요약

Windows 2021년 8월 10일 이후 릴리스된 업데이트에는 기본적으로 드라이버를 설치하려면 관리 권한이 필요하게 됩니다. 포인트 및 인쇄 또는 인쇄 기능을 사용하지 않는 디바이스를 Windows 모든 디바이스의 위험을 해결하기 위해 기본 동작이 변경되었습니다. 자세한 내용은 지점 및 인쇄 기본 동작 변경CVE-2021-34481을 참조하세요.  

기본적으로 관리자가 아닌 사용자는 관리자 권한 상승 없이 지점 및 인쇄를 사용하여 다음을 더 이상 할 수 없습니다.

  • 원격 컴퓨터 또는 서버에 드라이버를 사용하여 새 프린터 설치

  • 원격 컴퓨터 또는 서버에서 드라이버를 사용하여 기존 프린터 드라이버 업데이트

참고 지점 및 인쇄를 사용하지 않는 경우 이 변경의 영향을 받지 않습니다. 2021년 8월 10일 이후 릴리스된 업데이트를 설치한 후 기본적으로 보호됩니다.

중요 사용자 환경에서 클라이언트 인쇄는 업데이트 릴리스를 설치하기 전에 2021년 1월 12일 이상 업데이트가 릴리스되어야 합니다.  자세한 내용은 아래 "자주 묻는 질문"에서 Q2 를 참조하세요.

레지스트리 키를 사용하여 기본 드라이버 설치 동작 수정

아래 표의 레지스트리 키를 사용하여 이 기본 동작을 수정할 수 있습니다. 그러나 디바이스가 취약해지기 때문에 0(0)의 값을 사용하는 경우 매우 주의해야 합니다. 사용자 환경에서 레지스트리 값을 0으로 사용해야 하는 경우 디바이스가 1(1)의 값을 사용할 수 있도록 환경을 조정하는 동안 Windows 사용하는 것이 좋습니다.   

레지스트리 위치

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord 이름

RestrictDriverInstallationToAdministrators

값 데이터

기본 동작: 이 값을 1설정하거나 키가 정의되지 않은 경우 또는 존재하지 않는 경우 Point 및 Print를 사용할 때 프린터 드라이버를 설치하려면 관리자 권한이 필요하게 됩니다. 이 레지스트리 키 모든 지점 및 인쇄 제한 그룹 정책 설정을 다시 설정하고 관리자만 Point 및 Print를 사용하여 인쇄 서버에서 프린터 드라이버를 설치할 수 있도록 합니다.

값을 0으로 설정 하면 비 관리자가 서명된 드라이버와 서명되지 않은 드라이버를 인쇄 서버에 설치할 수 있지만 지점 및 인쇄 그룹 정책 설정을 재지정하지 않습니다. 따라서 지점 및 인쇄 제한 그룹 정책 설정은 비 관리자가 인쇄 서버에서 서명 및 서명되지 않은 인쇄 드라이버를 설치하지 못하도록 이 레지스트리 키 설정을 재지정할 수 있습니다. 일부 관리자는 드라이버를 설치할 수 있는 위치를 제한하는 정책 설정을 추가하는 등 추가 제한을 추가한 후 비 관리자가 드라이버를 설치하고 업데이트할 수 있도록 값을 0으로 설정할 수 있습니다.

중요 RestrictDriverInstallationToAdministrators를 1로 설정하는 데 해당하는 완화의 조합은 없습니다.

참고 2021년 7월 6일 이후 릴리스된 업데이트는 업데이트 설치가 2021년 8월 10일 이상 릴리스될 때까지 기본값 0(사용 안 )을 하게 됩니다.  2021년 8월 10일 이후 릴리스된 업데이트에는 기본값 1(사용)이 있습니다.

다시 시작 요구 사항

이 레지스트리 값을 만들거나 수정할 때 다시 시작이 필요하지 않습니다.

참고 Windows 업데이트는 레지스트리 키를 설정하거나 변경하지 않습니다. 2021년 8월 10일 이후 릴리스된 업데이트를 설치하기 전이나 후에 레지스트리 키를 설정할 수 있습니다.

RestrictDriverInstallationToAdministrators 레지스트리 값의 추가 자동화

RestrictDriverInstallationToAdministrators 레지스트리 값의 추가를 자동화하기 위해 다음 단계를 수행합니다.

  1. 권한 상승을 사용하여 명령 프롬프트 창 ( cmd.exe)을 니다.

  2. 다음 명령을 입력한 다음 Enter를 누를 수 있습니다.

    reg 추가 "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

그룹 정책을 사용하여 RestrictDriverInstallationToAdministrators 설정

2021년 10월 12일 이후 릴리스된 업데이트를 설치한 후 다음 지침을 사용하여 Group Policy를 사용하여 RestrictDriverInstallationToAdministrators를 설정할 수도 있습니다.

  1. 그룹 정책 편집기 도구를 열고 프린터에서 관리 >컴퓨터 구성> 이동합니다. 

