
Dati valore |
Comportamento predefinito: L'impostazione di questo valore su 1 o se la chiave non è definita o non è presente, richiederà il privilegio di amministratore per installare qualsiasi driver della stampante quando si usa Point and Print. Questa chiave del Registro di sistema sovrascrive tutte le impostazioni di Criteri di gruppo Restrizioni punti e stampa e assicura che solo gli amministratori possano installare i driver della stampante da un server di stampa usando Punto e stampa. L'impostazione del valore su 0 consente agli utenti non amministratori di installare driver firmati e non firmati in un server di stampa, ma non sovrascrive le impostazioni di Criteri di gruppo punto e stampa. Di conseguenza, le impostazioni di Criteri di gruppo Restrizioni punti e stampa possono ignorare questa chiave del Registro di sistema per impedire agli utenti non amministratori di installare driver di stampa firmati e non firmati da un server di stampa. Alcuni amministratori potrebbero impostare il valore su 0 per consentire agli utenti non amministratori di installare e aggiornare i driver dopo l'aggiunta di altre restrizioni, inclusa l'aggiunta di un'impostazione dei criteri che vincola la posizione da cui è possibile installare i driver. Importante Non esiste una combinazione di fattori attenuanti equivalente all'impostazione di RestrictDriverInstallationToAdministrators su 1. Nota Gli aggiornamenti rilasciati il 6 luglio 2021 o versioni successive hanno un valore predefinito di 0 (disabilitato) fino all'installazione degli aggiornamenti rilasciati il 10 agosto 2021 o versione successiva. Gli aggiornamenti rilasciati il 10 agosto 2021 o versione successiva hanno il valore predefinito 1 (abilitato). |
Requisiti di riavvio |
Non è necessario riavviare il sistema quando si crea o si modifica questo valore del Registro di sistema. |
Nota Windows gli aggiornamenti non impostano o modificano la chiave del Registro di sistema. È possibile impostare la chiave del Registro di sistema prima o dopo l'installazione degli aggiornamenti rilasciati il 10 agosto 2021 o versione successiva.
Automatizzare l'aggiunta del valore del Registro di sistema RestrictDriverInstallationToAdministrators
Per automatizzare l'aggiunta del valore del Registro di sistema RestrictDriverInstallationToAdministrators, seguire questa procedura:
-
Aprire una finestra del prompt dei comandi (cmd.exe) con autorizzazioni elevate.
-
Digitare il comando seguente e quindi premere INVIO:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Impostare RestrictDriverInstallationToAdministrators con Criteri di gruppo
Dopo aver installato gli aggiornamenti rilasciati il 12 ottobre 2021 o versione successiva, è anche possibile impostare RestrictDriverInstallationToAdministrators usando Criteri di gruppo, seguendo le istruzioni seguenti:
-
Aprire lo strumento Editor Criteri di gruppo e passare a Configurazione computer > modelli amministrativi > stampanti.
-
Impostare l'impostazione Limita l'installazione del driver di stampa su Amministratori su "Abilitato". In questo modo il valore del Registro di sistema di RestrictDriverInstallationToAdministrators verrà impostato su 1.
Installare i driver di stampa quando viene applicata la nuova impostazione predefinita
Se si imposta RestrictDriverInstallationToAdministrators come non definito o su 1, a seconda dell'ambiente, gli utenti devono usare uno dei metodi seguenti per installare le stampanti:
-
Fornire un nome utente e una password di amministratore quando vengono richieste le credenziali quando si prova a installare un driver della stampante.
-
Includere i driver della stampante necessari nell'immagine del sistema operativo.
-
Impostare temporaneamente RestrictDriverInstallationToAdministrators su 0 per installare i driver della stampante.
Nota Se non è possibile installare driver della stampante, anche con privilegi di amministratore, è necessario disabilitare i Criteri di gruppo Usa solo punto di pacchetto e Stampa.
