Kopsavilkums

Windows 2021. gada 10. augusta atjauninājumiem pēc noklusējuma būs nepieciešamas administratīvās tiesības, lai instalētu draiverus. Mēs veicām šīs noklusējuma darbības izmaiņas, lai novērstu risku visās ierīcēs, Windows tostarp ierīcēs, kas neizmanto point un drukas vai drukas funkcionalitāti. Papildinformāciju skatiet rakstā Punktu un drukas noklusējuma darbības izmaiņasun CVE-2021-34481.  

Pēc noklusējuma lietotāji, kas nav administratori, vairs nevarēs veikt tālāk norādītās darbības, izmantojot point un Print bez privilēģiju pacēluma administratoram:

  • Jaunu printeru instalēšana, izmantojot attālā datora vai servera draiverus

  • Esošu printera draiveru atjaunināšana, izmantojot attālā datora vai servera draiverus

Piezīme Ja neizmantojat Point un Print, šīs izmaiņas jūs neietekmēs un pēc 2021. gada 10. augusta atjauninājumu instalēšanas tie tiks aizsargāti pēc noklusējuma.

Svarīgi! Drukāšanas klientiem jūsu vidē ir jābūt atjauninājumam, kas izlaists 2021. gada 12. janvārī vai vēlāk, pirms instalējat atjauninājumu laidienu 2021. gada 14. septembrī.  Lai iegūtu papildinformāciju , lūdzu, skatiet 2. jautājumu sadaļā "Bieži uzdotie jautājumi".

Noklusējuma draivera instalācijas darbības modificēšana, izmantojot reģistra atslēgu

Varat modificēt šo noklusējuma darbību, izmantojot tālāk esošajā tabulā esošo reģistra atslēgu. Tomēr esiet ļoti uzmanīgs, izmantojot nulles (0) vērtību, jo šāda iestatīšana padara ierīces neaizsargātas. Ja jums savā vidē jāizmanto reģistra vērtība 0, ieteicams to izmantot īslaicīgi, pielāgojot vidi, lai atļautu Windows ierīcēm izmantot viena (1) vērtību.   

Reģistra atrašanās vieta

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord nosaukums

RestrictDriverInstallationToAdministrators

Vērtības dati

Noklusējuma darbība: Iestatot šo vērtību uz 1 vai ja atslēga nav definēta vai nepastāv, būs nepieciešamas administratora tiesības instalēt jebkuru printera draiveri, izmantojot Point un Print. Šī reģistra atslēga ignorēs visus punktu un drukas ierobežojumu grupas politikas iestatījumus un nodrošina, ka tikai administratori var instalēt printera draiverus no drukas servera, izmantojot Point un Print.

Iestatot vērtību 0, neadministratoriem tiek atļauts instalēt parakstītus un neparakstītus draiverus drukas serverī, bet nepārlabo punktu un drukas grupas politikas iestatījumus. Līdz ar to punktu un drukas ierobežojumu grupas politikas iestatījumi var ignorēt šo reģistra atslēgas iestatījumu, lai neļautu neadministratoriem instalēt parakstītus un neparakstītus drukas draiverus no drukas servera. Daži administratori var iestatīt vērtību 0, lai atļautu lietotājiem, kas nav administratori, instalēt un atjaunināt draiverus pēc papildu ierobežojumu pievienošanas, tostarp politikas iestatījuma pievienošanas, kas ierobežo to, kur var instalēt draiverus.

Svarīgi! Risku mazināšanas pasākumu kombinācija nav līdzvērtīga iestatījumam RestrictDriverInstallationToAdministrators uz 1.

Piezīme 2021. gada 6. jūlijā izlaistajiem atjauninājumiem pēc noklusējuma ir 0 (atspējoti) līdz 2021. gada 10. augusta vai jaunākas versijas atjauninājumu instalēšanai.  2021. gada 10. augusta vai jaunākas versijas atjauninājumiem ir noklusējuma vērtība 1 (iespējots).

