บทสรุป

Windowsวันที่ 10 สิงหาคม 2021 และใหม่กว่าจะเผยแพร่ตามค่าเริ่มต้น ต้องการสิทธิ์ระดับผู้ดูแลระบบในการติดตั้งโปรแกรมควบคุม เราเปลี่ยนแปลงพฤติกรรมเริ่มต้นนี้เพื่อควบคุมความเสี่ยงในอุปกรณ์ Windows ทั้งหมด รวมถึงอุปกรณ์ที่ไม่ได้ใช้ฟังก์ชันการพิมพ์หรือจุด For more information, see Point and Print Default Behavior Change and CVE-2021-34481.  

ตามค่าเริ่มต้น ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบจะไม่สามารถดังต่อไปนี้โดยใช้คะแนนและพิมพ์โดยไม่มีระดับสิทธิ์ระดับผู้ดูแลระบบ:

  • ติดตั้งเครื่องพิมพ์ใหม่โดยใช้โปรแกรมควบคุมบนคอมพิวเตอร์ระยะไกลหรือเซิร์ฟเวอร์

  • อัปเดตโปรแกรมควบคุมเครื่องพิมพ์ที่มีอยู่โดยใช้โปรแกรมควบคุมจากคอมพิวเตอร์ระยะไกลหรือเซิร์ฟเวอร์

หมายเหตุ ถ้าคุณไม่ได้ใช้ จุด และ พิมพ์ คุณไม่ควรได้รับผลกระทบจากการเปลี่ยนแปลงนี้ และจะได้รับการป้องกันตามค่าเริ่มต้นหลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่า

สําคัญ การพิมพ์ไคลเอ็นต์ในสภาพแวดล้อมของคุณต้องมีการอัปเดตวันที่ 12 มกราคม 2021 หรือใหม่กว่าก่อนที่จะติดตั้งการอัปเดตในวันที่ 14 กันยายน 2021  โปรดดู Q2 ใน "Frequently asked questions" ด้านล่างเพื่อดูข้อมูลเพิ่มเติม

ปรับเปลี่ยนลักษณะการติดตั้งโปรแกรมควบคุมเริ่มต้นโดยใช้รีจิสทรีคีย์

คุณสามารถปรับเปลี่ยนลักษณะการส่วนตัวใช้งานเริ่มต้นนี้ได้โดยใช้คีย์รีจิสทรีในตารางด้านล่าง อย่างไรก็ตาม โปรดใช้ความระมัดระวังอย่างมากเมื่อใช้ค่าศูนย์ (0) เนื่องจากการดังกล่าวจะมีความเสี่ยงต่ออุปกรณ์ ถ้าคุณต้องใช้ค่ารีจิสทรีของ 0 ในสภาพแวดล้อมของคุณ เราขอแนะนนะให้ใช้ค่านี้ชั่วคราวในขณะที่คุณปรับสภาพแวดล้อมในการอนุญาตให้อุปกรณ์ Windows ใช้ค่าหนึ่ง (1)   

รีจิสทรีที่ตั้ง

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

ชื่อ DWord

RestrictDriverInstallationToAdministrators

ข้อมูลค่า

ลักษณะการงานเริ่มต้น: การตั้งค่านี้เป็น 1 หรือ ถ้าไม่ได้กําหนดคีย์หรือไม่แสดงอยู่ จะต้องมีสิทธิ์ระดับผู้ดูแลระบบในการติดตั้งโปรแกรมควบคุมเครื่องพิมพ์เมื่อใช้ Point และ Print รีจิสทรีคีย์ นี้จะแทนที่การตั้งค่า นโยบายกลุ่มข้อจํากัดจุดและการพิมพ์ทั้งหมด และตรวจสอบให้แน่ใจว่าเฉพาะผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์จากเซิร์ฟเวอร์การพิมพ์โดยใช้จุดและพิมพ์