  2. 제한 인쇄 드라이버 설치를 관리자 설정에서 "사용"으로 설정합니다. 그러면 RestrictDriverInstallationToAdministrators의 레지스트리 값이 1로 설정됩니다.

새 기본 설정이 적용될 때 인쇄 드라이버 설치

제한DriverInstallationToAdministrators를 정의되지 않은 것으로 설정하거나 환경에 따라 다음 방법 중 하나를 사용하여 프린터를 설치해야 합니다.

  • 프린터 드라이버를 설치하려고 할 때 자격 증명을 묻는 메시지가 표시될 때 관리자 사용자 이름 및 암호를 제공합니다.

  • OS 이미지에 필요한 프린터 드라이버를 포함합니다.

  • RestrictDriverInstallationToAdministrators를 0으로 일시적으로 설정하여 프린터 드라이버를 설치합니다.

참고 관리자 권한으로 프린터 드라이버를 설치할 수 없는 경우 패키지 지점 및 인쇄 그룹 정책만 사용 안 하도록 설정 해야 합니다.

기본 동작을 사용할 수 없는 환경에 대한 권장 설정 및 부분 완화

다음 완화는 모든 환경을 보호하는 데 도움이 될 수 있지만, 특히 RestrictDriverInstallationToAdministrators를 0으로 설정해야 하는 경우입니다. 이러한 완화는 CVE-2021-34481의 취약성을 완전히 해결하지 않습니다.

중요 RestrictDriverInstallationToAdministrators를 1로 설정하는 데 해당하는 완화의 조합은 없습니다.

RpcAuthnLevelPrivacyEnabled가 1로 설정되어 있는지 또는 정의되지 않은지 확인

RpcAuthnLevelPrivacyEnabled가 CVE-2021-1678(KB4599464)에 대한 프린터 RPC 바인딩 변경의 배포 관리에 설명된 바와 같이 1로 설정되어 있는지 확인합니다.

보안 프롬프트가 지점 및 인쇄에 사용하도록 설정되어 있는지 확인합니다.

KB5005010: 2021년 7월 6일 업데이트를 적용한 후 새 프린터 드라이버 설치 제한에 설명된 바와 같이 지점 및 인쇄에 보안 프롬프트가 사용하도록 설정되어 있는지 확인합니다. 

사용자가 신뢰할 수 있는 특정 인쇄 서버에만 연결할 수 있도록 허용

이 정책인 지점 및 인쇄 제한은 서버에서 패키지 인식이 아닌 드라이버를 사용하여 지점 및 인쇄 프린터에 적용됩니다. 

다음 단계를 수행합니다.

  1. GPMC(그룹 정책 관리 콘솔)를 니다.

  2. GPMC 콘솔 트리에서 프린터 드라이버 보안 설정을 수정하려는 사용자 계정을 저장하는 도메인 또는 OU(조직 단위)로 이동합니다.

  3. 적절한 도메인 또는 OU를 마우스 오른쪽 단추로 클릭하고 이 도메인에서 GPO 만들기를 클릭 하고 여기에 연결합니다.새 GPO(그룹 정책 개체)의 이름을 입력한 다음 확인을 클릭합니다.

  4. 만든 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  5. 그룹 정책 관리 편집기 창에서 컴퓨터 구성을 클릭하고 정책을 클릭하고 관리 템플릿을 클릭한 다음 프린터 를 클릭합니다.

  6. 점 및 인쇄 제한을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  7. 점 및 인쇄 제한 대화 상자에서 사용 가능을 클릭합니다.

  8. 사용자가 아직 선택 되지 않은 경우 이러한 서버 확인란을 지적하고 인쇄할 수 있습니다.

  9. 정식 자격을 갖춘 서버 이름을 입력합니다. 세미코론(세미코론)을 사용하여 각 이름을 ;).

    참고 2021년 9월 21일 이후 릴리스된 업데이트를 설치한 후 기간 또는 점(.) 분리된 IP 주소는 완전히 자격을 갖춘 호스트 이름과 상호 교환됩니다.

  10. 연결에 대한 드라이버를 설치하는 경우 상자에서 경고 표시 및 상승 프롬프트를 선택합니다.

  11. 기존 연결에 대한 드라이버를 업데이트하는 경우 상자에서 경고 표시 및 상승 프롬프트를 선택합니다.

  12. 확인을 클릭합니다.

사용자가 신뢰할 수 있는 특정 패키지 지점 및 인쇄 서버에만 연결할 수 있도록 허용

이 정책인 패키지 지점 및 인쇄 - 승인된 서버는 패키지 인식 드라이버를 사용하는 정의된 서버에만 지점 및 인쇄 연결을 허용하도록 클라이언트 동작을 제한합니다.

다음 단계를 수행합니다.

