Podsumowanie
Windows aktualizacji opublikowanych 10 sierpnia 2021 r. i nowszych domyślnie będą wymagać uprawnień administracyjnych do instalowania sterowników. Wprowadzonej zmiany w domyślnym zachowaniu w celu rozwiązania tego ryzyka Windows urządzeniach, w tym na urządzeniach, które nie korzystają z funkcji point i drukowania lub drukowania. Aby uzyskać więcej informacji, zobacz Zmienianie domyślnego zachowania punktowania i drukowania oraz CVE-2021-34481.
Domyślnie użytkownicy, którzy nie są administratorami, nie będą już mogli wykonać następujących czynności przy użyciu funkcji Point i Print bez podwyższenia uprawnień administratora:
-
Instalowanie nowych drukarek przy użyciu sterowników na komputerze zdalnym lub serwerze
-
Aktualizowanie istniejących sterowników drukarek przy użyciu sterowników z komputera zdalnego lub serwera
Uwaga Jeśli nie korzystasz z funkcji Point i Print, ta zmiana nie powinna Cię zmieniać i będzie domyślnie chroniona po zainstalowaniu aktualizacji wydanych 10 sierpnia 2021 r. lub nowszych.
Ważne Klienci drukucy w środowisku muszą mieć opublikowaną aktualizację z 12 stycznia 2021 r. lub później przed zainstalowaniem aktualizacji z 14 września 2021 r. Aby uzyskać więcej informacji, zobacz K2 w "Często zadawane pytania" poniżej.
Modyfikowanie domyślnego zachowania instalacji sterownika przy użyciu klucza rejestru
To zachowanie domyślne można zmodyfikować przy użyciu klucza rejestru z poniższej tabeli. Jednak w przypadku użycia wartości zero (0) należy zachować szczególną ostrożność, ponieważ w ten sposób urządzenia będą narażone na zagrożenia. Jeśli w środowisku należy użyć wartości rejestru 0, zalecamy użycie jej tymczasowo podczas dostosowania środowiska w celu umożliwienia urządzeniom korzystającym z urządzeń z systemem Windows używania wartości jednego (1).
Lokalizacja rejestru |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord name |
RestrictDriverInstallationToAdministrators |
Dane wartości |
Zachowanie domyślne: Ustawienie tej wartości na 1 lub, jeśli klucz nie został zdefiniowany lub nie istnieje, będzie wymagać uprawnień administratora do zainstalowania dowolnego sterownika drukarki podczas korzystania z funkcji Point i Print. Ten klucz rejestru zastępuje wszystkie ograniczenia dotyczące punktów i zasady grupy i zapewnia, że tylko administratorzy mogą zainstalować sterowniki drukarek z serwera wydruku za pomocą funkcji Point i Print. Ustawienie wartości 0 umożliwia użytkownikom niebędącym administratorami instalowanie podpisanych i niepodpisanych sterowników na serwerze wydruku, ale nie zastępuje ustawień punktowych i zasady grupy druku. Dzięki temu ustawienia ograniczeń punktowych i zasady grupy mogą zastąpić to ustawienie klucza rejestru, aby zapobiec instalowaniu podpisanych i niepodpisanych sterowników drukarek z serwera wydruku przez osoby, które nie są administratorami. Niektórzy administratorzy mogą ustawić wartość 0, aby zezwolić użytkownikom niebędącym administratorami na instalowanie i aktualizowanie sterowników po dodaniu dodatkowych ograniczeń, takich jak dodanie ustawienia zasad ograniczeń, z którego można zainstalować sterowniki. Ważne Nie ma kombinacji środków zaradczych, która jest równoważna ustawieniu wartości RestrictDriverInstallationToAdministrators na 1. Uwaga Aktualizacje wydane 6 lipca 2021 r. lub nowsze mają domyślnie wartość 0 (wyłączone) do czasu zainstalowania aktualizacji opublikowanych 10 sierpnia 2021 r. lub nowszych. Aktualizacje wydane 10 sierpnia 2021 r. lub nowsze mają domyślnie wartość 1 (włączone). |
Wymagania dotyczące ponownego uruchamiania |
Podczas tworzenia lub modyfikowania tej wartości rejestru nie jest wymagane ponowne uruchomienie. |
Uwaga Windows nie ustawia ani nie zmieni klucza rejestru. Klucz rejestru można ustawić przed lub po zainstalowaniu aktualizacji opublikowanych 10 sierpnia 2021 r. lub nowszych.
