Suvestinė
Windows, išleisti 2021 m. rugpjūčio 10 d. ir naujesnėse versijose, pagal numatytuosius parametrus reikės administratoriaus teisių įdiegti tvarkykles. Mes atlikome šį numatytojo veikimo pakeitimą, kad būtų atmesta rizika visuose "Windows įrenginiuose, įskaitant įrenginius, kurie nenaudos taškų ir spausdinimo arba spausdinimo funkcijų. Daugiau informacijos ieškokite Taškų ir spausdinimo numatytųjų veikimo parametrų keitimas ir CVE-2021-34481.
Pagal numatytuosius nustatymus ne administratoriaus vartotojai nebegalės atlikti toliau nurodytų veiksmų naudodami taškų ir spausdinimo funkciją be didesnių teisių administratoriui:
-
Naujų spausdintuvų diegimas naudojant tvarkykles nuotoliniame kompiuteryje arba serveryje
-
Esamų spausdintuvo tvarkyklių naujinimas naudojant nuotolinio kompiuterio arba serverio tvarkykles
Pastaba Jei nenaudojate taškų ir spausdinimo, šis pakeitimas neturėtų turėti įtakos ir bus apsaugotas pagal numatytuosius parametrus įdiegus naujinimus, išleistus 2021 m. rugpjūčio 10 d. arba naujesnę versiją.
Svarbu Spausdinimo klientai jūsų aplinkoje turi turėti naujinimą, išleistą 2021 m. sausio 12 d. arba naujesnę versiją prieš diegiant naujinimų leidimą, 2021 m. rugsėjo 14 d. Daugiau informacijos žr. 2 K skyriuje "Dažnai užduodami klausimai".
Numatytojo tvarkyklės diegimo veikimo modifikavimas naudojant registro raktą
Šį numatytąjį veikimą galite modifikuoti naudodami toliau pateiktoje lentelėje esantį registro raktą. Tačiau būkite labai atsargūs naudodami nulinę reikšmę (0), nes taip įrenginiai tampa pažeidžiamais. Jei turite naudoti registro reikšmę 0 savo aplinkoje, rekomenduojame ją laikinai naudoti, kai pakoreguojate aplinką, kad "Windows" įrenginiai galėtų naudoti vieno reikšmę (1).
Registro vieta |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord pavadinimas |
RestrictDriverInstallationToAdministrators |
Reikšmės duomenys |
Numatytasis veikimas: Nustačius šią reikšmę į 1 arba jei raktas nėra apibrėžtas arba jo nėra, reikės administratoriaus teisių įdiegti bet kurią spausdintuvo tvarkyklę naudojant tašką ir spausdinimui. Šis registro raktas perrašys visus grupės strategijos parametrus Point and Print Restrictions ir užtikrins, kad tik administratoriai gali įdiegti spausdintuvo tvarkykles iš spausdinimo serverio naudodami taškų ir spausdinimo funkciją. Nustačius reikšmę į 0 , ne administratoriai gali įdiegti pasirašytas ir nepasirašytas tvarkykles į spausdinimo serverį, bet neperrašo taškų ir spausdinimo grupės strategijos parametrų. Todėl grupės strategijos parametrai Point and Print Restrictions gali perrašyti šį registro rakto parametrą, kad ne administratoriai neįdiegtų pasirašytų ir nepasirašytų spausdinimo tvarkyklių iš spausdinimo serverio. Kai kurie administratoriai gali nustatyti reikšmę 0, kad ne administratoriai galėtų įdiegti ir atnaujinti tvarkykles įtraukę papildomų apribojimų, įskaitant strategijos parametro, kuriuo ribojama, iš kur galima įdiegti tvarkykles, įtraukimą. Svarbu Nėra jokių mažinimo priemonių derinio, atitinkančio parametrą RestrictDriverInstallationToAdministrators 1. Pastaba Naujinimų, išleistų 2021 m. liepos 6 d. arba naujesnėse versijose, numatytoji reikšmė yra 0 (išjungta) iki naujinimų, išleistų 2021 m. rugpjūčio 10 d. arba naujesnėse versijose, diegimo. Naujinimų, išleistų 2021 m. rugpjūčio 10 d. arba naujesnėse versijose, numatytoji reikšmė yra 1 (įgalinta). |
Reikalavimai paleisti iš naujo |
Kuriant arba modifikuojant šią registro reikšmę nereikia paleisti iš naujo. |
Pastaba Windows naujinimai nebus nustatyti arba pakeisti registro rakto. Registro raktą galite nustatyti prieš diegdami naujinimus, išleistus 2021 m. rugpjūčio 10 d. arba vėliau.