Restartēšanas prasības

Veidojot vai modificējot šo reģistra vērtību, restartēšana nav nepieciešama.

Piezīme Windows atjauninājumi netiks iestatīti vai mainīti reģistra atslēgu. Varat iestatīt reģistra atslēgu pirms vai pēc atjauninājumu instalēšanas, kas izlaista 2021. gada 10. augustā vai jaunāka versija.

Reģistra vērtības RestrictDriverInstallationToAdministrators pievienošanas automatizēšana

Lai automatizētu reģistra vērtības RestrictDriverInstallationToAdministrators papildinājumu, veiciet šādas darbības:

  1. Atveriet komandu uzvednes logu (cmd.exe) ar paaugstinātām atļaujām.

  2. Ierakstiet šo komandu un pēc tam nospiediet taustiņu Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Set RestrictDriverInstallationToAdministrators using Group Policy

Pēc 2021. gada 12. oktobra vai jaunākas versijas atjauninājumu instalēšanas varat iestatīt instalēšanas procesu RestrictDriverInstallationToAdministrators, izmantojot grupas politiku, izpildot tālāk minētos norādījumus.

  1. Atveriet grupas politikas redaktora rīku un dodieties uz sadaļu Datora konfigurācija > Administratīvās veidnes > printerus. 

  2. Iestatiet drukas draivera instalēšanas ierobežojumus uz Administratori iestatījumu "Iespējots". Tādējādi reģistra vērtībai RestrictDriverInstallationToAdministrators tiks iestatīta vērtība 1.

Drukas draiveru instalēšana, ja ir ieviests jaunais noklusējuma iestatījums

Ja iestatāt RestrictDriverInstallationToAdministrators kā nav definēts vai kā 1, atkarībā no jūsu vides, lietotājiem ir jāizmanto viena no šīm metodēm, lai instalētu printerus:

  • Ja tiek prasīts ievadīt akreditācijas datus, kad tiek mēģināts instalēt printera draiveri, norādiet administratora lietotājvārdu un paroli.

  • Iekļaujiet OS attēlā nepieciešamos printera draiverus.

  • Īslaicīgi iestatiet RestrictDriverInstallationToAdministrators uz 0, lai instalētu printera draiverus.

Piezīme Ja nevarat instalēt printera draiverus, pat izmantojot administratora tiesības, ir jāatspējo tikai pakotnes punktu un drukas grupas politika.

Ieteicamie iestatījumi un daļējas risku mazināšanas vides, kas nevar izmantot noklusējuma darbību

Tālāk norādītās risku mazināšanas iespējas var palīdzēt aizsargāt visu vidi, bet īpaši, ja ir jāiestata restrictDriverInstallationToAdministrators uz 0. Šie risku mazināšanas pasākumi pilnībā neatbilst CVE-2021-34481 ievainojamībām.

Svarīgi! Risku mazināšanas pasākumu kombinācija nav līdzvērtīga iestatījumam RestrictDriverInstallationToAdministrators uz 1.

Pārliecinieties, vai RpcAuthnLevelPrivacyEnabled ir iestatīts uz 1 vai nav definēts

Pārliecinieties, vai RpcAuthnLevelPrivacyEnabled ir iestatīts uz 1 vai nav definēts, kā aprakstīts rakstā Printera RPC saistīšanas izmaiņu pārvaldība attiecībā uz CVE-2021-1678 (KB4599464).

Kā pārbaudīt, vai point un Print drošības uzvednes ir iespējotas

Pārliecinieties, vai ir iespējotas point un Print drošības uzvednes, kā aprakstīts kb5005010: jaunu printera draiveru instalēšanas ierobežošana pēc 2021. gada 6. jūlija atjauninājumu lietošanas. 

Atļauja lietotājiem izveidot savienojumu tikai ar noteiktiem drukas serveriem, kam uzticaties

Šī politika, Punktu un drukas ierobežojumi, attiecas uz punktu un drukas printeriem, izmantojot servera draiveri, kas nav pakotnes zināms. 