Automatyzowanie dodatku wartości rejestru RestrictDriverInstallationToAdministrators
Aby zautomatyzować dodawanie wartości rejestru RestrictDriverInstallationToAdministrators, wykonaj następujące czynności:
-
Otwieranie okna wiersza polecenia (cmd.exe) z podwyższonym poziomem uprawnień.
-
Wpisz następujące polecenie, a następnie naciśnij klawisz Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Ustaw restrictDriverInstallationToAdministrators przy użyciu zasady grupy
Po zainstalowaniu aktualizacji wydanych 12 października 2021 r. lub nowszej możesz również ustawić dla administratorów restrictDriverInstallationToAdministrators za pomocą zasady grupy, korzystając z następujących instrukcji:
-
Otwórz narzędzie edytora zasad grupy i przejdź do strony Konfiguracja komputera> szablony administracyjne > drukarki.
-
Ustaw dla ustawienia Ograniczenia instalacji sterownika wydruku wartość Administratorzy na wartość "Włączone". Spowoduje to ustawienie wartości rejestru RestrictDriverInstallationToAdministrators na 1.
Instalowanie sterowników drukarek, gdy jest wymuszane nowe ustawienie domyślne
Jeśli ustawisz wartość RestrictDriverInstallationToAdministrators jako nie zdefiniowaną lub wartość 1, w zależności od środowiska, użytkownicy muszą zainstalować drukarki przy użyciu jednej z następujących metod:
-
Po wyświetleniu monitu o poświadczenia podczas próby zainstalowania sterownika drukarki podaj nazwę użytkownika i hasło administratora.
-
Dołącz niezbędne sterowniki drukarek do obrazu systemu operacyjnego.
-
Tymczasowo ustaw wartość RestrictDriverInstallationToAdministrators na 0, aby zainstalować sterowniki drukarek.
Uwaga Jeśli nie można zainstalować sterowników drukarek nawet z uprawnieniami administratora, należy wyłączyć ustawienia Użyj tylko punktu pakietu i drukuj zasady grupy.
Zalecane ustawienia i częściowe środki zaradcze dla środowisk, które nie mogą używać zachowania domyślnego
Poniższe środki zaradcze mogą pomóc zabezpieczyć wszystkie środowiska, ale szczególnie w przypadku, gdy trzeba ustawić wartość RestrictDriverInstallationToAdministrators na 0. Takie środki zaradcze nie są w pełni wykorzystać luki w zabezpieczeniach cve-2021-34481.
Ważne Nie ma kombinacji środków zaradczych, która jest równoważna ustawieniu wartości RestrictDriverInstallationToAdministrators na 1.
Sprawdzanie, czy RpcAuthnLevelPrivacyEnabled ma ustawioną wartość 1 lub nie jest zdefiniowana
Upewnij się, że dla ustawienia RpcAuthnLevelPrivacyEnabled ustawiono wartość 1 lub nie zdefiniowano jej zgodnie z opisem w artykule Zarządzanie zmianami powiązania RPC drukarki dla cvE-2021-1678 (KB4599464).
Sprawdzanie, czy włączono monity zabezpieczeń dla opcji Punkt i Drukuj
Sprawdź, czy włączono monity zabezpieczeń dla opcji Punkt i Drukuj zgodnie z opisem w artykule KB5005010: Ograniczanie instalacji nowych sterowników drukarek po zastosowaniu aktualizacji z 6 lipca 2021 r.
Zezwalaj użytkownikom na łączenie się tylko z określonymi zaufanymi serwerami wydruku
Te zasady, ograniczenia dotyczące punktów i drukowania, dotyczą drukarek pointowych i drukarek, które nie są zapakowane na serwerze.
Należy wykonać następujące czynności:
-
Otwórz konsolę zasady grupy zarządzania (GPMC).
-
W drzewie konsoli GPMC przejdź do domeny lub jednostki organizacyjnej, w której są przechowywane konta użytkowników, dla których chcesz zmodyfikować ustawienia zabezpieczeń sterownika drukarki.
-
Kliknij prawym przyciskiem myszy odpowiednią domenę lub odpowiednią nazwę użytkownika, kliknij pozycję Utwórz usługę zasad grupy w tej domenie i kliknij pozycję Połącz ją tutaj.Wpisz nazwę nowego obiektu zasady grupy obiekt zasad grupy, a następnie kliknij przycisk OK.
-
Kliknij prawym przyciskiem myszy utworzony przez Ciebie zamówienie grupy, a następnie kliknij polecenie Edytuj.
-
W oknie zasady grupy zarządzania kliknij pozycję Konfiguracja komputera, kliknij pozycję Zasady, kliknij pozycję Szablony administracyjne, a następnie kliknij pozycję Drukarki.
-
Kliknij prawym przyciskiem myszy pozycję Ograniczenia drukowania i punktów, a następnie kliknij polecenie Edytuj.
-
W oknie dialogowym Ograniczenia dotyczące punktów i wydruku kliknij pozycję Włączone.
-
Zaznacz pole wyboru Użytkownicy mogą wskazać i wydrukować do tych serwerów tylko wtedy, gdy nie jest jeszcze zaznaczone.
-
Wprowadź w pełni kwalifikowane nazwy serwerów. Poszczególne nazwy oddziel średnikami (;).
Uwaga Po zainstalowaniu aktualizacji wydanych 21 września 2021 r. lub nowszej możesz skonfigurować te zasady grupy za pomocą kropki lub kropki (. rozdzielane adresy IP zamiennie z w pełni kwalifikowaymi nazwami hostów.
-
W polu Podczas instalowania sterowników nowego połączenia wybierz pozycję Pokaż ostrzeżenie i Monit o podwyższonym poziomie uprawnień.
-
W polu Podczas aktualizowania sterowników dla istniejącego połączenia wybierz pozycję Pokaż ostrzeżenie i Monit z podwyższonym poziomem uprawnień.
-
Kliknij pozycję OK.
Zezwalanie użytkownikom na łączenie się tylko z określonymi serwerami Package Point i Print, którym ufasz
Te zasady, Package Point i Print — Zatwierdzone serwery, ograniczają zachowanie klienta tylko do zezwalania na połączenia Point i Print tylko do zdefiniowanych serwerów, które korzystają ze sterowników z pakietem.
Należy wykonać następujące czynności:
-
Na kontrolerze domeny wybierz pozycję Start, pozycję Narzędzia administracyjne, a następnie wybierz pozycję zasady grupy zarządzaniem. Ewentualnie wybierz przycisk Start, wybierz pozycję Uruchom, wpisz GPMC.MSC i naciśnij klawisz Enter.
-
Rozwiń las, a następnie rozwiń domeny.
-
W obszarze swojej domeny wybierz użytkownika, w którym chcesz utworzyć te zasady.
-
Kliknij prawym przyciskiem myszy nazwę użytkownika, wybierz pozycję Utwórz typ zasad grupy w tej domenie i połącz ją tutaj.
-
Nadaj nazwę zasadom grupy, a następnie wybierz przycisk OK.
-
Kliknij prawym przyciskiem myszy nowo utworzony obiekt zasady grupy a następnie wybierz pozycję Edytuj , aby otworzyć zasady grupy zarządzania danymi.
-
W Edytorze zasady grupy zarządzania rozwiń następujące foldery:
-
Konfiguracja komputera
-
Zasady
-
Szablony administracyjne
-
Local Computer Policys
-
Drukarki
-
-
Enable Package Point and Print - Approved servers and select the Show... button.
-
Wprowadź w pełni kwalifikowane nazwy serwerów. Poszczególne nazwy oddziel średnikami (;).
Uwaga Po zainstalowaniu aktualizacji wydanych 21 września 2021 r. lub nowszej możesz skonfigurować te zasady grupy za pomocą kropki lub kropki (. rozdzielane adresy IP zamiennie z w pełni kwalifikowaymi nazwami hostów.
Często zadawane pytania
P1. Za każdym razem, gdy próbujemy wydrukować, otrzymuję monit z informacją "Czy ufasz tej drukarce" i wymaga ona kontynuowania poświadczeń administratora. Czy jest to oczekiwane?
A1:Nie należy wyświetlać monitu dla każdego zadania drukowania. Większość środowisk lub urządzeń, na których występuje ten problem, zostanie rozwiązana przez zainstalowanie aktualizacji opublikowanych 12 października 2021 r. lub nowszych. Te aktualizacje rozsyłają problem związany z serwerami drukowania i klientami drukowania, którzy nie są w tej samej strefie czasowej.
Jeśli ten problem nadal występuje po zainstalowaniu aktualizacji wydanych 12 października 2021 r. lub nowszej, może być konieczne skontaktowanie się z producentem drukarki w celu zaktualizowania sterowników. Ten problem może również wystąpić, gdy sterownik wydruku w kliencie drukowania i na serwerze wydruku używa tej samej nazwy pliku, ale serwer ma nowszą wersję pliku sterownika. Gdy klient drukowania łączy się z serwerem wydruku, znajduje nowy plik sterownika i jest wyświetlany monit o zaktualizowanie sterowników w kliencie drukowania. Jednak plik w pakiecie, który jest oferowany do zainstalowania, nie zawiera nowszej wersji pliku sterownika.
Porównywane pliki to sterowniki w folderze buforu, zwykle w folderze C:\Windows\System32\spool\drivers\x64\3 zarówno na kliencie wydruku, jak i na serwerze wydruku. Pakiet sterowników oferowany do instalacji zazwyczaj znajdzie się w folderze C:\Windows\System32\spool\drivers\x64\PCC na serwerze wydruku. Gdy pliki w folderze \3 zostaną porównane między urządzeniami, jeśli nie będą zgodne, pakiet w pakiecie PCC zostanie zainstalowany. Jeśli pliki w folderze \3 serwera wydruku nie znajdują się w tym samym sterowniku drukarki, który oferuje klient, klient wydruku porówna pliki i znajdzie niezgodność za każdym razem, gdy zostanie wydrukowany.
Aby zminimalizować ten problem, upewnij się, że używasz najnowszych sterowników dla wszystkich urządzeń drukujących. Jeśli to możliwe, należy użyć tej samej wersji sterownika wydruku na kliencie wydruku i serwerze wydruku. Jeśli zaktualizowanie sterowników w środowisku nie rozwiąże problemu, skontaktuj się z pomocą techniczną producenta drukarki (OEM).
P2. Po zainstalowaniu aktualizacji opublikowanych 14 września 2021 r. niektóre Windows nie mogą być drukowane na drukarkach sieciowych. Czy istnieje zamówienie, w przypadku których muszę zainstalować aktualizacje na klientach druku i serwerach wydruku?
A2. Przed zainstalowaniem aktualizacji opublikowanych 14 września 2021 r. lub nowszych na serwerach wydruku klienci drukowania muszą mieć zainstalowane aktualizacje wydane 12 stycznia 2021 r. lub nowsze. Windows urządzenia nie zostaną wydrukowane, jeśli nie zainstalowano aktualizacji wydanej 12 stycznia 2021 r. lub nowszej.
Uwaga Nie trzeba instalować wcześniejszych aktualizacji i można zainstalować dowolną aktualizację po 12 stycznia 2021 r. na klientach druku. Zalecamy zainstalowanie najnowszej zbiorczej aktualizacji zarówno na klientach, jak i serwerach.