"RestrictDriverInstallationToAdministrators" registro reikšmės pridėjimo automatizavimas
Norėdami automatizuoti registro reikšmės RestrictDriverInstallationToAdministrators pridėjimą, atlikite šiuos veiksmus:
-
Atidarykite komandinės eilutės langą (cmd.exe) su didesnėmis teisėmis.
-
Įveskite šią komandą ir paspauskite "Enter":
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Set RestrictDriverInstallationToAdministrators using Group Policy
Įdiegę naujinimus, išleistus 2021 m. spalio 12 d. arba naujesnę versiją, taip pat galite nustatyti RestrictDriverInstallationToAdministrators naudodami grupės strategiją, naudodami šias instrukcijas:
-
Atidarykite grupės strategijos rengyklės įrankį ir eikite į Kompiuterio> Administravimo šablonai > Spausdintuvai.
-
Nustatykite parametro Administratoriai parametrą Limit print driver installation kaip "Enabled". Bus nustatyta RestrictDriverInstallationToAdministrators registro reikšmė 1.
Spausdinimo tvarkyklių diegimas, kai vykdomas naujas numatytasis parametras
Jei nustatote RestrictDriverInstallationToAdministrators kaip neapsiribotą arba 1, atsižvelgiant į jūsų aplinką, vartotojai turi naudoti vieną iš toliau nurodytų spausdintuvų diegimo būdų:
-
Pateikite administratoriaus vartotojo vardą ir slaptažodį, kai būsite paraginti įvesti kredencialus bandant įdiegti spausdintuvo tvarkyklę.
-
Įtraukite reikiamas spausdintuvo tvarkykles į OS vaizdą.
-
Laikinai nustatykite RestrictDriverInstallationToAdministrators 0, kad įdiegtumėte spausdintuvo tvarkykles.
Pastaba Jei negalite įdiegti spausdintuvo tvarkyklių, net jei turite administratoriaus teises, turite išjungti tik paketo taško ir spausdinimo grupės strategiją.
Rekomenduojami parametrai ir dalinis mažinimas aplinkose, kurios negali naudoti numatytojo veikimo
Toliau nurodyti mažinimas gali padėti apsaugoti visas aplinkas, bet ypač jei turite nustatyti RestrictDriverInstallationToAdministrators 0. Šios švelninimo priemonės ne visiškai pašalina CVE-2021-34481 pažeidžiamumą.
Svarbu Nėra jokių mažinimo priemonių derinio, atitinkančio parametrą RestrictDriverInstallationToAdministrators 1.
Patikrinkite, ar RpcAuthnLevelPrivacyEnabled nustatyta kaip 1 arba nėra apibrėžta
Patikrinkite, ar RpcAuthnLevelPrivacyEnabled nustatyta į 1 arba nėra apibrėžta kaip aprašyta "Printer RPC" susiejimo keitimų valdymas CVE-2021-1678 (KB4599464).
Patikrinkite, ar įjungtas taškų ir spausdinimo saugos raginimas
Patikrinkite, ar įgalinti taškų ir spausdinimo saugos raginimai, kaip aprašyta KB5005010: Naujų spausdintuvo tvarkyklių diegimo apribojimas pritaikius 2021 m. liepos 6 d. naujinimus.
Leisti vartotojams prisijungti tik prie konkrečių spausdinimo serverių, kuriuos pasitikite
Ši strategija, Taškų ir spausdinimo apribojimai, taikoma spausdinimo ir spausdinimo spausdintuvams, naudojantys ne paketo žinomus serverius.