การตั้งค่าเป็น 0 อนุญาตให้ผู้ดูแลระบบที่ไม่ใช่ผู้ดูแลระบบติดตั้งโปรแกรมควบคุมที่มีลายเซ็นและไม่ได้เซ็นชื่อไปยังเซิร์ฟเวอร์การพิมพ์ แต่ จะไม่แทนที่ การตั้งค่าพอยต์และพิมพ์นโยบายกลุ่ม ดังนั้น การตั้งค่านโยบายกลุ่มข้อจํากัดการชี้และการพิมพ์สามารถแทนที่การตั้งค่ารีจิสทรีคีย์นี้เพื่อป้องกันไม่ให้ผู้ดูแลระบบไม่ติดตั้งโปรแกรมควบคุมการพิมพ์ที่มีลายเซ็นและไม่ได้เซ็นชื่อจากเซิร์ฟเวอร์การพิมพ์ ผู้ดูแลระบบบางคนอาจตั้งค่าเป็น 0 เพื่อให้ผู้ดูแลระบบที่ไม่ใช่ผู้ดูแลระบบติดตั้งและอัปเดตโปรแกรมควบคุมหลังจากเพิ่มข้อจํากัดเพิ่มเติม รวมถึงการเพิ่มการตั้งค่านโยบายที่จํากัดที่โปรแกรมควบคุมสามารถติดตั้งได้

สําคัญ ไม่มีการรวมการลดความเสี่ยงที่เทียบเท่ากับการตั้งค่า RestrictDriverInstallationToAdministrators เป็น 1

หมายเหตุ การอัปเดตที่เผยแพร่เมื่อวันที่ 6 กรกฎาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 0 (ปิดใช้งาน) จนกว่าการติดตั้งการอัปเดตจะเผยแพร่ในวันที่ 10 สิงหาคม 2021 หรือใหม่กว่า  การอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 1 (เปิดใช้งาน)

ความต้องการในการรีสตาร์ต

ไม่ต้องมีการรีสตาร์ตเมื่อสร้างหรือปรับเปลี่ยนค่ารีจิสทรีนี้

หมายเหตุ Windowsเหล่านี้จะไม่ตั้งค่าหรือเปลี่ยนรีจิสทรีคีย์ คุณสามารถตั้งค่ารีจิสทรีคีย์ก่อนหรือหลังการติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่าได้

เพิ่มค่ารีจิสทรี RestrictDriverInstallationToAdministrators โดยอัตโนมัติ

เมื่อต้องการเพิ่มค่ารีจิสทรี RestrictDriverInstallationToAdministrators โดยอัตโนมัติ ให้ปฏิบัติตามขั้นตอนเหล่านี้:

  1. เปิดหน้าต่าง พร้อมท์สั่ง (cmd.exe) ด้วยสิทธิ์ผู้ดูแล

  2. พิมพ์ข้อความต่อไปนี้แล้วกด Enter:

    reg เพิ่ม "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

ตั้งค่า RestrictDriverInstallationToAdministrators โดยใช้นโยบายกลุ่ม

หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 ตุลาคม 2021 หรือใหม่กว่า คุณยังสามารถตั้งค่า RestrictDriverInstallationToAdministrators โดยใช้นโยบายกลุ่มโดยใช้คําแนะนําต่อไปนี้:

  1. เปิดเครื่องมือตัวแก้ไขนโยบายกลุ่ม และไปที่ การกําหนดค่าคอมพิวเตอร์> การดูแลระบบของ> เครื่องพิมพ์ 

  2. ตั้งค่า จํากัดการติดตั้งโปรแกรมควบคุมการพิมพ์เป็นผู้ดูแลระบบ เป็น "เปิดใช้งาน" ซึ่งจะตั้งค่ารีจิสทรีของ RestrictDriverInstallationToAdministrators เป็น 1

ติดตั้งโปรแกรมควบคุมการพิมพ์เมื่อมีการบังคับใช้การตั้งค่าเริ่มต้นใหม่

ถ้าคุณตั้งค่า RestrictDriverInstallationToAdministrators เป็นไม่ได้กําหนดหรือเป็น 1 ขึ้นอยู่กับสภาพแวดล้อมของคุณ ผู้ใช้ต้องใช้หนึ่งในวิธีต่อไปนี้เพื่อติดตั้งเครื่องพิมพ์:

  • ใส่ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบเมื่อได้รับพร้อมท์ให้ป้อนข้อมูลรับรองเมื่อพยายามติดตั้งโปรแกรมควบคุมเครื่องพิมพ์

  • ใส่โปรแกรมควบคุมเครื่องพิมพ์ที่จําเป็นในรูป OS

  • ตั้งค่า RestrictDriverInstallationToAdministrators เป็น 0 ชั่วคราวเพื่อติดตั้งโปรแกรมควบคุมเครื่องพิมพ์

หมายเหตุ ถ้าคุณไม่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ แม้ด้วยสิทธิ์ระดับผู้ดูแลระบบ คุณต้องปิดใช้งาน เพียงใช้จุดแพคเกจ และ พิมพ์ นโยบายกลุ่ม

