要約

2021 年 8 月 10 日以降にリリースされた Windows 更新プログラムでは、既定でドライバーをインストールするために管理者特権が必要になります。 ポイント アンド プリントまたは印刷機能を使用しないデバイスを含め、すべての Windows デバイスのリスクに対処するために、既定の動作でこの変更を行いました。 詳細については、「Point and Print Default Behavior ChangeCVE-2021-34481」を参照してください。  

既定では、管理者以外のユーザーは、管理者への特権の昇格なしでポイント アンド プリントを使用して次の操作を実行できなくなります。

  • リモート コンピューターまたはサーバーにドライバーを使用して新しいプリンターをインストールする

  • リモート コンピューターまたはサーバーのドライバーを使用して既存のプリンター ドライバーを更新する

Point and Print を使用していない場合は、 この変更の影響を受けず、2021 年 8 月 10 日以降にリリースされた更新プログラムをインストールした後、既定で保護されます。

重要 環境内のクライアントを印刷するには、更新プログラムを 2021 年 1 月 12 日以降にリリースしてから、更新プログラム リリースを 2021 年 9 月 14 日にインストールする必要があります。  詳細については、以下の「よく寄せられる質問」の「 Q2 」を参照してください。

レジストリ キーを使用してドライバーの既定のインストール動作を変更する

この既定の動作は、次の表のレジストリ キーを使用して変更できます。 ただし、ゼロ (0) の値を使用する場合は、デバイスが脆弱になるため、十分に注意してください。 ご使用の環境でレジストリ値 0 を使用する必要がある場合は、Windows デバイスで 1 (1) の値を使用できるように環境を調整しながら、一時的に使用することをお勧めします。   

レジストリの場所

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord 名

RestrictDriverInstallationToAdministrators

値のデータ

既定の動作: この値を 1 に設定するか、キーが定義されていないか存在しない場合は、Point and Print を使用するときに、プリンター ドライバーをインストールするために管理者特権が必要です。 このレジストリ キーは、すべてのポイント アンド プリントの制限のグループ ポリシー設定を上書きし、管理者のみがポイント アンド プリントを使用してプリント サーバーからプリンター ドライバーをインストールできるようにします。

値を 0 に設定すると、管理者以外のユーザーは署名済みおよび署名されていないドライバーをプリント サーバーにインストールできますがポイント アンド プリントのグループ ポリシー設定は上書きされません。 そのため、[ポイント アンド プリントの制限] のグループ ポリシー設定は、このレジストリ キー設定を上書きして、管理者以外のユーザーが署名済みおよび署名されていない印刷ドライバーをプリント サーバーからインストールできないようにすることができます。 一部の管理者は、ドライバーをインストールできる場所を制限するポリシー設定の追加など、追加の制限を追加した後に管理者以外のユーザーがドライバーをインストールおよび更新できるよう、値を 0 に設定する場合があります。

重要 RestrictDriverInstallationToAdministrators を 1 に設定することと同等の軽減策の組み合わせはありません。

2021 年 7 月 6 日以降にリリースされた更新プログラムの既定値は、2021 年 8 月 10 日以降にリリースされた更新プログラムのインストールまで 0 (無効) です。  2021 年 8 月 10 日以降にリリースされた更新プログラムの既定値は 1 (有効) です。

再起動の必要性

このレジストリ値を作成または変更するときに再起動は必要ありません。

Windows 更新プログラムでは、レジストリ キーは設定または変更されません。 2021 年 8 月 10 日以降にリリースされた更新プログラムをインストールする前またはインストール後にレジストリ キーを設定できます。

RestrictDriverInstallationToAdministrators レジストリ値の追加を自動化する

RestrictDriverInstallationToAdministrators のレジストリ値の追加を自動化するには、次の手順に従います。

  1. 管理者特権でコマンド プロンプト ウィンドウ (cmd.exe) を開きます。

  2. 次のコマンドを入力して、Enter キーを押します。

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint"/v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

グループ ポリシーを使用して RestrictDriverInstallationToAdministrators を設定する

2021 年 10 月 12 日以降にリリースされた更新プログラムをインストールした後、次の手順に従って、グループ ポリシーを使用して RestrictDriverInstallationToAdministrators を設定することもできます。

  1. グループ ポリシー エディター ツールを開き、[プリンター ] の [管理> コンピューター > に移動します 

  2. [制限] 印刷ドライバーのインストールを [管理者] 設定を [有効 ] に設定します。 これにより、RestrictDriverInstallationToAdministrators のレジストリ値が 1 に設定されます。