Atlikite šiuos veiksmus:
-
Atidarykite grupės strategijos valdymo konsolę (GPMC).
-
GPMC konsolės medyje eikite į domeną arba organizacijos vienetą (OU), kuriame saugomos vartotojų paskyros, kurių spausdintuvo tvarkyklės saugos parametrus norite modifikuoti.
-
Dešiniuoju pelės mygtuku spustelėkite atitinkamą domeną arba OU ir spustelėkite Kurti GPO šiame domene ir susieti jį čia.Įveskite naujo grupės strategijos objekto (GPO) pavadinimą, tada spustelėkite Gerai.
-
Dešiniuoju pelės mygtuku spustelėkite sukurtą GPO, tada spustelėkite Redaguoti.
-
Lange Grupės strategijos valdymo rengyklė spustelėkite Kompiuterio konfigūracija, strategijos, administravimošablonai, tada spustelėkite Spausdintuvai.
-
Dešiniuoju pelės mygtuku spustelėkite Taškų ir spausdinimo apribojimai, tada spustelėkite Redaguoti.
-
Dialogo lange Taškų ir spausdinimo apribojimai spustelėkite Įgalinta.
-
Pažymėkite žymės langelį Vartotojai gali nurodyti ir spausdinti tik į šiuos serverius , jei jis dar neparinktas.
-
Įveskite visiškai apibrėžtus serverio vardus. Atskirkite kiekvieną pavadinimą kabliataškiu (;).
Pastaba Įdiegę naujinimus, išleistus 2021 m. rugsėjo 21 d. arba naujesnę versiją, galite konfigūruoti šią grupės strategiją tašku arba tašku (.) atskirtus IP adresus galima pakeisti visiškai apibrėžtais pagrindinio kompiuterio pavadinimais.
-
Lauke Diegiant naujo ryšio tvarkykles pasirinkite Rodyti įspėjimą ir Pakelti raginimą.
-
Lauke Naujinant esamo ryšio tvarkykles pasirinkite Rodyti įspėjimą ir Pakelti raginimą.
-
Spustelėkite Gerai.
Leisti vartotojams prisijungti tik prie konkrečių paketų taškų ir spausdinimo serverių, kuriuos pasitikite
Ši strategija , Paketo vieta ir spausdinimas – patvirtinti serveriai apribos kliento veikimą, kad būtų galima tik leisti taškų ir spausdinimo ryšius su apibrėžtais serveriais, kurie naudoja paketus žinomas tvarkykles.
Atlikite šiuos veiksmus:
-
Domeno valdiklyje pasirinkite Pradžia, pasirinkite Administravimo įrankiai, tada pasirinkite Grupės strategijos valdymas. Arba pasirinkite Pradžia, pasirinkiteVykdyti, įveskite GPMC.MSC, tada paspauskite "Enter".
-
Išplėskite mišką ir išplėskite domenus.
-
Dalyje domenas pasirinkite OU, kur norite sukurti šią strategiją.
-
Dešiniuoju pelės mygtuku spustelėkite OU, tada pasirinkite Kurti GPO šiame domene ir susiekite jį čia.
-
Suteikite GPO pavadinimą, tada pasirinkite Gerai.
-
Dešiniuoju pelės mygtuku spustelėkite naujai sukurtą grupės strategijos objektą, tada pasirinkite Redaguoti, kad atidarytumėte grupės strategijos valdymo rengyklę.
-
Grupės strategijos valdymo rengyklėje išplėskite šiuos aplankus:
-
Kompiuterio konfigūracija
-
Strategijos
-
Administravimo šablonai
-
Vietinio kompiuterio policijos
-
Spausdintuvai
-
-
Įgalinti paketo tašką ir spausdinti – patvirtinti serveriai ir pasirinkite mygtuką Rodyti...
-
Įveskite visiškai apibrėžtus serverio vardus. Atskirkite kiekvieną pavadinimą kabliataškiu (;).