การตั้งค่าที่แนะนาและการบรรเทาปัญหาบางส่วนในสภาพแวดล้อมที่ไม่สามารถใช้ลักษณะการรักษาความปลอดภัยเริ่มต้นได้

การบรรเทาปัญหาต่อไปนี้สามารถช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมทั้งหมด แต่โดยเฉพาะอย่างยิ่งถ้าคุณต้องตั้งค่า RestrictDriverInstallationToAdministrators เป็น 0 การบรรเทาปัญหาเหล่านี้ไม่ได้ระบุช่องโหว่ใน CVE-2021-34481 อย่างสมบูรณ์

สําคัญ ไม่มีการรวมการลดความเสี่ยงที่เทียบเท่ากับการตั้งค่า RestrictDriverInstallationToAdministrators เป็น 1

ตรวจสอบว่า RpcAuthnLevelPrivacyEnabled ถูกตั้งค่าเป็น 1 หรือไม่ได้กําหนด

ตรวจสอบว่า RpcAuthnLevelPrivacyEnabled ถูกตั้งค่าเป็น 1 หรือไม่ถูกกําหนดตามที่อธิบายไว้ใน การจัดการการปรับใช้ของการเปลี่ยนแปลงการผูกข้อมูล RPC ของเครื่องพิมพ์ของ CVE-2021-1678 (KB4599464)

ตรวจสอบว่ามีการเปิดใช้งานพร้อมท์ความปลอดภัยในจุดและพิมพ์

ตรวจสอบว่าพร้อมท์ด้านความปลอดภัยเปิดใช้งานจุดและพิมพ์ตามที่อธิบายไว้ใน KB5005010: จํากัดการติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ใหม่หลังจากใช้การอัปเดตวันที่ 6 กรกฎาคม 2021 

อนุญาตให้ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์การพิมพ์ที่คุณเชื่อถือเท่านั้น

นโยบาย ข้อจํากัดเกี่ยวกับจุดและการพิมพ์นี้ ใช้กับเครื่องพิมพ์จุดและพิมพ์โดยใช้โปรแกรมควบคุมที่ไม่ทราบแพคเกจบนเซิร์ฟเวอร์ 

ใช้ขั้นตอนต่อไปนี้

  1. เปิดคอนโซลการจัดการนโยบายกลุ่ม (GPMC)

  2. ในทรีคอนโซล GPMC ให้ไปที่โดเมนหรือหน่วยองค์กร (OU) ที่จัดเก็บบัญชีผู้ใช้ที่คุณต้องการปรับเปลี่ยนการตั้งค่าความปลอดภัยของโปรแกรมควบคุมเครื่องพิมพ์

  3. คลิกขวาที่โดเมนที่เหมาะสมหรือ OU แล้วคลิก สร้าง GPO ในโดเมนนี้ แล้ว ลิงก์ไว้ที่นี่พิมพ์ชื่อของ Group Policy Object (GPO) ใหม่ แล้วคลิก ตกลง

  4. คลิกขวาที่ GPO ที่คุณสร้าง แล้วคลิก แก้ไข

  5. ในหน้าต่าง ตัวแก้ไขการจัดการนโยบายกลุ่ม ให้คลิก การกําหนดค่าคอมพิวเตอร์ คลิก นโยบาย คลิก เทมเพลตการดูแลระบบ แล้วคลิก เครื่องพิมพ์

  6. คลิกขวาที่ จุด และ ข้อจํากัดการพิมพ์ แล้วคลิก แก้ไข

  7. ในกล่องโต้ตอบ ข้อจํากัดจุดและการพิมพ์ ให้คลิก เปิดใช้งาน

  8. เลือกกล่องกา เครื่องหมาย ผู้ใช้สามารถชี้และพิมพ์ไปยังเซิร์ฟเวอร์ เหล่านี้เท่านั้น ถ้ายังไม่ได้เลือกไว้

  9. ใส่ชื่อเซิร์ฟเวอร์แบบเต็ม แยกแต่ละชื่อโดยใช้เครื่องหมายอัฒภาค (;))

    หมายเหตุ หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 21 กันยายน 2021 หรือใหม่กว่า คุณสามารถกําหนดค่านโยบายกลุ่มนี้ที่มีจุดหรือจุด (.) ใช้ตัวคั่นที่อยู่ IP แทนกันได้ กับชื่อโฮสต์ที่มีคุณสมบัติครบถ้วน