Impostazioni consigliate e attenuazioni parziali per gli ambienti che non possono usare il comportamento predefinito
Le soluzioni seguenti consentono di proteggere tutti gli ambienti, ma soprattutto se è necessario impostare RestrictDriverInstallationToAdministrators su 0. Queste soluzioni attenuanti non affrontano completamente le vulnerabilità in CVE-2021-34481.
Importante Non esiste una combinazione di fattori attenuanti equivalente all'impostazione di RestrictDriverInstallationToAdministrators su 1.
Verificare che RpcAuthnLevelPrivacyEnabled sia impostato su 1 o non sia definito
Verificare che RpcAuthnLevelPrivacyEnabled sia impostato su 1 o non sia definito come descritto in Gestione della distribuzione delle modifiche di binding RPC della stampante per CVE-2021-1678 (KB4599464).
Verificare che le richieste di sicurezza siano abilitate per Punto e Stampa
Verificare che le richieste di sicurezza siano abilitate per Point and Print come descritto in KB5005010: Limitazione dell'installazione di nuovi driver della stampante dopo l'applicazione degli aggiornamenti del 6 luglio 2021.
Consentire agli utenti di connettersi solo a server di stampa specifici attendibili
Questo criterio, Restrizioni punti e stampa, si applica alle stampanti Point e Print che usano un driver non in grado di riconoscere i pacchetti nel server.
Seguire questa procedura:
-
Aprire la Console Gestione Criteri di gruppo.
-
Nell'albero della console della Console Gestione Criteri di gruppo passare al dominio o all'unità organizzativa (OU) in cui sono archiviati gli account utente per cui si vogliono modificare le impostazioni di sicurezza dei driver della stampante.
-
Fare clic con il pulsante destro del mouse sul dominio o sull'unità organizzativa appropriata e scegliere Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.Digitare un nome per il nuovo oggetto Criteri di gruppo e quindi fare clic su OK.
-
Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo creato e quindi scegliere Modifica.
-
Nella finestra Editor Gestione Criteri di gruppo fare clic su Configurazione computer, su Criteri, suModelli amministrativi e quindi su Stampanti.
-
Fare clic con il pulsante destro del mouse su Limitazioni punti e stampa e quindi scegliere Modifica.
-
Nella finestra di dialogo Restrizioni punti e stampa fare clic su Abilitato.
-
Selezionare la casella di controllo Gli utenti possono puntare e stampare su questi server solo se non è già selezionata.
-
Immettere i nomi completi dei server. Separare ogni nome usando un punto e virgola (;).
Nota Dopo aver installato gli aggiornamenti rilasciati il 21 settembre 2021 o versione successiva, è possibile configurare questi criteri di gruppo con un punto (.) Gli indirizzi IP delimitati sono intercambiabili con nomi host completi.
-
Nella casella Quando si installano i driver per una nuova connessione selezionare Mostra avviso e Prompt con privilegi elevati.
-
Nella casella Quando si aggiornano i driver per una connessione esistente selezionare Mostra avviso e Prompt con privilegi elevati.
-
Fare clic su OK.
Consentire agli utenti di connettersi solo a specifici server di punti di pacchetto e di stampa attendibili
Questo criterio, Punto pacchetto e Stampa - Server approvati, limiterà il comportamento del client in modo da consentire solo le connessioni Point and Print ai server definiti che usano driver in grado di riconoscere i pacchetti.
Seguire questa procedura:
-
Nel controller di dominio selezionare Start, Strumenti di amministrazione e quindi Gestione Criteri di gruppo. In alternativa, selezionare Start, scegliere Esegui, digitare GPMC.MSC e quindi premere INVIO.
-
Espandere la foresta e quindi i domini.
-
Nel dominio selezionare l'unità organizzativa in cui si vuole creare questo criterio.
-
Fare clic con il pulsante destro del mouse sull'unità organizzativa e quindi scegliere Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.
