Rezime

Windows ispravke objavljene 10. avgusta 2021. i novije verzije će podrazumevano zahtevati administrativnu privilegiju za instaliranje upravljačkih programa. Ovu promenu smo napravili u podrazumevanom ponašanju kako bismo rešili rizik na svim Windows uređajima, uključujući uređaje koji ne koriste funkcije "Tačka" i "Štampanje" ili "Štampanje". Više informacija potražite u dokumentima Promena podrazumevanog ponašanja za poen i štampanje i CVE-2021-34481.  

Korisnici koji nisu administratori podrazumevano više neće moći da rade sledeće pomoću stavki "Point" i "Štampanje" bez privilegije za administratora:

  • Instaliranje novih štampača pomoću upravljačkih programa na udaljenom računaru ili serveru

  • Ažuriranje postojećih upravljačkih programa štampača pomoću upravljačkih programa sa udaljenog računara ili servera

Napomišite Ako ne koristite tačku i štampanje , ova promena ne bi trebalo da utiče na vas i on će podrazumevano biti zaštićen nakon instaliranja ispravki objavljenih 10. avgusta 2021. ili novije.

Važno Klijenti za štampanje u okruženju moraju da imaju ispravku objavljenu 12. januara 2021. ili noviju, pre nego što instalirate ispravke izdanje 14. septembra 2021.  Pogledajte Q2 u nastavku "Najčešća pitanja" da biste dobili više informacija.

Izmena podrazumevanog ponašanja instalacije upravljačkog programa pomoću ključa registratora

Možete da izmenite ovo podrazumevano ponašanje pomoću ključa registratora u tabeli ispod. Međutim, budite veoma pažljivi kad koristite vrednost nula (0) jer to čini uređaje ranjivim. Ako u okruženju morate da koristite vrednost registratora 0, preporučujemo da je privremeno koristite dok prilagođavate okruženje tako da Windows uređajima dozvolite da koriste vrednost jedan (1).   

Lokacija registratora

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord name

RestrictDriverInstallationToAdministrators

Podaci o vrednosti

Podrazumevano ponašanje: Ako postavka ove vrednosti na vrednost ima vrednost 1 ili ako ključ nije definisan ili ne postoji, zahtevaće privilegiju administratora da bi instalirao bilo koji upravljački program štampača kada koristite funkcije Point i Print. Ovaj ključ registratora će poništiti sve postavke smernica grupe za tačke i štampanje i obezbediće da samo administratori mogu da instaliraju upravljačke programe štampača sa servera za štampanje pomoću stavki Point i Print.

Postavljanje vrednosti na 0 omogućava ne administratorima da instaliraju potpisane i nepotpisane upravljačke programe na server za štampanje , ali ne zamenjuju postavke smernica za tačku i štampanje grupe. Zbog toga postavke smernica grupe za tačke i štampanje mogu da zamene ovu postavku ključa registratora kako bi se sprečilo da ne administratori instaliraju potpisane i nepotpisane upravljačke programe za štampanje sa servera za štampanje. Neki administratori mogu da podese vrednost na 0 kako bi korisnicima omogućili da instaliraju i ažuriraju upravljačke programe nakon dodavanja dodatnih ograničenja, uključujući dodavanje postavke smernice koja ograničava odakle upravljački programi mogu da se instaliraju.

Važno Ne postoji kombinacija mitigacija koja je ista kao podešavanje ograničenja RestrictDriverInstallationToAdministrators na 1.

Napomišite Ispravke objavljene 6. jula 2021. ili novije verzije imaju podrazumevanu vrednost 0 (onemogućene) sve dok se instalacija ispravki ne objavi 10. avgusta 2021. ili novija.  Ispravke objavljene 10. avgusta 2021. ili novije imaju podrazumevanu vrednost 1 (omogućeno).

Zahtevi za ponovno pokretanje

Prilikom kreiranja ili izmene ove vrednosti registratora nije potrebno ponovno pokretanje.

Napomišite Windows neće postaviti ili promeniti ključ registratora. Ključ registratora možete da podesite pre ili posle instaliranja ispravki objavljenih 10. avgusta 2021. ili novije.

Automatizovanje dodavanja RestrictDriverInstallationToAdministrators vrednosti registratora

Da biste automatizovali dodavanja vrednosti registratora RestrictDriverInstallationToAdministrators, pratite ove korake:

  1. Otvorite prozor komandne linije (cmd.exe) sa punim dozvolama.

  2. Otkucajte sledeću komandu, a zatim pritisnite taster Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Postavljanje RestrictDriverInstallationToAdministrators pomoću smernica grupe

Nakon instaliranja ispravki objavljenih 12. oktobra 2021. ili novije, možete da podesite i RestrictDriverInstallationToAdministrators pomoću smernica grupe pomoću sledećih uputstava:

  1. Otvorite alatku uređivača smernica grupe i idite na stavku Konfiguracija računara> Administrativni predlošci> štampačima. 

  2. Postavite instalaciju upravljačkog programa za ograničenja za štampanje na postavku Administratori na opciju "Omogućeno". Ovo će podesiti vrednost registratora RestrictDriverInstallationToAdministrators na 1.

Instaliranje upravljačkih programa za štampanje kada je primenjena nova podrazumevana postavka

Ako podesite RestrictDriverInstallationToAdministrators na 1, u zavisnosti od okruženja, korisnici moraju da koriste jedan od sledećih metoda da bi instalirali štampače:

  • Unesite korisničko ime i lozinku administratora kada se zatražiju akreditivi kada pokušate da instalirate upravljački program štampača.

  • Uključite neophodne upravljačke programe štampača na sliku OS.

  • Privremeno podesite RestrictDriverInstallationToAdministrators na 0 da biste instalirali upravljačke programe štampača.

Napomišite Ako ne možete da instalirate upravljačke programe štampača, čak i uz privilegiju administratora, morate onemogućiti samo tačku paketa i smernice grupe za štampanje.

Preporučene postavke i delimične migracije za okruženja koja ne mogu da koriste podrazumevano ponašanje

Sledeće migracije mogu da vam pomognu da obezbedite sva okruženja, ali posebno ako morate da podesite RestrictDriverInstallationToAdministrators na 0. Ove migracije ne reaguju u potpunosti na ranjivosti u progamu CVE-2021-34481.

Važno Ne postoji kombinacija mitigacija koja je ista kao podešavanje ograničenja RestrictDriverInstallationToAdministrators na 1.

Uverite se da je RpcAuthnLevelPrivacyEnabled postavljen na 1 ili nije definisano

Uverite se da je RpcAuthnLevelPrivacyEnabled postavljen na 1 ili ne definisano kao što je opisano u članku Upravljanje primenom primene štampača RPC povezivanja za CVE-2021-1678 (KB4599464).

Provera da li su bezbednosni odzivi omogućeni za poentu i štampanje

Proverite da li su bezbednosni odzivi omogućeni za tačke i štampanje kao što je opisano u članku KB5005010: Ograničavanje instalacije novih upravljačkih programa štampača nakon primene ispravki od 6. jula 2021. 

Dozvolite korisnicima da se povežu samo sa određenim serverima štampanja kojima verujete

Ove smernice, ograničenja za tačke i štampanje, odnose se na štampače koji ne koriste paket ili štampače koji ne podržavaju pakovanje. 

Koristite sledeće korake:

  1. Otvorite konzolu za upravljanje smernicama grupe (GPMC).

  2. U stablu GPMC konzole idite na domen ili organizacionu jedinicu (OU) koja skladišti korisničke naloge za koje želite da izmenite bezbednosne postavke upravljačkog programa štampača.

  3. Kliknite desnim tasterom miša na odgovarajući domen ili OU, izaberite stavku Kreiraj GPO u ovom domenu i povežite ga ovde.Otkucajte ime za novi objekat smernica grupe (GPO), a zatim kliknite na dugme U redu.

  4. Kliknite desnim tasterom miša na GPO koji ste kreirali, a zatim izaberite stavku Uredi.

  5. U prozoru Uređivač upravljanje smernicama grupe izaberite stavku Konfiguracija računara, izaberite stavku Smernice, stavku Administrativni predlošci , a zatim stavku Štampači.

  6. Kliknite desnim tasterom miša na stavku Ograničenja za tačke i štampanje, a zatim izaberite stavku Uredi.

  7. U dijalogu Ograničenja za tačke i štampanje izaberite stavku Omogućeno.

  8. Potvrdite izbor u polju za potvrdu Korisnici mogu samo da upućuju i štampaju na ovim serverima ako već nije izabrano.

  9. Unesite potpuno kvalifikovana imena servera. Svako ime razdvojite pomoću ;).

    Napomišite Nakon instaliranja ispravki objavljenih 21. septembra 2021. ili novije verzije, ove smernice grupe možete da konfigurišete tačkom ili tačkom (.) Razgraničene IP adrese naizmenvno sa potpuno kvalifikovanim imenima hostova.

  10. U polju Prilikom instaliranja upravljačkih programa za novu vezu izaberite stavku Prikaži upozorenje i Odziv sa punim punim brojem.

  11. U polju Prilikom ažuriranja upravljačkih programa za postojeću vezu izaberite stavku Prikaži upozorenje i Odziv sa punim punim brojem.

  12. Kliknite na dugme U redu.

Dozvolite korisnicima da se povežu samo sa određenom tačkom paketa i serverima u koje imate poverenja

Ove smernice, Tačka paketa i Štampanje – odobreni serveri, ograničava ponašanje klijenta tako da dozvoljavaju samo veze tačke i štampanja sa definisanim serverima koji koriste upravljačke programe za prihvatanje paketa.

Koristite sledeće korake:

  1. Na kontroleru domena kliknite na dugme Start, izaberite stavku Administrativne alatke, a zatim izaberite stavku Upravljanje smernicama grupe. Druga mogućnost je da izaberete dugme Start, izaberete stavku Pokreni, otkucate GPMC.MSC, a zatim pritisnite taster Enter.

  2. Proširite šumu, a zatim razvijte domene.

  3. U okviru svog domena izaberite OU u kojem želite da kreirate ove smernice.

  4. Kliknite desnim tasterom miša na OU, a zatim izaberite kreiraj GPO u ovom domenu i povežite ga ovde.

  5. Dajte GPO imenu, a zatim kliknite na dugme U redu.

  6. Kliknite desnim tasterom miša na novi napravljeni objekat smernica grupe, a zatim izaberite stavku Uredi da biste otvorili Uređivač upravljanja smernicama grupe.

  7. U Uređivaču za upravljanje smernicama grupe razvijte sledeće fascikle:

    1. Konfiguracija računara

    2. Smernice

    3. Administrativni predlošci

    4. Local Computer Polices

    5. Štampači

  8. Omogući tačku paketa i Odštampaj – odobreni serveri i kliknite na dugme Prikaži....

  9. Unesite potpuno kvalifikovana imena servera. Svako ime razdvojite pomoću ;).

    Napomišite Nakon instaliranja ispravki objavljenih 21. septembra 2021. ili novije verzije, ove smernice grupe možete da konfigurišete tačkom ili tačkom (.) Razgraničene IP adrese naizmenvno sa potpuno kvalifikovanim imenima hostova.

Najčešća pitanja

P1: Svaki put kada pokušam da odštampam, dobijam obaveštenje "Da li verujete ovom štampaču" i on zahteva da se akreditivi administratora nastave.  Da li je ovo očekivano?

A1:Odziv za svaki zadatak štampanja se ne očekuje. Većina okruženja ili uređaja koji nailaze na ovaj problem biće rešeni instalacijom ispravki objavljenih 12. oktobra 2021. ili novijim verzijama.  Ove ispravke rešavaju problem u vezi sa serverima za štampanje i klijentima za štampanje koji nisu u istoj vremenskoj zoni. 

Ako i dalje imate ovaj problem nakon instaliranja ispravki objavljenih 12. oktobra 2021. ili kasnije, možda ćete morati da se obratite proizvođaču štampača da biste imali ažurirane upravljačke programe.  Do ovog problema takođe može doći kada upravljački program za štampanje na klijentu za štampanje i serveru za štampanje koriste isto ime datoteke, ali server ima noviju verziju datoteke upravljačkog programa. Kada se klijent za štampanje poveže sa serverom za štampanje, pronalazi noviju datoteku upravljačkog programa i traži se da ažurira upravljačke programe na klijentu za štampanje. Međutim, datoteka u paketu koju je ponuđena za instalaciju ne uključuje noviju verziju datoteke upravljačkog programa. 

Datoteke koje se porede su upravljački programi u fascikli "spool", obično na putanjama C:\Windows\System32\spool\drivers\x64\3 na klijentu za štampanje i na serveru za štampanje.  Paket upravljačkog programa koji se nudi za instalaciju obično će biti na putanjoj C:\Windows\System32\spool\drivers\x64\PCC na serveru za štampanje.  Kada se datoteke u fascikli \3 porede sa uređajima, ako se ne podudaraju, paket u PCC-u se instalira.  Ako datoteke u fascikli \3 servera za štampanje nisu iz istog upravljačkog programa štampača koji PCC nudi klijentu, klijent za štampanje poredi datoteke i pronalazi nedugao pri svakom štampanju. 

Da biste ublažili ovaj problem, proverite da li koristite najnovije upravljačke programe za sve uređaje za štampanje.  Tamo gde je to moguće, koristite istu verziju upravljačkog programa za štampanje na klijentu za štampanje i serveru za štampanje. Ako ažuriranje upravljačkih programa u okruženju ne reši problem, obratite se podršci proizvođača štampača (OEM).

P2: Instalirao sam ispravke objavljene 14. septembra 2021. a neke Windows uređaji ne mogu da se odštampaju na mrežnim štampačima.  Da li postoji porudžbina za instaliranje ispravki na klijentima za štampanje i serverima za štampanje?

A2: Pre nego što instalirate ispravke objavljene 14. septembra 2021. ili novije verzije na serverima za štampanje, klijenti za štampanje moraju da imaju instalirane ispravke objavljene 12. januara 2021. ili novije. Windows uređaji se neće odštampati ako nisu instalirali ispravku objavljenu 12. januara 2021. ili novije. 

Napomišite Ne morate da instalirate starije ispravke i možete da instalirate bilo koju ispravku posle 12. januara 2021. na klijentima za štampanje.  Preporučujemo da instalirate najnoviju kumulativnu ispravku na klijentima i serverima.

Resursi

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.