Zhrnutie
Windows aktualizácie vydané 10. augusta 2021 a novšie budú predvolene vyžadovať oprávnenie správcu na inštaláciu ovládačov. K tejto zmene sme v predvolenom nastavení vykonali opatrenia na riešenie rizika vo všetkých zariadeniach Windows vrátane zariadení, ktoré nepoužívajte funkciu Point a Print alebo funkciu tlače. Ďalšie informácie nájdete v téme Zmena predvoleného správania ukážok a tlače a CVE-2021-34481.
V predvolenom nastavení používatelia, ktorí nie sú správcami, nebudú môcť ďalej používať funkcie Point a Print bez neautorizovaného oprávnenia správcu:
-
Inštalácia nových tlačiarní pomocou ovládačov vo vzdialenom počítači alebo serveri
-
Aktualizácia existujúcich ovládačov tlačiarne pomocou ovládačov zo vzdialeného počítača alebo servera
Poznámka Ak nepoužívate aplikáciu Point a Print, táto zmena nemá vplyv na vás a bude predvolene chránená po inštalácii aktualizácií vydaných 10. augusta 2021 alebo novšej.
Dôležité Tlač klientov vo vašom prostredí musí mať pred inštaláciou aktualizácií vydanú 14. septembra 2021 aktualizáciu vydanú 12. januára 2021 alebo novšiu. Ďalšie informácie nájdete v časti Najčastejšie otázky nižšie v časti Najčastejšie otázky.
Úprava predvoleného správania inštalácie ovládača pomocou kľúča databázy Registry
Toto predvolené správanie môžete upraviť pomocou kľúča databázy Registry v tabuľke nižšie. Pri používaní hodnoty nula (0) buďte však veľmi opatrní, pretože vďaka tomu sú zariadenia zraniteľné. Ak musíte vo svojom prostredí použiť hodnotu 0 databázy Registry, odporúčame ju dočasne používať, keď upravíte svoje prostredie tak, aby Windows zariadenia mohli používať hodnotu jedného (1).
Umiestnenie databázy Registry |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Názov DWordu |
RestrictDriverInstallationToAdministrators |
Value data (Údaje hodnoty) |
Predvolené správanie: Ak túto hodnotu nastavujete na hodnotu 1 , alebo ak kľúč nie je definovaný alebo nie je definovaný, bude pri použití funkcie Point a Print vyžadovať oprávnenie správcu na inštaláciu ľubovoľného ovládača tlačiarne. Tento kľúč databázy Registry prepíše všetky nastavenia skupinovej politiky Obmedzenia tlače a zabezpečí, že z tlačového servera môžu z tlačového servera nainštalovať ovládače tlačiarní iba správcovia pomocou funkcie Point a Print. Nastavenie hodnoty na hodnotu 0 umožňuje nie správcom inštalovať podpísané a nepriradené ovládače na tlačový server, no neprepíše nastavenie bodovej a tlačovej skupinovej politiky. Znamená to, že nastavenia skupinovej politiky Obmedzenia tlače a Point and Print môžu prepísať toto nastavenie kľúča databázy Registry, aby zabránili správcom nainštalovať podpísané a nepriradené ovládače tlače z tlačového servera. Niektorí správcovia môžu hodnotu 0 nastaviť tak, aby iné ako správcovia mohli po pridaní ďalších obmedzení inštalovať a aktualizovať ovládače vrátane pridania nastavenia politiky, ktoré obmedzuje inštaláciu ovládačov. Dôležité Neexistuje žiadna kombinácia obmedzení, ktoré by sa zhodli s nastavením RestrictDriverInstallationToAdministrators na možnosť 1. Poznámka Aktualizácie vydané 6. júla 2021 alebo novšej majú predvolenú hodnotu 0 (vypnuté) do inštalácie aktualizácií vydaných 10. augusta 2021 alebo novšej. Aktualizácie vydané 10. augusta 2021 alebo novšej majú predvolene hodnotu 1 (povolenú). |
Požiadavky na reštartovanie |
Pri vytváraní alebo úprave tejto hodnoty databázy Registry nie je potrebné žiadne reštartovanie. |
Poznámka Windows aktualizácie nastavia ani nezmenia kľúč databázy Registry. Kľúč databázy Registry môžete nastaviť pred alebo po inštalácii aktualizácií vydaných 10. augusta 2021 alebo novšej.
Automatizácia pridania hodnoty databázy Registry RestrictDriverInstallationToAdministrators
Ak chcete automatizovať pridanie hodnoty databázy Registry RestrictDriverInstallationToAdministrators, postupujte takto:
-
Otvorenie okna príkazového riadka (cmd.exe) s povoleniami bez oprávnení.
-
Zadajte nasledujúci príkaz a stlačte kláves Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Nastaviť RestrictDriverInstallationToAdministrators pomocou skupinovej politiky
Po inštalácii aktualizácií vydanej 12. októbra 2021 alebo novšej verzie môžete tiež nastaviť restrictDriverInstallationToAdministrators pomocou skupinovej politiky podľa týchto pokynov:
-
Otvorte nástroj editora skupinovej politiky a prejdite na položku Konfigurácia počítača> šablóny na > Tlačiarne.
-
Nastavte možnosť Obmedzuje inštaláciu ovládača tlače na možnosť Správcovia na možnosť Povolené. Týmto sa nastaví hodnota databázy Registry RestrictDriverInstallationToAdministrators na hodnotu 1.
Inštalácia ovládačov tlače pri vynútení nového predvoleného nastavenia
Ak nastavíte možnosť RestrictDriverInstallationToAdministrators ako definovanú alebo na možnosť 1, v závislosti od vášho prostredia musia používatelia na inštaláciu tlačiarní použiť jednu z nasledujúcich metód:
-
Po zobrazení výzvy na zadanie poverení pri pokuse o inštaláciu ovládača tlačiarne zadajte meno používateľa a heslo správcu.
-
Do obrázka operačného systému zahrňte potrebné ovládače tlačiarne.
-
Ak chcete nainštalovať ovládače tlačiarne, dočasne nastavte položku RestrictDriverInstallationToAdministrators na možnosť 0.
Poznámka Ak nie je možné nainštalovať ovládače tlačiarne, a to ani s oprávnením správcu, musíte vypnúť možnosť Použiť iba balík a tlač skupinovej politiky.
Odporúčané nastavenia a čiastočné obmedzenie rizík pre prostredia, ktoré nemôžu používať predvolené správanie
Nasledujúce obmedzenia môžu pomôcť zabezpečiť všetky prostredia, ale najmä v prípade, že je nutné nastaviť nastavenie RestrictDriverInstallationToAdministrators na 0. Tieto opatrenia na obmedzenie rizík sa nezaoadia úplne vzhľadom na chyby v CVE-2021-34481.
Dôležité Neexistuje žiadna kombinácia obmedzení, ktoré by sa zhodli s nastavením RestrictDriverInstallationToAdministrators na možnosť 1.
Overte, či je nastavenie RpcAuthnLevelPrivacyEnabled nastavené na 1 alebo nie je definované
Overte, či je nastavenie RpcAuthnLevelPrivacyEnabled nastavené na 1 alebo nie je definované podľa postupu popísaného v téme Spravovanie zmien v väzbu RPC tlačiarne pre CVE-2021-1678 (KB4599464).
Overenie, či sú pre možnosti Point a Print povolené výzvy zabezpečenia
Overte, či sú pre nastavenie Bod a tlač povolené výzvy zabezpečenia podľa popisu v článku KB5005010: Obmedzenie inštalácie nových ovládačov tlačiarne po použití aktualizácií zo 6. júla 2021.
Povolenie používateľom pripojiť sa len k konkrétnym tlačeným serverom, ktorých dôverujete
Táto politika Obmedzenia tlače –Point and Print sa vzťahuje na tlačiarne s bodom a tlačou, ktoré používajú na serveri ovládač, ktorý nie je nainštalovaný na základe balíka.
Postupujte takto:
-
Otvorte konzolu Group Policy Management Console (GPMC).
-
V strome konzoly GPMC prejdite na doménu alebo organizačnú jednotku (OU), kde sú uložené používateľské kontá, pre ktoré chcete upraviť nastavenia zabezpečenia ovládača tlačiarne.
-
Kliknite pravým tlačidlom myši na príslušnú doménu alebo OU a kliknite na položku Vytvoriť GPO v tejto doméne a prepojte ju tu.Zadajte názov nového objektu skupinovej politiky (GPO) a potom kliknite na tlačidlo OK.
-
Kliknite pravým tlačidlom myši na položku GPO, ktorú ste vytvorili, a potom kliknite na položku Upraviť.
-
V okne Editor správy skupinovej politiky kliknite na položku Konfigurácia počítača, kliknite na položku Politiky, kliknite na položku Šablóny na správu a potom na položku Tlačiarne.
-
Kliknite pravým tlačidlom myši na položku Obmedzenia tlače a potom kliknite na položku Upraviť.
-
V dialógovom okne Obmedzenia tlače a bodoch kliknite na položku Povolené.
-
Začiarknite políčko Používatelia môžu ukazovať a tlačiť na tieto servery len vtedy, ak ešte nie je začiarknuté.
-
Zadajte úplné názvy serverov. Jednotlivé mená oddeľte bodkočiarkou (;).
Poznámka Po inštalácii aktualizácií vydaných 21. septembra 2021 alebo novšej môžete túto skupinovú politiku nakonfigurovať pomocou bodky alebo bodky (.) oddelené IP adresy zameniteľne s úplne kvalifikovanými názvami hostiteľa.
-
V poli Pri inštalácii ovládačov pre nové pripojenie vyberte položky Zobraziť upozornenie a Výzva bez oprávnení.
-
V poli Pri aktualizácii ovládačov pre existujúce pripojenie vyberte položky Zobraziť upozornenie a Výzva bez oprávnení.
-
Kliknite na tlačidlo OK.
Povolenie používateľom pripojiť sa len ku konkrétnym serverom balíka a tlače, na ktorých dôverujete
Táto politika – Balíkový bod a Tlač – schválené servery obmedzí správanie klienta tak, aby bolo možné povoliť pripojenia Typu Point a Print len k definovaným serverom, ktoré používajú ovládače typu balík.
Postupujte takto:
-
V radiči domény vyberte tlačidlo Štart, vyberte položku Nástroje na správu a potom vyberte položku Správa skupinovej politiky. Prípadne vyberte položku Štart, vyberte položku Spustiť, zadajte príkaz GPMC.MSC a potom stlačte kláves Enter.
-
Rozbaľte doménový štruktúru a potom rozbaľte domény.
-
V časti domény vyberte OU, pre ktorú chcete vytvoriť túto politiku.
-
Kliknite pravým tlačidlom myši na OU, potom vyberte položku Create a GPO (Vytvoriť GPO) v tejto doméne a prepojte ju tu.
-
Pomenú položku GPO a potom vyberte tlačidlo OK.
-
Kliknite pravým tlačidlom myši na novovytvorený objekt skupinovej politiky a výberom položky Upraviť otvorte Editor správy skupinovej politiky.
-
V editore Group Policy Management Editor rozbaľte tieto priečinky:
-
Konfigurácia počítača
-
Politiky
-
Šablóny na správu
-
Lokálna počítačová police
-
Tlačiarne
-
-
Zapnite možnosť Package Point (Bod balíka) a Print - Approved servers (Tlačiť – schválené servery) a vyberte tlačidlo Show... (Zobraziť...).