新しい既定の設定が適用されたときに印刷ドライバーをインストールする

RestrictDriverInstallationToAdministrators を定義されていないか 1 に設定した場合、環境に応じて、ユーザーは次のいずれかの方法を使用してプリンターをインストールする必要があります。

  • プリンター ドライバーのインストール時に資格情報の入力を求められたら、管理者のユーザー名とパスワードを入力します。

  • OS イメージに必要なプリンター ドライバーを含めます。

  • プリンター ドライバーをインストールするには、RestrictDriverInstallationToAdministrators を一時的に 0 に設定します。

管理者特権でもプリンター ドライバーをインストールできない場合は、ポイント アンド プリントの実装のみを使用する のグループ ポリシー を無効にする必要があります。

既定の動作を使用できない環境の推奨設定と部分的な軽減策

次の軽減策は、すべての環境をセキュリティで保護するのに役立ちますが、特に RestrictDriverInstallationToAdministrators を 0 に設定する必要がある場合に役立ちます。 これらの軽減策は、CVE-2021-34481の脆弱性を完全には解決しません。

重要 RestrictDriverInstallationToAdministrators を 1 に設定することと同等の軽減策の組み合わせはありません。

RpcAuthnLevelPrivacyEnabled が 1 に設定されている、または定義されていない

「CVE-2021-1678 (KB4599464) のプリンター RPC バインディング変更の展開の管理」の説明に従って、RpcAuthnLevelPrivacyEnabled が 1 に設定されている、または定義されていないか確認します。

ポイントと印刷に対してセキュリティ プロンプトが有効になっているか確認する

「KB5005010: 2021 年 7 月 6 日の更新プログラムの適用後に新しいプリンター ドライバーのインストールを制限する」の説明に従って、ポイントと印刷のセキュリティ プロンプトが有効になっているか確認します。 

信頼できる特定のプリント サーバーにのみ接続することをユーザーに許可する

このポリシーである [ポイントと印刷の制限] は、サーバー上のパッケージ対応ではないドライバーを使用する Point プリンターと Print プリンターに適用されます。 

次の手順を実行します。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開きます。

  2. GPMC コンソール ツリーで、プリンター ドライバーのセキュリティ設定を変更するユーザー アカウントを格納するドメインまたは組織単位 (OU) に移動します。

  3. 適切なドメインまたは OU を右クリックし、[このドメインに GPO を作成する] をクリックし、ここにリンクします。新しいグループ ポリシー オブジェクト (GPO) の名前を入力し[OK] をクリックします。

  4. 作成した GPO を右クリックし[編集] をクリックします。

  5. グループ ポリシー管理エディター ウィンドウで、[コンピューターの構成] をクリックします。 [ポリシー] をクリックし、[管理用テンプレート] をクリックし、[プリンター] をクリックします。

  6. [ポイントアンドプリントの制限]を右クリックし、[編集]をクリックします。

  7. [ポイントアンドプリントの制限]ダイアログで、[有効] をクリックします。

  8. [ユーザーがこれらのサーバーのみをポイントして印刷できる] チェック ボックスがまだ選択されていない場合は、選択します。

  9. 完全修飾サーバー名を入力します。 各名前をセミコロン (;)で区切ります。

    2021 年 9 月 21 日以降にリリースされた更新プログラムをインストールした後、ピリオドまたはドット (.) でこのグループ ポリシーを構成できます。 区切り IP アドレスは、完全修飾ホスト名と交換可能です。

  10. [新しい 接続のドライバーをインストールする場合 ] ボックスで、[警告と管理者特権のプロンプトを表示する]を選択します。

  11. [既存の接続のドライバーを更新する場合] ボックスで、[警告と管理者特権のプロンプトを表示する]を選択します。

  12. [OK] をクリックします。

信頼できる特定のポイントアンドプリント実装サーバーにのみ、接続することをユーザーに許可する

このポリシーであるパッケージ ポイントと印刷 - 承認済みサーバーは、パッケージ対応ドライバーを使用する定義されたサーバーへのポイント接続と印刷接続のみを許可するクライアント動作を制限します。

次の手順を実行します。

  1. ドメイン コントローラーで、[スタート]を選択し、[管理ツール]を選択し、[グループ ポリシーの管理] を選択します。 または、[スタート] を選択し、[実行] を選択し、「GPMC.MSC」 と入力し、Enter キーを押します。

  2. フォレストを展開し、ドメインを展開します。

  3. ドメインで、このポリシーを作成する OU を選択します。

  4. OU を右クリックし [このドメインに GPO を作成する] を選択し、ここにリンクします

  5. GPO に名前を付け、[OK]を選択します。

  6. 新しく作成した グループ ポリシー オブジェクトを右クリックし、[編集] を選択してグループ ポリシー管理エディターを開きます。

  7. [グループ ポリシー管理エディター] で、次のフォルダーを展開します。

    1. コンピューターの構成

    2. ポリシー

    3. 管理用テンプレート

    4. ローカル コンピューター ポリシー

    5. プリンター

  8. [ポイント アンド プリントの実装 - 許可されたサーバー] を有効にし、[表示する...] ボタンを選択します。

  9. 完全修飾サーバー名を入力します。 各名前をセミコロン (;)で区切ります。

    2021 年 9 月 21 日以降にリリースされた更新プログラムをインストールした後、ピリオドまたはドット (.) でこのグループ ポリシーを構成できます。 区切り IP アドレスは、完全修飾ホスト名と交換可能です。

よく寄せられる質問

Q1: 印刷を試みるたび、"このプリンターを信頼してください" というメッセージが表示され、続行するには管理者の資格情報が必要です。  これは想定されていますか?

A1:すべての印刷ジョブに対してメッセージが表示されるは、想定されません。 この問題が発生する環境またはデバイスの大半は、2021 年 10 月 12 日以降にリリースされた更新プログラムをインストールすることで解決されます。  これらの更新プログラムは、印刷サーバーと印刷クライアントが同じタイム ゾーンに含めていない場合に関連する問題に対処します。 

2021 年 10 月 12 日以降にリリースされた更新プログラムをインストールした後も引き続きこの問題が発生する場合は、更新されたドライバーについてプリンターの製造元に問い合わせが必要な場合があります。  この問題は、印刷クライアント上の印刷ドライバーと印刷サーバーが同じファイル名を使用しているが、サーバーに新しいバージョンのドライバー ファイルがある場合にも発生する可能性があります。 印刷クライアントが印刷サーバーに接続すると、新しいドライバー ファイルが検索され、印刷クライアントでドライバーを更新するように求めるメッセージが表示されます。 ただし、インストール用に提供されるパッケージ内のファイルには、新しいドライバー ファイル バージョンは含めされません。 

比較されるファイルは、通常、印刷クライアントと印刷サーバーの両方の C:\Windows\System32\spool\drivers\x64\3 にある、spool フォルダー内のドライバーです。  インストール用に提供されるドライバー パッケージは、通常、印刷サーバー上の C:\Windows\System32\spool\drivers\x64\PCC にあります。  \3 フォルダー内のファイルがデバイス間で比較された後、一致しない場合は、PCC 内のパッケージがインストールされます。  印刷サーバー の \3 フォルダー内のファイルが 、PCC がクライアントに提供するプリンター ドライバーと同じではない場合、印刷クライアントはファイルを比較し、印刷の度に不一致を検出します。 

この問題を軽減するには、すべての印刷デバイスで最新のドライバーを使用している必要があります。  可能であれば、印刷クライアントと印刷サーバーで同じバージョンの印刷ドライバーを使用します。 環境内のドライバーを更新しても問題が解決しない場合は、プリンターの製造元 (OEM) のサポートにお問い合わせください。

Q2: 2021 年 9 月 14 日にリリースされた更新プログラムをインストールし、一部の Windows デバイスはネットワーク プリンターに印刷できません。  印刷クライアントと印刷サーバーに更新プログラムをインストールする必要がある注文はありますか?

A2: 2021 年 9 月 14 日以降にリリースされた更新プログラムを印刷サーバーにインストールする前に、印刷クライアントが 2021 年 1 月 12 日以降にリリースされた更新プログラムをインストールしている必要があります。 Windows 2021 年 1 月 12 日以降にリリースされた更新プログラムをインストールしていない場合、デバイスは印刷されません。 

 以前の更新プログラムをインストールする必要は、2021 年 1 月 12 日より後にクライアントを印刷する更新プログラムをインストールできます。  クライアントとサーバーの両方に最新の累積的な更新プログラムをインストールすることをお勧めします。

リソース

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。