Sammanfattning

Windows uppdateringar som släpptes den 10 augusti 2021 och senare kräver som standard administrativ behörighet för att installera drivrutiner. Vi har gjort den här ändringen i standardbeteendet för att hantera risken i Windows enheter, inklusive enheter som inte använder punkt och funktioner för utskrift eller utskrift. Mer information finns i Ändra standardbeteenden för punkt och utskrift och CVE-2021-34481.  

Som standard kan användare som inte är administratörer inte längre göra följande med Punkt och Skriv ut utan höjd för administratörsbehörighet:

  • Installera nya skrivare med drivrutiner på en fjärrdator eller server

  • Uppdatera befintliga skrivardrivrutiner med hjälp av drivrutiner från fjärrdator eller server

Obs! Om du inte använder Punkt och Skriv ut bör du inte påverkas av den här ändringen och skyddas som standard när du har installerat uppdateringar som släpptes den 10 augusti 2021 eller senare.

Viktigt Utskrift av klienter i din miljö måste ha en uppdatering som släpps den 12 januari 2021 eller senare innan uppdateringar installeras, den 14 september 2021.  Mer information finns i Frågor och svar nedan.

Ändra standarddrivrutinsinstallationen med hjälp av en registernyckel

Du kan ändra den här standardbeteendet med registernyckeln i tabellen nedan. Men var mycket försiktig när du använder värdet noll (0) eftersom det gör enheter sårbara. Om du måste använda registervärdet 0 i din miljö rekommenderar vi att du använder det tillfälligt medan du justerar miljön så att Windows-enheter kan använda värdet på en (1).   

Registerplats

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord-namn

RestrictDriverInstallationToAdministrators

Värdedata

Standardbeteende: Om du anger det här värdet till 1 eller om nyckeln inte är definierad eller inte finns, krävs administratörsbehörighet för att installera valfri skrivardrivrutin när du använder Punkt och Skriv ut. Den här registernyckeln åsidosätter alla grupprincipinställningar för punkt- och utskriftsbegränsningar och ser till att endast administratörer kan installera skrivardrivrutiner från en utskriftsserver med hjälp av Punkt och Skriv ut.

Om du anger värdet 0 kan icke-administratörer installera signerade och osignerade drivrutiner till en utskriftsserver, men de åsidosätter inte inställningarna för Punkt och Skriv ut grupprincip. Grupprincipinställningarna punkt- och utskriftsbegränsningar kan därför åsidosätta den här registernyckelinställningen för att förhindra att icke-administratörer installerar signerade och osignerade skrivardrivrutiner från en utskriftsserver. Vissa administratörer kan ange värdet 0 så att icke-administratörer kan installera och uppdatera drivrutiner när de har lagt till ytterligare begränsningar, inklusive att lägga till en principinställning som begränsar var drivrutiner kan installeras från.

Viktigt Det finns ingen kombination av åtgärder som motsvarar att ange RestrictDriverInstallationToAdministrators till 1.

Obs! Uppdateringar som släpptes den 6 juli 2021 eller senare har som standard 0 (inaktiverade) tills installationen av uppdateringar som släpptes den 10 augusti 2021 eller senare.  Uppdateringar som släpptes den 10 augusti 2021 eller senare har standardvärdet 1 (aktiverat).

Krav för omstart

Ingen omstart krävs när du skapar eller ändrar det här registervärdet.

Obs! Windows uppdateringar anger eller ändrar inte registernyckeln. Du kan ange registernyckeln före eller efter installationen av uppdateringar som släpptes den 10 augusti 2021 eller senare.

Automatisera tillägget av RestrictDriverInstallationToAdministrators registervärde

Följ de här stegen för att automatisera tillägget av registervärdet RestrictDriverInstallationToAdministrators:

  1. Öppna kommandotolken (cmd.exe) med förhöjda behörigheter.

  2. Skriv in följande kommando och tryck sedan på Retur:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Ange RestrictDriverInstallationToAdministrators med grupprincip

När du har installerat uppdateringar som släppts den 12 oktober 2021 eller senare kan du också ställa in RestrictDriverInstallationToAdministrators med hjälp av en grupprincip med hjälp av följande instruktioner:

  1. Öppna grupprincipredigeringsverktyget och gå till Datorkonfiguration och > administrationsmallar> skrivare. 

  2. Ställ in inställningen Begränsar installation av skrivardrivrutin till Administratörer till "Aktiverad". Då anges registervärdet för RestrictDriverInstallationToAdministrators till 1.

Installera skrivardrivrutiner när den nya standardinställningen används

Om du anger RestrictDriverInstallationToAdministrators som inte definierat eller till 1, beroende på din miljö, måste användarna använda någon av följande metoder för att installera skrivare:

  • Ange ett administratörslösenord när du uppmanas att ange autentiseringsuppgifter när du försöker installera en skrivardrivrutin.

  • Inkludera nödvändiga skrivardrivrutiner i OS-bilden.

  • Konfigurera tillfälligt RestrictDriverInstallationToAdministrators till 0 för att installera skrivardrivrutiner.

Obs! Om du inte kan installera skrivardrivrutiner, även med administratörsbehörighet, måste du inaktivera grupprinciperna Använd endast paketpunkt och Skriv ut.

Rekommenderade inställningar och delvis minskningar av miljöer som inte kan använda standardbeteendet

Följande åtgärder kan skydda alla miljöer, men särskilt om du måste ange RestrictDriverInstallationToAdministrators till 0. Dessa åtgärder åtgärdar inte alla svagheter i CVE-2021-34481.

Viktigt Det finns ingen kombination av åtgärder som motsvarar att ange RestrictDriverInstallationToAdministrators till 1.

Kontrollera att RpcAuthnLevelPrivacyEnabled är inställt på 1 eller inte definierat

Kontrollera att RpcAuthnLevelPrivacyEnabled är inställt på 1 eller inte definierat enligt beskrivningen i Hantera distribution av RPC-bindningsändringar för CVE-2021-1678 (KB4599464).

Kontrollera att säkerhetsuppnstruktionerna är aktiverade för Punkt och Skriv ut

Kontrollera att säkerhetsinstruktioner är aktiverade för Punkt och Skriv ut enligt beskrivningen i KB5005010: Begränsa installationen av nya skrivardrivrutiner när du har installerat uppdateringarna från den 6 juli 2021. 

Tillåta användare att endast ansluta till specifika utskriftsservrar som du litar på

Den här principen, punkt- och utskriftsbegränsningar, gäller för punkt- och utskriftsskrivare med en drivrutin som inte är paketförserd på servern. 

Gör så här:

  1. Öppna konsolen för hantering av grupprincip (GPMC).

  2. I GPMC-konsolträdet går du till den domän eller organisationsenhet (OU) som lagrar de användarkonton som du vill ändra säkerhetsinställningarna för skrivardrivrutinen för.

  3. Högerklicka på lämplig domän eller OU, klicka på Skapa ett GPO i den här domänen och länka det hit.Skriv ett namn för det nya grupprincipobjektet (GPO) och klicka sedan på OK.

  4. Högerklicka på det GPO du har skapat och klicka sedan på Redigera.

  5. I fönstret Redigeraren för hantering av grupprinciper klickar du på Datorkonfiguration, på Principer, på Administrativa mallar och sedan på Skrivare.

  6. Högerklicka på Punkt och Utskriftsbegränsningar och klicka sedan på Redigera.

  7. I dialogrutan Punkt- och utskriftsbegränsningar klickar du på Aktiverad.

  8. Markera kryssrutan Användare kan endast peka och skriva ut på dessa servrar om den inte redan är markerad.

  9. Ange fullständigt kvalificerade servernamn. Avgränsa varje namn med semikolon (;).

    Obs! När du har installerat uppdateringar som släppts 21 september 2021 eller senare kan du konfigurera den här grupprincipen med en punkt (.) avgränsade IP-adresser är helt kvalificerade värdnamn.

  10. I rutan Vid installation av drivrutiner för en ny anslutning väljer du Visa varning och Upphöjd uppmaning.

  11. I rutan När du uppdaterar drivrutiner för en befintlig anslutning väljer du Visa varning och Upphöjd uppmaning.

  12. Klicka på OK.

Tillåta användare att endast ansluta till specifika paketpunkts- och utskriftsservrar som du litar på

Den här principen, Paketpunkt och Print – Godkända servrar, begränsar klientbeteendet så att bara punkt- och utskriftsanslutningar tillåts till definierade servrar som använder paketförmänderbara drivrutiner.

Gör så här:

  1. På domänkontrollanten väljer du Start, Administrationsverktyg och sedan Grupprinciphantering. Alternativt kan du välja Start, välja Kör, skriva GPMC.MSC och sedan trycka på Retur.

  2. Expandera skogen och expandera domänerna.

  3. Under din domän väljer du DEN OU där du vill skapa principen.

  4. Högerklicka på OU:n, välj Skapa ett GPO på den här domänen och länka det hit.

  5. Ge GPO:t ett namn och välj sedan OK.

  6. Högerklicka på det nya grupprincipobjektet och välj Redigera för att öppna redigeraren för grupprinciphantering.

  7. Expandera följande mappar i redigeraren för grupprinciphantering:

    1. Datorkonfiguration

    2. Principer

    3. Administrativa mallar

    4. Local Computer Polices

    5. Skrivare

  8. Aktivera paketpunkt och utskrift – godkända servrar och välj knappen Visa....

  9. Ange fullständigt kvalificerade servernamn. Avgränsa varje namn med semikolon (;).

    Obs! När du har installerat uppdateringar som släppts 21 september 2021 eller senare kan du konfigurera den här grupprincipen med en punkt (.) avgränsade IP-adresser är helt kvalificerade värdnamn.

Vanliga frågor och svar

F1: Varje gång jag försöker skriva ut får jag ett meddelande om att jag litar på skrivaren och att det krävs administratörsautentiseringsuppgifter för att fortsätta.  Är detta förväntat?

A1:Du förväntas inte tillfrågas för varje utskriftsjobb. De flesta miljöer eller enheter som upplever det här problemet kommer att lösas genom att installera uppdateringar som släpptes 12 oktober 2021 eller senare.  De här uppdateringarna adresserar ett problem som rör utskriftsservrar och utskriftsklienter som inte ligger i samma tidszon. 

Om du fortfarande har det här problemet efter installation av uppdateringar som släpptes den 12 oktober 2021 eller senare kan du behöva kontakta skrivartillverkaren för att få uppdaterade drivrutiner.  Det här problemet kan också uppstå när en utskriftsdrivrutin på utskriftsklienten och utskriftsservern använder samma filnamn, men servern har en nyare version av drivrutinsfilen. När utskriftsklienten ansluter till utskriftsservern hittar den en nyare drivrutinsfil och uppmanas att uppdatera drivrutinerna på utskriftsklienten. Men filen i paketet som erbjuds för installation innehåller inte den nyare versionen av drivrutinen för filen. 

Filerna som jämförs är drivrutinerna i mappen spool, vanligtvis i C:\Windows\System32\spool\drivers\x64\3 på både utskriftsklienten och utskriftsservern.  Det drivrutinspaket som erbjuds för installation finns vanligtvis i C:\Windows\System32\spool\drivers\x64\PCC på utskriftsservern.  När filerna i mappen \3 jämförs mellan enheter installeras paketet i PCC om de inte matchar.  Om filerna i utskriftsserverns \3-mapp inte kommer från samma skrivardrivrutin som PCC erbjuder till klienten jämför utskriftsklienten filerna och hittar eventuella felmatchade filer varje gång den skriver ut. 

För att minimera det här problemet kontrollerar du att du använder de senaste drivrutinerna för alla dina utskriftsenheter.  Använd om möjligt samma version av skrivardrivrutinen på utskriftsklienten och utskriftsservern. Om problemet inte löses genom att uppdatera drivrutiner i din miljö kontaktar du supporten för skrivartillverkaren (OEM).

F2: Jag installerade uppdateringarna från den 14 september 2021 och vissa Windows enheter kan inte skriva ut på nätverksskrivare.  Finns det någon order som jag behöver installera uppdateringar på utskriftsklienter och utskriftsservrar?

A2: Innan du installerar uppdateringar som släpptes den 14 september 2021 eller senare på utskriftsservrar måste utskriftsklienterna ha installerat uppdateringar som släpptes 12 januari 2021 eller senare. Windows enheter skrivs inte ut om de inte har installerat en uppdatering som släpptes den 12 januari 2021 eller senare. 

Obs! Du behöver inte installera tidigare uppdateringar och kan installera någon uppdatering efter den 12 januari 2021 på utskriftsklienter.  Vi rekommenderar att du installerar den senaste kumulativa uppdateringen på både klienter och servrar.

Resurser

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.