-
Zadajte úplné názvy serverov. Jednotlivé mená oddeľte bodkočiarkou (;).
Poznámka Po inštalácii aktualizácií vydaných 21. septembra 2021 alebo novšej môžete túto skupinovú politiku nakonfigurovať pomocou bodky alebo bodky (.) oddelené IP adresy zameniteľne s úplne kvalifikovanými názvami hostiteľa.
Najčastejšie otázky
1. otázka: Pri každom pokuse o tlač sa zobrazí hlásenie Dôverujete tejto tlačiarni a na pokračovanie sa vyžadujú poverenia správcu. Je to očakávané?
A1:Výzva na každú tlačovú úlohu sa neočakáva. Väčšina prostredí alebo zariadení, v ktorých sa vyskytuje tento problém, sa vyrieši inštaláciou aktualizácií vydaných 12. októbra 2021 alebo novšej. Tieto aktualizácie sa týkajú problému, ktorý sa týka tlačových serverov a tlačených klientov, ktorí nie sú v rovnakom časovom pásme.
Ak sa tento problém vyskytuje aj po inštalácii aktualizácií vydaných 12. októbra 2021 alebo novšej verzie, možno bude potrebné obrátiť sa na výrobcu tlačiarne, aby ste mali aktualizované ovládače. Tento problém sa môže vyskytnúť aj vtedy, keď ovládač tlače v tlačenej klientskej verzii a tlačový server používajú rovnaký názov súboru, ale server obsahuje novšiu verziu súboru ovládača. Keď sa tlačový klient pripojí k tlačovému serveru, nájde novší súbor ovládača a zobrazí sa výzva na aktualizáciu ovládačov na tlačovom klientovi. Súbor v balíku, ktorý je k dispozícii pre inštaláciu, však nezahŕňa novšiu verziu súboru ovládača.
Porovnávané súbory sú ovládače v rámci priečinka zaraďovača, zvyčajne v priečinku C:\Windows\System32\spool\drivers\x64\3 na tlačového klienta aj na tlačového serveri. Balík ovládača ponúkaný pre inštaláciu sa zvyčajne nachádza na tlačového serveri C:\Windows\System32\spool\drivers\x64\PCC. Po porovnaní súborov v priečinku \3 medzi zariadeniami, ak sa nezhodujú, balík v PCC sa nainštaluje. Ak súbory v priečinku \3 tlačového servera nie sú z rovnakého ovládača tlačiarne, ktorý PONÚKA PCC klientovi, tlačový klient porovná súbory a pri každej tlači nájde nezhodu.
Ak chcete obmedziť tento problém, overte, či používate najnovšie ovládače pre všetky tlačové zariadenia. Tam, kde je to možné, použite rovnakú verziu ovládača tlače na tlačového klienta a tlačový server. Ak sa aktualizáciou ovládačov vo vašom prostredí problém nevyrieši, obráťte sa na oddelenie technickej podpory výrobcu tlačiarne (OEM).
2. otázka: Mám nainštalované aktualizácie vydané 14. septembra 2021 a niektoré zariadenia Windows tlačiarne nedajú tlačiť. Je potrebné nainštalovať aktualizácie do tlačových klientov a tlačových serverov?
A2: Pred inštaláciou aktualizácií vydaných 14. septembra 2021 alebo novšej na tlačových serveroch musia mať tlačoví klienti nainštalované aktualizácie vydané 12. januára 2021 alebo novšej verzie. Windows zariadenia sa nevytlačia, ak nemajú nainštalovanú aktualizáciu vydanú 12. januára 2021 alebo novšiu verziu.
Poznámka Nie je potrebné inštalovať staršie aktualizácie a po 12. januári 2021 si do tlačených klientov môžete nainštalovať ľubovoľnú aktualizáciu. Najnovšie kumulatívne aktualizácie sa odporúča nainštalovať do klientov aj serverov.