Povzetek
Windows posodobitve, izdane 10. avgusta 2021 in novejše, za namestitev gonilnikov privzeto zahtevajo skrbniške pravice. S to spremembo smo privzeto obravnavali tveganja v vseh Windows, vključno z napravami, ki ne uporabljajo funkcij Point in Print ali Print. Če želite več informacij, glejte Sprememba točkovnega in privzetega delovanja tiskanja in CVE-2021-34481.
Uporabniki, ki niso skrbniki, privzeto ne bodo mogli več početi tega z uporabo možnosti Point (Točka) in Print (Natisni) brez prisvojenega dovoljenja skrbnika:
-
Namestitev novih tiskalnikov z gonilniki v oddaljeni računalnik ali strežnik
-
Posodobitev obstoječih gonilnikov tiskalnika z gonilniki iz oddaljenega računalnika ali strežnika
Opomba Če ne uporabljate funkcij Point and Print, ta sprememba ne bo vplivala na vas in bo privzeto zaščitena po namestitvi posodobitev, ki so izdane 10. avgusta 2021 ali novejše.
Pomembno Odjemalci za tiskanje v vašem okolju morajo imeti pred namestitvijo posodobitev, izdano 12. januarja 2021 ali novejšo, izdana 14. septembra 2021. Več informacij najdete v 2 . četrtletju v nadaljevanju »Pogosta vprašanja«.
Spreminjanje privzetega delovanja namestitve gonilnika z registrskem ključem
To privzeto vedenje lahko spremenite z registrskem ključem v spodnji tabeli. Vendar pa bodite zelo previdni, ko uporabljate vrednost nič (0), ker so naprave s tem ranljive. Če morate v okolju uporabiti vrednost registra 0, priporočamo, da jo začasno uporabljate, medtem ko prilagajate okolje tako, da Windows naprave lahko uporabljajo vrednost ene (1).
Mesto registra |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Ime za DWord |
RestrictDriverInstallationToAdministrators |
Podatki o vrednosti |
Privzeto vedenje: Če to vrednost nastavite na 1 ali če ključ ni določen ali ni na voljo, boste morali zahtevati skrbniško dovoljenje, da namesti morebitne gonilnike tiskalnika, ko uporabljate možnosti Point (Točka) in Print (Natisni). Ta registrski ključ preglasi vse nastavitve pravilnika skupine Za točkovne omejitve in omejitve tiskanja in zagotavlja, da lahko le skrbniki namestijo gonilnike tiskalnika iz tiskalniskega strežnika s točkovno in natisom. Če vrednost nastavite na 0 , lahko ne skrbniki namestijo podpisanih in nepodpisanih gonilnikov v strežnik za tiskanje, ne preglasijo pa nastavitev pravilnika skupine za point in tiskanje. Zato lahko nastavitve pravilnika skupine za točke in omejitve tiskanja preglasijo to nastavitev registrskega ključa, da skrbnikom, ki niso skrbniki, prepreči namestitev podpisanih in nepodpisanih gonilnikov za tiskanje iz strežnika za tiskanje. Nekateri skrbniki bodo morda nastavili vrednost na 0, da bodo lahko skrbniki, ki niso skrbniki, namestili in posodobili gonilnike, ko bodo dodali dodatne omejitve, vključno z dodajanjem nastavitve pravilnika, ki omejuje namestitev gonilnikov. Pomembno Na voljo ni nobena kombinacija ublažitev posledic, ki je enaka nastavitvi RestrictDriverInstallationToAdministrators na 1. Opomba Posodobitve, izdane 6. julija 2021 ali novejše, imajo privzeto vrednost 0 (onemogočene), dokler ni nameščena posodobitev, ki so bile izdane 10. avgusta 2021 ali novejše. Posodobitve, izdane 10. avgusta 2021 ali novejše, imajo privzeto 1 (omogočeno). |
Zahteve za vnovični zagon |
Pri ustvarjanju ali spreminjanju te vrednosti registra vam ni treba znova zagnati računalnika. |
Opomba Windows ne boste nastavili ali spremenili registrskega ključa. Registrski ključ lahko nastavite pred namestitvijo posodobitev, ki so izdane 10. avgusta 2021 ali novejše.
Avtomatizacija dodajanja vrednosti registra RestrictDriverInstallationToAdministrators
Če želite avtomatizirati dodajanje vrednosti registra RestrictDriverInstallationToAdministrators, upoštevajte te korake:
-
Odprite okno ukaznega poziva (cmd.exe) z povečanimi dovoljenji.
-
Vnesite ta ukaz in pritisnite tipko Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Nastavitev programa RestrictDriverInstallationToAdministrators s pravilnikom skupine
Po namestitvi posodobitev, ki so bile izdane 12. oktobra 2021 ali novejše, lahko s pravilnikom skupine nastavite tudi RestrictDriverInstallationToAdministrators tako, da sledite tem navodilom:
-
Odprite orodje za urejanje pravilnika skupine in pojdite na Konfiguracija> Skrbniške predloge > tiskalnike.
-
Nastavite omejitve za namestitev gonilnika za tiskanje na »Omogočeno « na »Skrbniki«. Vrednost registra za RestrictDriverInstallationToAdministrators bo nastavljena na 1.
Namestitev gonilnikov tiskalnika, ko je uveljavljena nova privzeta nastavitev
Če nastavite RestrictDriverInstallationToAdministrators, kot ni definirano ali na 1, odvisno od okolja, morajo uporabniki uporabiti enega od teh načinov za namestitev tiskalnikov:
-
Ko ste pozvani k vnosu poverilnic, ko poskušate namestiti gonilnik tiskalnika, vnesite skrbniško uporabniško ime in geslo.
-
V sliko operacijskega sistema vključite potrebne gonilnike tiskalnika.
-
Za namestitev gonilnikov tiskalnika začasno nastavite RestrictDriverInstallationToAdministrators na 0.
Opomba Če ne morete namestiti gonilnikov tiskalnika, tudi s skrbniškimi pravicami, morate onemogočiti možnost Uporabi le paketno točko in pravilnik skupine za tiskanje.
Priporočene nastavitve in delne ublažitve posledic za okolja, ki ne morejo uporabiti privzetega delovanja
Te ublažitve lahko pomagajo pri zaščiti vseh okolij, še posebej, če morate nastaviti RestrictDriverInstallationToAdministrators na 0. Te ublažitve posledic ne obravnavajo v celoti ranljivosti CVE-2021-34481.
Pomembno Na voljo ni nobena kombinacija ublažitev posledic, ki je enaka nastavitvi RestrictDriverInstallationToAdministrators na 1.
Preverjanje, ali je RpcAuthnLevelPrivacyEnabled nastavljena na 1 ali ni določena
Preverite, ali je vrednost RpcAuthnLevelPrivacyEnabled nastavljena na 1 ali ni določena tako, kot je opisano v članku Upravljanje uvajanja vezave RPC-ja tiskalnika za CVE-2021-1678 (KB4599464).
Preverjanje, ali so za Point in Print omogočeni varnostni pozivi
Prepričajte se, da so varnostni pozivi omogočeni za točko in tiskanje, kot je opisano v KB5005010: Omejitev namestitve novih gonilnikov tiskalnika po uporabi posodobitev, ki so bile nameščene 6. julija 2021.
Dovoli uporabnikom, da se povežejo le z določenimi strežniki za tiskanje, ki jim zaupate
Ta pravilnik ( Omejitve za točke in tiskanje) velja za tiskalnike, ki kažejo in tiskajo z gonilnikom, ki ne vključuje paketa, v strežniku.
Uporabite te korake:
-
Odprite konzolo za upravljanje pravilnika skupin (GPMC).
-
V konzolnem drevesu GPMC pojdite na domeno ali organizacijsko enoto (OU), v kateri so shranjeni uporabniški računi, za katere želite spremeniti varnostne nastavitve gonilnika tiskalnika.
-
Z desno tipko miške kliknite ustrezno domeno ali predmet pravilnika skupine, nato pa kliknite Ustvari predmet pravilnika skupine v tej domeni in ga povežite tukaj.Vnesite ime za nov predmet pravilnika skupine in nato kliknite V redu.
-
Z desno tipko miške kliknite predmet pravilnika skupine, ki ste ga ustvarili, in nato kliknite Uredi.
-
V oknu urejevalnika za upravljanje pravilnika skupine kliknite Konfiguracijaračunalnika, pravilniki, skrbniške predloge in nato tiskalniki.
-
Z desno tipko miške kliknite Omejitve točke in tiskanja in nato kliknite Uredi.
-
V pogovornem oknu Omejitve točke in tiskanja kliknite Omogočeno.
-
Potrdite polje Uporabniki lahko le kažejo in tiskajo na te strežnike, če to polje še ni izbrano.
-
Vnesite popolnoma kvalificirana imena strežnikov. Imena ločite s podpičjem (;).
Opomba Po namestitvi posodobitev, ki so bile izdane 21. septembra 2021 ali novejše, lahko ta pravilnik skupine konfigurirate v obdobju ali s pikami (.) ločeno z naslovi IP izmenljivo s popolnoma kvalificiranimi imeni gostiteljev.
-
V polju Pri nameščanju gonilnikov za novo povezavo izberite Pokaži opozorilo in Poziv na skrbniški ravni.
-
V polju Pri posodabljanju gonilnikov za obstoječo povezavo izberite Pokaži opozorilo in Poziv na skrbniški ravni.
-
Kliknite V redu.
Dovoli uporabnikom, da se povežejo le z določenimi strežniki package point in Print, ki jim zaupate
S tem pravilnikom, Paketna točka in Natisni – odobreni strežniki, omejite delovanje odjemalca le tako, da dovolita točkovne in natisne povezave do določenih strežnikov, ki uporabljajo gonilnike, ki poznajo paket.
Uporabite te korake:
-
V krmilniku domene izberite Start, izberite Skrbniška orodja in nato upravljanje pravilnika skupine. Lahko pa izberete Začetek, izberete Zaženi, vnesete GPMC.MSC in pritisnete tipko Enter.
-
Razširite gozd in nato razširite domene.
-
Pod domeno izberite OU, kjer želite ustvariti ta pravilnik.
-
Z desno tipko miške kliknite OU, nato pa izberite Ustvari predmet pravilnika skupine v tej domeni in ga povežite tukaj.
-
Poimen vnesite ime predmeta pravilnika skupine in izberite V redu.
-
Z desno tipko miške kliknite novo ustvarjeni predmet pravilnika skupine in nato izberite Uredi , da odprete urejevalnik za upravljanje pravilnika skupine.
-
V urejevalniku za upravljanje pravilnika skupin razširite te mape:
-
Konfiguracija računalnika
-
Pravilniki
-
Skrbniške predloge
-
Local Computer Polices
-
Tiskalniki
-
-
Omogoči paketno točko in tiskanje – odobreni strežniki ter izberite gumb Pokaži ....
-
Vnesite popolnoma kvalificirana imena strežnikov. Imena ločite s podpičjem (;).
Opomba Po namestitvi posodobitev, ki so bile izdane 21. septembra 2021 ali novejše, lahko ta pravilnik skupine konfigurirate v obdobju ali s pikami (.) ločeno z naslovi IP izmenljivo s popolnoma kvalificiranimi imeni gostiteljev.
Pogosta vprašanja
V1: Vsakič, ko poskusim tiskati, se prikaže poziv »Ali zaupate temu tiskalniku« in za nadaljevanje zahteva skrbniške poverilnice. Ali je to pričakovano?
A1:Poziv za vsak tiskalni posel ni pričakovan. Večino okolij ali naprav, v katere pride do te težave, bo odpravljena z namestitvijo posodobitev, ki so bile izdane 12. oktobra 2021 ali novejše. Te posodobitve obravnavajo težavo, ki je povezana s strežniki za tiskanje in odjemalci za tiskanje, ki niso v istem časovnem pasu.
Če po namestitvi posodobitev, ki so bile izdane 12. oktobra 2021 ali novejše, še vedno niste imeli te težave, se boste morda morali za posodobljene gonilnike obrnite na proizvajalca tiskalnika. Do te težave lahko pride tudi, če gonilnik za tiskanje v odjemalcu za tiskanje in strežniku za tiskanje uporablja isto ime datoteke, vendar ima strežnik novejšo različico datoteke gonilnika. Ko odjemalec za tiskanje vzpostavi povezavo s strežnikom za tiskanje, najde novejšo datoteko gonilnika in je pozvan k posodobitvi gonilnikov v odjemalcu za tiskanje. Vendar datoteka v paketu, ki je na voljo za namestitev, ne vključuje novejše različice datoteke gonilnika.
Primerjane datoteke so gonilniki v mapi tiskanja v ozadju, običajno v mapi C:\Windows\System32\spool\drivers\x64\3 v odjemalcu za tiskanje in strežniku za tiskanje. Paket gonilnika, ki je na voljo za namestitev, je običajno v C:\Windows\System32\spool\drivers\x64\PCC v tiskalni strežniku. Ko so datoteke v mapi \3 med napravami primerjane, če se ne ujemajo, je nameščen paket v PCC . Če datoteke v mapi \3 strežnika za tiskanje niso iz istega gonilnika tiskalnika, ki ga PCC ponuja odjemalcu, odjemalec za tiskanje primerja datoteke in najde nesomerje vsakič, ko natisne datoteke.
Če želite ublažiti to težavo, preverite, ali uporabljate najnovejše gonilnike za vse svoje naprave za tiskanje. Kjer je mogoče, uporabite isto različico gonilnika tiskanja v odjemalcu za tiskanje in strežniku za tiskanje. Če s posodobitvijo gonilnikov v vašem okolju ne odpravite težave, se obrnite na podporo proizvajalca tiskalnika (OEM).
V2: Namestil sem posodobitve, izdane 14. septembra 2021, nekatere Windows pa ne morejo tiskati z omrežnimi tiskalniki. Ali je na voljo naročilo, ki ga moram namestiti v odjemalce za tiskanje in strežnike za tiskanje?
A2: Pred namestitvijo posodobitev, ki so bile izdane 14. septembra 2021 ali novejše različice v tiskalniskih strežnikih, morajo imeti odjemalci za tiskanje nameščene posodobitve, izdane 12. januarja 2021 ali novejše. Windows naprave ne bodo natisnjene, če niso namestile posodobitve, izdane 12. januarja 2021 ali novejše.
Opomba Ni vam treba namestiti starejših posodobitev in po 12. januarju 2021 ni mogoče namestiti posodobitev za odjemalce za tiskanje. Priporočamo, da namestite najnovejšo zbirno posodobitev tako v odjemalce kot v strežnike.