Pastaba Įdiegę naujinimus, išleistus 2021 m. rugsėjo 21 d. arba naujesnę versiją, galite konfigūruoti šią grupės strategiją tašku arba tašku (.) atskirtus IP adresus galima pakeisti visiškai apibrėžtais pagrindinio kompiuterio pavadinimais.
Dažnai užduodami klausimai
1 k. Kiekvieną kartą bandau spausdinti, gaunu raginimą" "Ar pasitikite šiuo spausdintuvu", ir norint tęsti, reikia administratoriaus kredencialų. Ar tai turėtų būti?
A1:Raginimas atlikti kiekvieną spausdinimo užduotį nėra tikėtinas. Dauguma aplinkos ar įrenginių, kurie patiria šią problemą, bus išspręsti įdiegus naujinimus, išleistus 2021 m. spalio 12 d. arba naujesnę versiją. Šiais naujinimais išspręsta problema, susijusi su spausdinimo serveriais ir spausdinimo klientais, kurie nėra toje pačioje laiko juostoje.
Jei įdiegus naujinimus, išleistus 2021 m. spalio 12 d. arba naujesnę versiją, vis tiek kyla ši problema, gali tekti kreiptis į spausdintuvo gamintoją dėl atnaujintų tvarkyklių. Ši problema taip pat gali kilti, kai spausdinimo tvarkyklė spausdinimo kliente ir spausdinimo serveryje naudoja tą patį failo vardą, tačiau serveryje yra naujesnė tvarkyklės failo versija. Kai spausdinimo klientas prisijungia prie spausdinimo serverio, jis randa naujesnį tvarkyklės failą ir paraginamas atnaujinti tvarkykles spausdinimo kliente. Tačiau pakete, kurį siūloma įdiegti, nėra naujesnės tvarkyklės failo versijos.
Lyginami failai yra tvarkyklės, kurios yra kaupos aplanke, paprastai C:\Windows\System32\spool\drivers\x64\3 tiek spausdinimo kliente, tiek spausdinimo serveryje. Tvarkyklės paketas, siūlomas diegti, paprastai bus C:\Windows\System32\spool\drivers\x64\PCC spausdinimo serveryje. Kai aplanke \3 esantys failai palyginami tarp įrenginių, jei jie nesutampa, įdiegiamas paketas PCC . Jei failai, esantys spausdinimo serverio aplanke \3 , nėra iš tos pačios spausdintuvo tvarkyklės, kurią PCC siūlo klientui, spausdinimo klientas palygins failus ir ras neatitikimą kaskart jį spausdinant.
Norėdami sušvelninti šią problemą, patikrinkite, ar naudojate naujausias tvarkykles visuose spausdinimo įrenginiuose. Jei įmanoma, naudokite tą pačią spausdinimo tvarkyklės versiją spausdinimo kliente ir spausdinimo serveryje. Jei atnaujinus tvarkykles jūsų aplinkoje problema neišsprendžiama, kreipkitės į spausdintuvo gamintojo (OĮG) palaikymo tarnybą.
2 K: įdiegiau naujinimus, išleistus 2021 m. rugsėjo 14 d., o kai Windows įrenginiai negali spausdinti tinklo spausdintuvais. Ar yra užsakymas, kad turėčiau įdiegti naujinimus spausdinimo klientams ir spausdinimo serveriuose?
A2: Prieš diegiant naujinimus, išleistus 2021 m. rugsėjo 14 d. arba naujesnę versiją spausdinimo serveriuose, spausdinimo klientams turi būti įdiegti naujinimai, išleisti 2021 m. sausio 12 d. arba naujesnėse versijose. Windows įrenginiai nebus spausdinami, jei jie neįdiegs naujinimo, išleisto 2021 m. sausio 12 d. arba vėliau.
Pastaba Jums nereikia įdiegti ankstesnių naujinimų ir po 2021 m. sausio 12 d. galite įdiegti bet kokį naujinimą spausdinimo klientams. Rekomenduojame įdiegti naujausią kaupiamąjį naujinimą tiek klientams, tiek serveriuose.