Rezumat
Windows lansate la 10 august 2021 și mai recente vor necesita în mod implicit privilegii administrative pentru a instala drivere. Am efectuat această modificare în comportamentul implicit pentru a aborda riscul pe toate dispozitivele Windows, inclusiv pe dispozitivele care nu utilizează funcționalitatea Punct și Imprimare sau imprimare. Pentru mai multe informații, consultați Schimbarea comportamentului implicit la punct și la imprimare și CVE-2021-34481.
În mod implicit, utilizatorii care nu sunt administratori nu vor mai putea face următoarele utilizând Punct și Imprimare fără cota de privilegii a administratorului:
-
Instalarea de imprimante noi utilizând drivere pe un computer sau un server la distanță
-
Actualizarea driverelor de imprimantă existente utilizând drivere de pe computerul sau serverul la distanță
Notă Dacă nu utilizați Punct și imprimare, nu trebuie să fiți afectat de această modificare și va fi protejat în mod implicit după instalarea actualizărilor lansate pe 10 august 2021 sau mai recente.
Important Imprimarea clienților în mediul dvs. trebuie să aibă o actualizare lansată pe 12 ianuarie 2021 sau o versiune mai recentă înainte de instalarea actualizărilor, la 14 septembrie 2021. Consultați T2 din "Întrebări frecvente" de mai jos pentru mai multe informații.
Modificarea comportamentului implicit de instalare a driverului utilizând o cheie de registry
Puteți modifica acest comportament implicit utilizând cheia de registry din tabelul de mai jos. Totuși, fiți foarte atent atunci când utilizați o valoare zero (0), deoarece acest lucru face dispozitivele vulnerabile. Dacă trebuie să utilizați valoarea de registry 0 în mediul dvs., vă recomandăm să o utilizați temporar în timp ce ajustați mediul, pentru Windows permite dispozitivelor să utilizeze valoarea unu (1).
Locație de registry |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Nume DWord |
RestrictDriverInstallationToAdministrators |
Date valoare |
Comportament implicit: Setarea acestei valori la 1 sau dacă cheia nu este definită sau nu este prezentă , va necesita privilegii de administrator pentru a instala orice driver de imprimantă atunci când utilizați Punct și Imprimare. Această cheie de registry va înlocui toate setările politicii de grup Restricții punct și imprimare și asigură că numai administratorii pot instala drivere de imprimantă de pe un server de imprimare utilizând Punct și Imprimare. Setarea valorii 0 permite non-administratorilor să instaleze drivere semnate sau nesemnate pe un server de imprimare, dar nu suprascrie setările Politicii de grup pentru puncte și imprimare. Prin urmare, setările Politicii de grup Restricții punct și imprimare pot înlocui această setare de cheie de registry, pentru a împiedica non-administratorii să instaleze drivere de imprimare semnate sau nesemnate de pe un server de imprimare. Unii administratori pot seta valoarea 0 pentru a le permite non-administratorilor să instaleze și să actualizeze driverele după adăugarea de restricții suplimentare, inclusiv adăugarea unei setări de politică care restricționează locul de unde pot fi instalate driverele. Important Nu există nicio combinație de riscuri echivalente cu setarea RestrictDriverInstallationToAdministrators la 1. Notă Actualizările lansate pe 6 iulie 2021 sau mai recente au setarea implicită 0 (dezactivată) până la instalarea actualizărilor lansate pe 10 august 2021 sau mai recente. Actualizările lansate pe 10 august 2021 sau mai recente au setarea implicită 1 (activată). |
Cerințe pentru repornire |
Nu este necesară repornirea atunci când creați sau modificați această valoare de registry. |
Notă Windows nu se vor seta sau modifica cheia de registry. Puteți seta cheia de registry înainte sau după instalarea actualizărilor lansate pe 10 august 2021 sau mai recent.
Automatizarea adăugării valorii registry RestrictDriverInstallationToAdministrators
Pentru a automatiza adăugarea valorii registry RestrictDriverInstallationToAdministrators, urmați acești pași:
-
Deschideți o fereastră linie de comandă (cmd.exe) cu permisiuni elevate.
-
Tastați următoarea comandă, apoi apăsați pe Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Setarea RestricționareInstallationLaAdministratori utilizând Politica de grup
După ce instalați actualizările lansate pe 12 octombrie 2021 sau o versiune mai recentă, puteți seta și RestrictDriverInstallationToAdministrators utilizând o politică de grup, utilizând următoarele instrucțiuni:
-
Deschideți instrumentul de editor de politică de grup și accesați Configurație computer > Șabloane administrative > Imprimante.
-
Setați setarea Limite pentru driverul de imprimare la Administratori la "Activat". Acest lucru va seta valoarea de registry a RestrictDriverInstallationToAdministrators la 1.
Instalarea driverelor de imprimare atunci când este impusă noua setare implicită
Dacă setați RestrictDriverInstallationToAdministrators așa cum nu este definit sau la 1, în funcție de mediul dvs., utilizatorii trebuie să utilizeze una dintre metodele următoare pentru a instala imprimante:
-
Furnizați un nume de utilizator și o parolă de administrator atunci când vi se solicită acreditări atunci când încercați să instalați un driver de imprimantă.
-
Includeți driverele de imprimantă necesare în imaginea sos.
-
Setați temporar RestrictDriverInstallationToAdministrators la 0 pentru a instala driverele de imprimantă.
Notă Dacă nu puteți instala driverele de imprimantă, chiar și cu privilegii de administrator, trebuie să dezactivați Politica de grup Se utilizează doar punctele pentru pachete și Imprimare.
Setări recomandate și atenuare parțială pentru mediile care nu pot utiliza comportamentul implicit
Următoarele riscuri pot contribui la securizarea tuturor mediilor, dar mai ales dacă trebuie să setați RestrictDriverInstallationToAdministrators la 0. Aceste riscuri nu abordează complet vulnerabilitățile din CVE-2021-34481.
Important Nu există nicio combinație de riscuri echivalente cu setarea RestrictDriverInstallationToAdministrators la 1.
Verificați dacă RpcAuthnLevelPrivacyEnabled este setat la 1 sau nedefinit
Verificați dacă RpcAuthnLevelPrivacyEnabled este setat la 1 sau nu este definit așa cum este descris în Gestionarea implementării modificărilor de legare RPC pentru imprimantă pentru CVE-2021-1678 (KB4599464).
Verificați dacă sunt activate solicitările de securitate pentru Punct și Imprimare
Verificați dacă solicitările de securitate sunt activate pentru Punct și Imprimare, după cum este descris în KB5005010: Restricționarea instalării noilor drivere de imprimantă după aplicarea actualizărilor din 6 iulie 2021.
Permiteți utilizatorilor să se conecteze doar la anumite servere de imprimare în care aveți încredere
Această politică, Restricții punct și imprimare, se aplică imprimantelor de imprimare și de punct utilizând un driver ne împachetat de pe server.
Urmați acești pași:
-
Deschideți Consola de gestionare a politicilor de grup (GPMC).
-
În arborele consolă GPMC, accesați domeniul sau unitatea organizațională (OU) care stochează conturile de utilizator pentru care doriți să modificați setările de securitate ale driverului de imprimantă.
-
Faceți clic dreapta pe domeniul sau ou corespunzător, faceți clic pe Creați un GPO în acest domeniu, apoi legați-l aici.Tastați un nume pentru noul obiect Politică de grup (GPO), apoi faceți clic pe OK.
-
Faceți clic dreapta pe GPO-ul creat, apoi faceți clic pe Editare.
-
În fereastra Editor gestionare politică de grup, faceți clic pe Configurație computer, faceți clic pe Politici, pe Șabloane administrative, apoi pe Imprimante.
-
Faceți clic dreapta pe Restricții punct și imprimare, apoi faceți clic pe Editare.
-
În caseta de dialog Restricții punct și imprimare , faceți clic pe Activat.
-
Bifați caseta de selectare Utilizatorii pot doar să puncteze și să imprime pe aceste servere dacă nu sunt bifați deja.
-
Introduceți numele de server complet calificate. Separați fiecare nume prin punct și virgulă (;).
Notă După ce instalați actualizările lansate pe 21 septembrie 2021 sau o versiune mai recentă, puteți să configurați această politică de grup cu un punct sau punct (.) adrese IP delimitate, alternativ, cu nume de gazdă complet calificate.
-
În caseta Când se instalează driverele pentru o conexiune nouă , selectați Afișare avertisment și Solicitare cu nivel ridicat.
-
În caseta La actualizarea driverelor pentru o conexiune existentă , selectați Afișare avertisment și Solicitare cu nivel ridicat.
-
Faceți clic pe OK.
Permiteți utilizatorilor să se conecteze doar la anumite servere pentru Puncte de pachet și Imprimare în care aveți încredere
Această politică, Punct de împachetare și imprimare - servere aprobate, va restricționa comportamentul clientului pentru a permite doar conexiunile Punct și Imprimare la servere definite care utilizează drivere pachet.
Urmați acești pași:
-
Pe controlerul de domeniu, selectați Start, selectați Instrumente de administrare, apoi Gestionare politică de grup. Ca alternativă, selectați Start, selectați Rulare, tastați GPMC.MSC, apoi apăsați pe Enter.
-
Extindeți pădurea, apoi extindeți domeniile.
-
Sub domeniul dvs., selectați OU-ul în care doriți să creați această politică.
-
Faceți clic dreapta pe OU, apoi selectați Creați un GPO în acest domeniu și legați-l aici.
-
Dați un nume GPO-ului și apoi selectați OK.
-
Faceți clic dreapta pe obiectul Politică de grup nou creată, apoi selectați Editare pentru a deschide Editorul de gestionare a politicilor de grup.
-
În Editor gestionare politică de grup, extindeți următoarele foldere:
-
Configurație computer
-
Politici
-
Șabloane administrative
-
Local Computer Polices
-
Imprimante
-
-
Activați punctele de pachet și imprimarea - servere aprobate și selectați butonul Afișare....
-
Introduceți numele de server complet calificate. Separați fiecare nume prin punct și virgulă (;).
Notă După ce instalați actualizările lansate pe 21 septembrie 2021 sau o versiune mai recentă, puteți să configurați această politică de grup cu un punct sau punct (.) adrese IP delimitate, alternativ, cu nume de gazdă complet calificate.
Întrebări frecvente
Î1: De fiecare dată când încerc să imprim, primesc un mesaj care spune "Aveți încredere în această imprimantă" și necesită acreditări de administrator pentru a continua. Vă așteptați la acest lucru?
A1:Nu vă așteptați la fiecare activitate de imprimare. Majoritatea mediilor sau dispozitivelor care se experimentează această problemă vor fi rezolvate prin instalarea actualizărilor lansate pe 12 octombrie 2021 sau mai târziu. Aceste actualizări abordează o problemă legată de serverele de imprimare și clienții de imprimare care nu se află în același fus orar.
Dacă încă aveți această problemă după ce instalați actualizările lansate pe 12 octombrie 2021 sau o versiune mai recentă, poate fi necesar să contactați producătorul imprimantei pentru drivere actualizate. Această problemă poate apărea și atunci când un driver de imprimare din clientul de imprimare și de pe serverul de imprimare utilizează același nume de fișier, dar serverul are o versiune mai nouă a fișierului de driver. Atunci când clientul de imprimare se conectează la serverul de imprimare, găsește un fișier de driver mai nou și i se solicită să actualizeze driverele din clientul de imprimare. Cu toate acestea, fișierul din pachetul oferit pentru instalare nu include versiunea mai nouă de fișier de driver.
Fișierele comparate sunt driverele din folderul derulator, de obicei în C:\Windows\System32\spool\drivers\x64\3 atât pe clientul de imprimare, cât și pe serverul de imprimare. Pachetul de driver oferit pentru instalare va fi de obicei în C:\Windows\System32\spool\drivers\x64\PCC pe serverul de imprimare. După ce fișierele din folderul \3 sunt comparate între dispozitive, dacă nu se potrivesc, este instalat pachetul din PCC . Dacă fișierele din folderul \3 al serverului de imprimare nu provin de la același driver de imprimantă pe care PCC îl oferă clientului, clientul de imprimare va compara fișierele și va găsi nepotrivirile de fiecare dată când se imprimă.
Pentru a diminua această problemă, verificați dacă utilizați cele mai recente drivere pentru toate dispozitivele de imprimare. Acolo unde este posibil, utilizați aceeași versiune a driverului de imprimare pe clientul de imprimare și pe serverul de imprimare. Dacă actualizarea driverelor în mediul dvs. nu rezolvă problema, contactați asistența pentru producătorul imprimantei (OEM).
T2: Am instalat actualizări lansate pe 14 septembrie 2021 și unele dispozitive Windows nu pot imprima la imprimantele de rețea. Există o ordine pe care trebuie să o instalez pe clienții de imprimare și pe serverele de imprimare?
A2: Înainte de a instala actualizările lansate pe 14 septembrie 2021 sau o versiune ulterioară pe serverele de imprimare, clienții de imprimare trebuie să aibă instalate actualizări lansate pe 12 ianuarie 2021 sau o versiune mai recentă. Windows dispozitivele nu se vor imprima dacă nu au instalat o actualizare lansată la 12 ianuarie 2021 sau o versiune mai recentă.
Notă Nu trebuie să instalați actualizările anterioare și să instalați nicio actualizare după 12 ianuarie 2021 pe imprimarea clienților. Vă recomandăm să instalați cea mai recentă actualizare cumulativă atât pe clienți, cât și pe servere.