-
Assegnare un nome all'oggetto Criteri di gruppo e quindi scegliere OK.
-
Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo appena creato e quindi scegliere Modifica per aprire Editor Gestione Criteri di gruppo.
-
Nell'Editor Gestione Criteri di gruppo espandere le cartelle seguenti:
-
Configurazione computer
-
Criteri
-
Modelli amministrativi
-
Criteri del computer locale
-
Stampanti,
-
-
Abilita Punto pacchetto e stampa - Server approvati e seleziona il pulsante Mostra.
-
Immettere i nomi completi dei server. Separare ogni nome usando un punto e virgola (;).
Nota Dopo aver installato gli aggiornamenti rilasciati il 21 settembre 2021 o versione successiva, è possibile configurare questi criteri di gruppo con un punto (.) Gli indirizzi IP delimitati sono intercambiabili con nomi host completi.
Domande frequenti
D1: Ogni volta che si prova a stampare, viene visualizzato un messaggio che indica "La stampante è attendibile" e sono necessarie le credenziali di amministratore per continuare. È previsto?
A1: Non è previsto che venga richiesto di specificare ogni processo di stampa. La maggior parte degli ambienti o dei dispositivi in cui si verifica questo problema verrà risolta installando gli aggiornamenti rilasciati il 12 ottobre 2021 o versione successiva. Questi aggiornamenti riguardano un problema relativo al fatto che i server di stampa e i client di stampa non sono nello stesso fuso orario.
Se il problema persiste dopo l'installazione degli aggiornamenti rilasciati il 12 ottobre 2021 o versione successiva, potrebbe essere necessario contattare il produttore della stampante per ottenere driver aggiornati. Questo problema può verificarsi anche quando un driver di stampa nel client di stampa e nel server di stampa usano lo stesso nome file, ma il server ha una versione più recente del file del driver. Quando il client di stampa si connette al server di stampa, trova un file di driver più recente e viene chiesto di aggiornare i driver nel client di stampa. Tuttavia, il file nel pacchetto offerto per l'installazione non include la versione più recente del file del driver.
I file confrontati sono i driver all'interno della cartella spool, in genere in C:\Windows\System32\spool\drivers\x64\3 sia nel client di stampa che nel server di stampa. Il pacchetto driver offerto per l'installazione si trova in genere in C:\Windows\System32\spool\drivers\x64\PCC nel server di stampa. Dopo aver confrontato i file nella cartella \3 tra dispositivi, se non corrispondono, viene installato il pacchetto in PCC . Se i file nella cartella \3 del server di stampa non sono dello stesso driver di stampante che PCC offre al client, il client di stampa confronta i file e trova la mancata corrispondenza ogni volta che viene stampato.
Per ridurre il problema, verificare di usare i driver più recenti per tutti i dispositivi di stampa. Se possibile, usare la stessa versione del driver di stampa nel client di stampa e nel server di stampa. Se l'aggiornamento dei driver nell'ambiente non risolve il problema, contattare il supporto per il produttore della stampante (OEM).
D2: Ho installato gli aggiornamenti rilasciati il 14 settembre 2021 e alcuni Windows non possono stampare su stampanti di rete. È necessario installare gli aggiornamenti nei client di stampa e nei server di stampa?
A2: Prima di installare gli aggiornamenti rilasciati il 14 settembre 2021 o versione successiva nei server di stampa, i client di stampa devono aver installato gli aggiornamenti rilasciati il 12 gennaio 2021 o versione successiva. Windows non verranno stampati se non è stato installato un aggiornamento rilasciato il 12 gennaio 2021 o versione successiva.
Nota Non è necessario installare gli aggiornamenti precedenti ed è possibile installare qualsiasi aggiornamento dopo il 12 gennaio 2021 nei client di stampa. È consigliabile installare l'aggiornamento cumulativo più recente sia nei client che nei server.