  10. ในกล่อง เมื่อติดตั้งโปรแกรมควบคุมให้การเชื่อมต่อใหม่ ให้เลือก แสดงคําเตือน และ พร้อมท์ที่ยกระดับ

  11. ในกล่อง เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่ ให้เลือก แสดงคําเตือน และ พร้อมท์ที่ยกระดับ

  12. คลิก ตกลง

อนุญาตให้ผู้ใช้เชื่อมต่อกับจุดแพคเกจและเซิร์ฟเวอร์การพิมพ์ที่คุณเชื่อถือเท่านั้น

นโยบาย จุดแพคเกจ และพิมพ์ - เซิร์ฟเวอร์ที่ได้รับอนุมัตินี้จะจํากัดลักษณะการการเกิดขึ้นของไคลเอ็นต์ให้อนุญาตการเชื่อมต่อจุดและการพิมพ์ไปยังเซิร์ฟเวอร์ที่กําหนดที่ใช้โปรแกรมควบคุมที่ทราบแพคเกจเท่านั้น

ใช้ขั้นตอนต่อไปนี้

  1. บนตัวควบคุมโดเมน ให้เลือก เริ่ม เลือก เครื่องมือการดูแลระบบ แล้วเลือก การจัดการนโยบายกลุ่ม อีกวิธีหนึ่งคือ เลือก เริ่ม เลือก เรียกใช้ พิมพ์ GPMC.MSC แล้วกด Enter

  2. ขยายฟอเรสต์ แล้วขยายโดเมน

  3. ภายใต้โดเมนของคุณ ให้เลือก OU ที่คุณต้องการสร้างนโยบายนี้

  4. คลิกขวาที่ OU แล้วเลือก สร้าง GPO ในโดเมนนี้ แล้วลิงก์ที่นี่

  5. ตั้งชื่อ GPO แล้วเลือก ตกลง

  6. คลิกขวาที่ Group Policy Object ที่สร้างขึ้นใหม่ แล้วเลือก แก้ไข เพื่อเปิด ตัวแก้ไขการจัดการนโยบายกลุ่ม

  7. ในตัวแก้ไขการจัดการนโยบายกลุ่ม ให้ขยายโฟลเดอร์ต่อไปนี้:

    1. การกําหนดค่าคอมพิวเตอร์

    2. นโยบาย

    3. เทมเพลตการดูแลระบบ

    4. นโยบายคอมพิวเตอร์ท้องถิ่น

    5. เครื่องพิมพ์

  8. เปิดใช้งาน จุดแพคเกจและพิมพ์ - เซิร์ฟเวอร์ ที่ได้รับอนุมัติ แล้วเลือกปุ่ม แสดง...

  9. ใส่ชื่อเซิร์ฟเวอร์แบบเต็ม แยกแต่ละชื่อโดยใช้เครื่องหมายอัฒภาค (;))

    หมายเหตุ หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 21 กันยายน 2021 หรือใหม่กว่า คุณสามารถกําหนดค่านโยบายกลุ่มนี้ที่มีจุดหรือจุด (.) ใช้ตัวคั่นที่อยู่ IP แทนกันได้ กับชื่อโฮสต์ที่มีคุณสมบัติครบถ้วน

คำถามที่ถามบ่อย

Q1: ทุกครั้งที่ฉันพยายามที่จะพิมพ์ ฉันได้รับพร้อมท์ที่บอกว่า "คุณเชื่อถือเครื่องพิมพ์นี้หรือไม่" และต้องมีข้อมูลรับรองของผู้ดูแลระบบเพื่อใช้งานต่อ  คาดว่าจะมีอะไรบ้าง

A1:การได้รับพร้อมท์ให้พิมพ์งานพิมพ์ทุกครั้งไม่ที่คาดไว้ สภาพแวดล้อมหรืออุปกรณ์ส่วนใหญ่ที่พบปัญหานี้จะได้รับการแก้ไขโดยการติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 ตุลาคม 2021 หรือใหม่กว่า  การอัปเดตเหล่านี้แก้ไขปัญหาที่เกี่ยวข้องกับเซิร์ฟเวอร์การพิมพ์และไคลเอ็นต์การพิมพ์ไม่อยู่ในโซนเวลาเดียวกัน 