Veiciet tālāk norādītās darbības.

  1. Atveriet grupas politikas pārvaldības konsoli (GPMC).

  2. GPMC konsoles kokā dodieties uz domēnu vai organizācijas vienību (OU), kurā saglabāti lietotāju konti, kam vēlaties modificēt printera draivera drošības iestatījumus.

  3. Ar peles labo pogu noklikšķiniet uz atbilstošā domēna vai OU un noklikšķiniet uz Izveidot GPO šajā domēnā un saistiet to šeit.Ierakstiet jaunā grupas politikas objekta (GPO) nosaukumu un pēc tam noklikšķiniet uz Labi.

  4. Ar peles labo pogu noklikšķiniet uz izveidotā GPO un pēc tam noklikšķiniet uz Rediģēt.

  5. Logā Grupas politikas pārvaldības redaktors noklikšķiniet uz Datora konfigurācija, uzPolitikas, uz Administratīvās veidnes un pēc tam uz Printeri.

  6. Ar peles labo pogu noklikšķiniet uz Punktu un drukas ierobežojumi un pēc tam noklikšķiniet uz Rediģēt.

  7. Dialoglodziņā Punktu un drukas ierobežojumi noklikšķiniet uz Iespējots.

  8. Atzīmējiet izvēles rūtiņu Lietotāji var tikai norādīt un drukāt uz šiem serveriem , ja tā vēl nav atzīmēta.

  9. Ievadiet pilnos servera nosaukumus. Katru vārdu atdaliet ar semikolu (;).

    Piezīme Pēc 2021. gada 21. septembra vai jaunākas versijas atjauninājumu instalēšanas varat konfigurēt šo grupas politiku ar punktu vai punktu (.) norobežotas IP adreses, kas tiek aizstātas ar pilnībā kvalificētiem resursdatoru nosaukumiem.

  10. Lodziņā Instalējot jaunā savienojuma draiverus atlasiet Rādīt brīdinājumu un Priviliģēta uzvedne.

  11. Lodziņā Atjauninot esoša savienojuma draiverus atlasiet Rādīt brīdinājumu un Priviliģēta uzvedne.

  12. Noklikšķiniet uz Labi.

Atļauja lietotājiem izveidot savienojumu tikai ar konkrētiem pakotņu punktu un drukas serveriem, kam uzticaties

Šī politika, Pakotņu punkts un Drukāt — apstiprināti serveri, ierobežo klienta darbību, lai atļautu tikai point un print savienojumus ar definētiem serveriem, kas izmanto pakotnes draiverus.

Veiciet tālāk norādītās darbības.

  1. Domēna kontrollerī atlasiet Sākums, atlasiet Administratīvie rīki un pēc tam atlasiet Grupas politikas pārvaldība. Vai arī atlasiet Sākums, atlasiet Palaist, ierakstiet GPMC.MSC un pēc tam nospiediet taustiņu Enter.

  2. Izvērsiet mežu un pēc tam izvērsiet domēnus.

  3. Zem sava domēna atlasiet OU, kurā vēlaties izveidot šo politiku.

  4. Ar peles labo pogu noklikšķiniet uz OU un pēc tam atlasiet Izveidot GPO šajā domēnā un saistiet to šeit.

  5. Piešķiriet GPO nosaukumu un pēc tam atlasiet Labi.

  6. Ar peles labo pogu noklikšķiniet uz jaunizveidotā grupas politikas objekta un pēc tam atlasiet Rediģēt , lai atvērtu grupas politikas pārvaldības redaktoru.

  7. Grupas politikas pārvaldības redaktorā izvērsiet šādas mapes:

    1. Datora konfigurācija

    2. Politikas

    3. Administratīvās veidnes

    4. Lokālās datorn polices

    5. Printeri

  8. Iespējojiet Package Point un Print - Approved servers un atlasiet pogu Show... (Rādīt...).

  9. Ievadiet pilnos servera nosaukumus. Katru vārdu atdaliet ar semikolu (;).

    Piezīme Pēc 2021. gada 21. septembra vai jaunākas versijas atjauninājumu instalēšanas varat konfigurēt šo grupas politiku ar punktu vai punktu (.) norobežotas IP adreses, kas tiek aizstātas ar pilnībā kvalificētiem resursdatoru nosaukumiem.

Bieži uzdotie jautājumi

1. problēma. Ikreiz, kad mēģinu drukāt, tiek parādīta uzvedne ar jautājumu "Vai uzticaties šim printerim" un, lai turpinātu, ir nepieciešami administratora akreditācijas dati.  Vai tā ir paredzama?

A1:Uzvedne par katru drukas darbu nav paredzama. Lielākā daļa vides vai ierīču, kam rodas šī problēma, tiks novērsta, instalējot 2021. gada 12. oktobrī vai jaunākā versijā izlaistos atjauninājumus.  Šie atjauninājumi attiecas uz problēmu, kas saistīta ar drukas serveriem un drukas klientiem, kuri nav vienā laika joslā. 

Ja šī problēma joprojām pastāv pēc 2021. gada 12. oktobra vai jaunākas versijas atjauninājumu instalēšanas, iespējams, būs jāsazinās ar printera ražotāju, lai saņemtu atjauninātus draiverus.  Šī problēma var rasties arī tad, ja drukas draiveris drukas klientā un drukas serverī izmanto tādu pašu faila nosaukumu, taču serverī ir jaunāka draivera faila versija. Kad drukas klients izveido savienojumu ar drukas serveri, tas atrod jaunāku draivera failu un tiek piedāvāts atjaunināt drukas klienta draiverus. Tomēr failā pakotnē, kurā tas tiek piedāvāts instalēšanai, nav iekļauta jaunākā draivera faila versija. 

Salīdzinātie faili ir spolēšanas mapē ietilpste draiveri, parasti šeit: C:\Windows\System32\spool\drivers\x64\3 drukas klientā un drukas serverī.  Instalācijai piedāvātā draivera pakotne parasti atrodas mapē C:\Windows\System32\spool\drivers\x64\PCC drukas serverī.  Kad mapē \3 saglabātie faili tiek salīdzināti starp ierīcēm, ja tie neatbilst, PCC pakotne tiek instalēta.  Ja faili drukas servera mapē \3 nav no tā paša printera draivera, ko PCC piedāvā klientam, drukas klients salīdzina failus un atrod neatbilstību katru reizi, kad tiek izdrukāts. 

Lai mazinātu šo problēmu, pārliecinieties, vai izmantojat jaunākos draiverus visām savām drukas ierīcēm.  Ja iespējams, izmantojiet to pašu drukas draivera versiju drukas klientā un drukas serverī. Ja, atjauninot draiverus savā vidē, problēma netiek novērsta, lūdzu, sazinieties ar sava printera ražotāja (OEM) atbalstu.

2. problēma. Es instalēju 2021. gada 14. septembra atjauninājumus un dažas Windows nevar drukāt ar tīkla printeriem.  Vai ir pasūtījums, kas jāinstalē drukas klientos un drukas serveros?

A2: Lai varētu instalēt 2021. gada 14. septembrī vai jaunāku versiju izlaistos atjauninājumus drukas serveros, drukas klientiem ir jābūt instalētiem atjauninājumiem, kas izlaisti 2021. gada 12. janvārī vai jaunākā versijā. Windows ierīces netiks drukātas, ja tajās nav instalēts 2021. gada 12. janvāra vai jaunākas versijas atjauninājums. 

Piezīme Jums nav jāinstalē iepriekšie atjauninājumi un pēc 2021. gada 12. janvāra var instalēt jebkādus atjauninājumus uz drukāšanas klientiem.  Mēs iesakām instalēt jaunāko kumulatīvo atjauninājumu gan klientos, gan serveros.

Resursi

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.