  1. 도메인 컨트롤러에서 시작을 선택하고 관리 도구를 선택한 다음 그룹 정책 관리를 선택합니다. 또는 시작을 선택하고 실행 을 선택하고GPMC.MSC를 입력한 다음 Enter를 누를 수 있습니다.

  2. 포리스트를 확장한 다음 도메인을 확장합니다.

  3. 도메인에서 이 정책을 만들 OU를 선택합니다.

  4. OU를 마우스 오른쪽 단추로 클릭한 다음 이 도메인에서 GPO 만들기를 선택하고 여기에 연결합니다.

  5. GPO에 이름을 지정한 다음 확인을 선택합니다.

  6. 새로 만든 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집 을 선택하여 그룹 정책 관리 편집기를 니다.

  7. 그룹 정책 관리 편집기에서 다음 폴더를 확장합니다.

    1. 컴퓨터 구성

    2. 정책

    3. 관리 템플릿

    4. 로컬 컴퓨터 경찰

    5. 확장하고

  8. 패키지 지점 및 인쇄 사용 - 승인된 서버 및 표시 ... 단추를 선택합니다.

  9. 정식 자격을 갖춘 서버 이름을 입력합니다. 세미코론(세미코론)을 사용하여 각 이름을 ;).

    참고 2021년 9월 21일 이후 릴리스된 업데이트를 설치한 후 기간 또는 점(.) 분리된 IP 주소는 완전히 자격을 갖춘 호스트 이름과 상호 교환됩니다.

자주 묻는 질문

Q1: 인쇄하려고 할 때마다 "이 프린터를 신뢰하냐"는 메시지가 표시되고 관리자 자격 증명이 계속 필요합니다.  예상되는가요?

A1:모든 인쇄 작업을 묻는 메시지가 표시될 수 없습니다. 이 문제가 있는 대부분의 환경 또는 디바이스는 2021년 10월 12일 이후 릴리스된 업데이트를 설치하여 해결됩니다.  이러한 업데이트는 동일한 표준 시간대에 있지 않은 인쇄 서버 및 인쇄 클라이언트와 관련된 문제를 해결합니다. 

업데이트가 2021년 10월 12일 이상 릴리스된 후에도 여전히 이 문제가 있는 경우 프린터 제조업체에 업데이트된 드라이버를 문의해야 할 수 있습니다.  이 문제는 인쇄 클라이언트 및 인쇄 서버의 인쇄 드라이버가 동일한 파일 이름을 사용하지만 서버에 최신 버전의 드라이버 파일이 있는 경우 발생할 수 있습니다. 인쇄 클라이언트가 인쇄 서버에 연결하면 새 드라이버 파일을 찾고 인쇄 클라이언트에서 드라이버를 업데이트하라는 메시지가 표시됩니다. 그러나 설치를 위해 제공된 패키지의 파일에는 최신 드라이버 파일 버전이 포함되어 있지 않습니다. 

비교할 파일은 스풀 폴더 내의 드라이버입니다. 일반적으로 인쇄 클라이언트 및 인쇄 서버의 C:\Windows\System32\spool\drivers\x64\3입니다.  설치를 위해 제공되는 드라이버 패키지는 일반적으로 인쇄 서버의 C:\Windows\System32\spool\driver\x64\PCC에 있습니다.  \3 폴더의 파일을 디바이스 간에 비교한 후 일치하지 않는 경우 PCC의 패키지가 설치됩니다.  인쇄 서버 의 \3 폴더의 파일이 PCC 가 클라이언트에 제공하는 동일한 프린터 드라이버가 아닌 경우 인쇄 클라이언트는 파일을 비교하고 인쇄할 때마다 불일치가 발견됩니다. 

이 문제를 완화하기 위해 모든 인쇄 디바이스에 대해 최신 드라이버를 사용하고 있는지 확인해야 합니다.  가능한 경우 인쇄 클라이언트 및 인쇄 서버에서 동일한 버전의 인쇄 드라이버를 사용하세요. 환경의 드라이버를 업데이트하여 문제가 해결되지 않으면 프린터 제조업체(OEM)에 대한 지원에 문의하시기 바랍니다.

Q2: 2021년 9월 14일 릴리스된 업데이트를 설치하고 일부 Windows 네트워크 프린터에 인쇄할 수 없습니다.  인쇄 클라이언트 및 인쇄 서버에 업데이트를 설치해야 하는 주문이 있나요?

A2: 인쇄 서버에 2021년 9월 14일 릴리스된 업데이트를 설치하기 전에 인쇄 클라이언트가 2021년 1월 12일 이상 릴리스된 업데이트를 설치해야 합니다. Windows 2021년 1월 12일 이상 릴리스된 업데이트를 설치하지 않은 경우 디바이스가 인쇄되지 않습니다. 

참고 이전 업데이트를 설치할 필요가 없습니다. 인쇄 클라이언트에 2021년 1월 12일 이후에 업데이트를 설치할 수 있습니다.  클라이언트와 서버에 최신 누적 업데이트를 설치하는 것이 좋습니다.

리소스

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.