ถ้าคุณยังคงพบปัญหานี้หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 ตุลาคม 2021 หรือใหม่กว่า คุณอาจต้องติดต่อผู้ผลิตเครื่องพิมพ์ของคุณเพื่อให้โปรแกรมควบคุมที่อัปเดตแล้ว  ปัญหานี้อาจเกิดขึ้นเมื่อโปรแกรมควบคุมการพิมพ์บนไคลเอ็นต์การพิมพ์และเซิร์ฟเวอร์การพิมพ์ใช้ชื่อไฟล์เดียวกัน แต่เซิร์ฟเวอร์มีไฟล์โปรแกรมควบคุมเวอร์ชันที่ใหม่กว่า เมื่อไคลเอ็นต์การพิมพ์เชื่อมต่อกับเซิร์ฟเวอร์การพิมพ์ พบไฟล์โปรแกรมควบคุมที่ใหม่กว่า และจะได้รับพร้อมท์ให้อัปเดตโปรแกรมควบคุมบนไคลเอ็นต์การพิมพ์ อย่างไรก็ตาม ไฟล์ในแพคเกจจะเสนอให้ติดตั้งไม่มีเวอร์ชันไฟล์โปรแกรมควบคุมที่ใหม่กว่า 

ไฟล์ที่ถูกเปรียบเทียบคือโปรแกรมควบคุมภายในโฟลเดอร์คิว โดยปกติใน C:\Windows\System32\spool\drivers\x64\3 ทั้งบนเซิร์ฟเวอร์การพิมพ์และเซิร์ฟเวอร์การพิมพ์  แพคเกจโปรแกรมควบคุมที่มีให้ติดตั้งมักจะอยู่ใน C:\Windows\System32\spool\drivers\x64\PCC บนเซิร์ฟเวอร์การพิมพ์  หลังจากไฟล์ในโฟลเดอร์ \3 จะถูกเปรียบเทียบระหว่างอุปกรณ์ ถ้าไม่ตรงกัน จะติดตั้งแพคเกจใน PCC  ถ้าไฟล์ในโฟลเดอร์ \3 ของเซิร์ฟเวอร์การพิมพ์ไม่ใช่จากโปรแกรมควบคุมเครื่องพิมพ์เดียวกันกับที่ พีซีC มีให้ไคลเอ็นต์ ไคลเอ็นต์การพิมพ์จะเปรียบเทียบไฟล์และค้นหาไฟล์ที่ไม่ตรงกันทุกครั้งที่พิมพ์ 

เมื่อต้องการลดปัญหานี้ ให้ตรวจสอบว่าคุณใช้โปรแกรมควบคุมล่าสุดกับอุปกรณ์พิมพ์ทั้งหมดของคุณ  ถ้าเป็นไปได้ ให้ใช้เวอร์ชันเดียวกันของโปรแกรมควบคุมการพิมพ์บนไคลเอ็นต์การพิมพ์และเซิร์ฟเวอร์การพิมพ์ ถ้าการอัปเดตโปรแกรมควบคุมในสภาพแวดล้อมของคุณไม่สามารถแก้ไขปัญหาได้ โปรดติดต่อฝ่ายสนับสนุนของผู้ผลิตเครื่องพิมพ์ของคุณ (OEM)

Q2: ฉันติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 14 กันยายน 2021 และอุปกรณ์Windowsบางเครื่องไม่สามารถพิมพ์ไปยังเครื่องพิมพ์บนเครือข่ายได้  มีการสั่งซื้อที่ฉันต้องใช้ในการติดตั้งการอัปเดตบนไคลเอ็นต์การพิมพ์และเซิร์ฟเวอร์การพิมพ์หรือไม่

A2: ก่อนที่จะติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 14 กันยายน 2021 หรือใหม่กว่าบนเซิร์ฟเวอร์การพิมพ์ ไคลเอ็นต์การพิมพ์ต้องติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 12 มกราคม 2021 หรือใหม่กว่า Windowsจะไม่พิมพ์ถ้าไม่ได้ติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 มกราคม 2021 หรือใหม่กว่า 

หมายเหตุ คุณไม่จต้องติดตั้งการอัปเดตก่อนหน้า และสามารถติดตั้งการอัปเดตใดๆ หลังจากวันที่ 12 มกราคม 2021 บนไคลเอ็นต์การพิมพ์ได้  เราขอแนะนนะให้คุณติดตั้งการอัปเดตสะสมล่าสุดบนทั้งไคลเอ็นต์และเซิร์ฟเวอร์

แหล่งข้อมูล

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย