บทสรุป
Windowsวันที่ 10 สิงหาคม 2021 และใหม่กว่าจะเผยแพร่ตามค่าเริ่มต้น ต้องการสิทธิ์ระดับผู้ดูแลระบบในการติดตั้งโปรแกรมควบคุม เราเปลี่ยนแปลงพฤติกรรมเริ่มต้นนี้เพื่อควบคุมความเสี่ยงในอุปกรณ์ Windows ทั้งหมด รวมถึงอุปกรณ์ที่ไม่ได้ใช้ฟังก์ชันการพิมพ์หรือจุด For more information, see Point and Print Default Behavior Change and CVE-2021-34481.
ตามค่าเริ่มต้น ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบจะไม่สามารถดังต่อไปนี้โดยใช้คะแนนและพิมพ์โดยไม่มีระดับสิทธิ์ระดับผู้ดูแลระบบ:
-
ติดตั้งเครื่องพิมพ์ใหม่โดยใช้โปรแกรมควบคุมบนคอมพิวเตอร์ระยะไกลหรือเซิร์ฟเวอร์
-
อัปเดตโปรแกรมควบคุมเครื่องพิมพ์ที่มีอยู่โดยใช้โปรแกรมควบคุมจากคอมพิวเตอร์ระยะไกลหรือเซิร์ฟเวอร์
หมายเหตุ ถ้าคุณไม่ได้ใช้ จุด และ พิมพ์ คุณไม่ควรได้รับผลกระทบจากการเปลี่ยนแปลงนี้ และจะได้รับการป้องกันตามค่าเริ่มต้นหลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่า
สําคัญ การพิมพ์ไคลเอ็นต์ในสภาพแวดล้อมของคุณต้องมีการอัปเดตวันที่ 12 มกราคม 2021 หรือใหม่กว่าก่อนที่จะติดตั้งการอัปเดตในวันที่ 14 กันยายน 2021 โปรดดู Q2 ใน "Frequently asked questions" ด้านล่างเพื่อดูข้อมูลเพิ่มเติม
ปรับเปลี่ยนลักษณะการติดตั้งโปรแกรมควบคุมเริ่มต้นโดยใช้รีจิสทรีคีย์
คุณสามารถปรับเปลี่ยนลักษณะการส่วนตัวใช้งานเริ่มต้นนี้ได้โดยใช้คีย์รีจิสทรีในตารางด้านล่าง อย่างไรก็ตาม โปรดใช้ความระมัดระวังอย่างมากเมื่อใช้ค่าศูนย์ (0) เนื่องจากการดังกล่าวจะมีความเสี่ยงต่ออุปกรณ์ ถ้าคุณต้องใช้ค่ารีจิสทรีของ 0 ในสภาพแวดล้อมของคุณ เราขอแนะนนะให้ใช้ค่านี้ชั่วคราวในขณะที่คุณปรับสภาพแวดล้อมในการอนุญาตให้อุปกรณ์ Windows ใช้ค่าหนึ่ง (1)
รีจิสทรีที่ตั้ง |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
ชื่อ DWord |
RestrictDriverInstallationToAdministrators |
ข้อมูลค่า |
ลักษณะการงานเริ่มต้น: การตั้งค่านี้เป็น 1 หรือ ถ้าไม่ได้กําหนดคีย์หรือไม่แสดงอยู่ จะต้องมีสิทธิ์ระดับผู้ดูแลระบบในการติดตั้งโปรแกรมควบคุมเครื่องพิมพ์เมื่อใช้ Point และ Print รีจิสทรีคีย์ นี้จะแทนที่การตั้งค่า นโยบายกลุ่มข้อจํากัดจุดและการพิมพ์ทั้งหมด และตรวจสอบให้แน่ใจว่าเฉพาะผู้ดูแลระบบเท่านั้นที่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์จากเซิร์ฟเวอร์การพิมพ์โดยใช้จุดและพิมพ์ การตั้งค่าเป็น 0 อนุญาตให้ผู้ดูแลระบบที่ไม่ใช่ผู้ดูแลระบบติดตั้งโปรแกรมควบคุมที่มีลายเซ็นและไม่ได้เซ็นชื่อไปยังเซิร์ฟเวอร์การพิมพ์ แต่ จะไม่แทนที่ การตั้งค่าพอยต์และพิมพ์นโยบายกลุ่ม ดังนั้น การตั้งค่านโยบายกลุ่มข้อจํากัดการชี้และการพิมพ์สามารถแทนที่การตั้งค่ารีจิสทรีคีย์นี้เพื่อป้องกันไม่ให้ผู้ดูแลระบบไม่ติดตั้งโปรแกรมควบคุมการพิมพ์ที่มีลายเซ็นและไม่ได้เซ็นชื่อจากเซิร์ฟเวอร์การพิมพ์ ผู้ดูแลระบบบางคนอาจตั้งค่าเป็น 0 เพื่อให้ผู้ดูแลระบบที่ไม่ใช่ผู้ดูแลระบบติดตั้งและอัปเดตโปรแกรมควบคุมหลังจากเพิ่มข้อจํากัดเพิ่มเติม รวมถึงการเพิ่มการตั้งค่านโยบายที่จํากัดที่โปรแกรมควบคุมสามารถติดตั้งได้ สําคัญ ไม่มีการรวมการลดความเสี่ยงที่เทียบเท่ากับการตั้งค่า RestrictDriverInstallationToAdministrators เป็น 1 หมายเหตุ การอัปเดตที่เผยแพร่เมื่อวันที่ 6 กรกฎาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 0 (ปิดใช้งาน) จนกว่าการติดตั้งการอัปเดตจะเผยแพร่ในวันที่ 10 สิงหาคม 2021 หรือใหม่กว่า การอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่ามีค่าเริ่มต้นเป็น 1 (เปิดใช้งาน) |
ความต้องการในการรีสตาร์ต |
ไม่ต้องมีการรีสตาร์ตเมื่อสร้างหรือปรับเปลี่ยนค่ารีจิสทรีนี้ |
หมายเหตุ Windowsเหล่านี้จะไม่ตั้งค่าหรือเปลี่ยนรีจิสทรีคีย์ คุณสามารถตั้งค่ารีจิสทรีคีย์ก่อนหรือหลังการติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 10 สิงหาคม 2021 หรือใหม่กว่าได้
เพิ่มค่ารีจิสทรี RestrictDriverInstallationToAdministrators โดยอัตโนมัติ
เมื่อต้องการเพิ่มค่ารีจิสทรี RestrictDriverInstallationToAdministrators โดยอัตโนมัติ ให้ปฏิบัติตามขั้นตอนเหล่านี้:
-
เปิดหน้าต่าง พร้อมท์สั่ง (cmd.exe) ด้วยสิทธิ์ผู้ดูแล
-
พิมพ์ข้อความต่อไปนี้แล้วกด Enter:
reg เพิ่ม "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
ตั้งค่า RestrictDriverInstallationToAdministrators โดยใช้นโยบายกลุ่ม
หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 ตุลาคม 2021 หรือใหม่กว่า คุณยังสามารถตั้งค่า RestrictDriverInstallationToAdministrators โดยใช้นโยบายกลุ่มโดยใช้คําแนะนําต่อไปนี้:
-
เปิดเครื่องมือตัวแก้ไขนโยบายกลุ่ม และไปที่ การกําหนดค่าคอมพิวเตอร์> การดูแลระบบของ> เครื่องพิมพ์
-
ตั้งค่า จํากัดการติดตั้งโปรแกรมควบคุมการพิมพ์เป็นผู้ดูแลระบบ เป็น "เปิดใช้งาน" ซึ่งจะตั้งค่ารีจิสทรีของ RestrictDriverInstallationToAdministrators เป็น 1
ติดตั้งโปรแกรมควบคุมการพิมพ์เมื่อมีการบังคับใช้การตั้งค่าเริ่มต้นใหม่
ถ้าคุณตั้งค่า RestrictDriverInstallationToAdministrators เป็นไม่ได้กําหนดหรือเป็น 1 ขึ้นอยู่กับสภาพแวดล้อมของคุณ ผู้ใช้ต้องใช้หนึ่งในวิธีต่อไปนี้เพื่อติดตั้งเครื่องพิมพ์:
-
ใส่ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบเมื่อได้รับพร้อมท์ให้ป้อนข้อมูลรับรองเมื่อพยายามติดตั้งโปรแกรมควบคุมเครื่องพิมพ์
-
ใส่โปรแกรมควบคุมเครื่องพิมพ์ที่จําเป็นในรูป OS
-
ตั้งค่า RestrictDriverInstallationToAdministrators เป็น 0 ชั่วคราวเพื่อติดตั้งโปรแกรมควบคุมเครื่องพิมพ์
หมายเหตุ ถ้าคุณไม่สามารถติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ แม้ด้วยสิทธิ์ระดับผู้ดูแลระบบ คุณต้องปิดใช้งาน เพียงใช้จุดแพคเกจ และ พิมพ์ นโยบายกลุ่ม
การตั้งค่าที่แนะนาและการบรรเทาปัญหาบางส่วนในสภาพแวดล้อมที่ไม่สามารถใช้ลักษณะการรักษาความปลอดภัยเริ่มต้นได้
การบรรเทาปัญหาต่อไปนี้สามารถช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมทั้งหมด แต่โดยเฉพาะอย่างยิ่งถ้าคุณต้องตั้งค่า RestrictDriverInstallationToAdministrators เป็น 0 การบรรเทาปัญหาเหล่านี้ไม่ได้ระบุช่องโหว่ใน CVE-2021-34481 อย่างสมบูรณ์
สําคัญ ไม่มีการรวมการลดความเสี่ยงที่เทียบเท่ากับการตั้งค่า RestrictDriverInstallationToAdministrators เป็น 1
ตรวจสอบว่า RpcAuthnLevelPrivacyEnabled ถูกตั้งค่าเป็น 1 หรือไม่ได้กําหนด
ตรวจสอบว่า RpcAuthnLevelPrivacyEnabled ถูกตั้งค่าเป็น 1 หรือไม่ถูกกําหนดตามที่อธิบายไว้ใน การจัดการการปรับใช้ของการเปลี่ยนแปลงการผูกข้อมูล RPC ของเครื่องพิมพ์ของ CVE-2021-1678 (KB4599464)
ตรวจสอบว่ามีการเปิดใช้งานพร้อมท์ความปลอดภัยในจุดและพิมพ์
ตรวจสอบว่าพร้อมท์ด้านความปลอดภัยเปิดใช้งานจุดและพิมพ์ตามที่อธิบายไว้ใน KB5005010: จํากัดการติดตั้งโปรแกรมควบคุมเครื่องพิมพ์ใหม่หลังจากใช้การอัปเดตวันที่ 6 กรกฎาคม 2021
อนุญาตให้ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์การพิมพ์ที่คุณเชื่อถือเท่านั้น
นโยบาย ข้อจํากัดเกี่ยวกับจุดและการพิมพ์นี้ ใช้กับเครื่องพิมพ์จุดและพิมพ์โดยใช้โปรแกรมควบคุมที่ไม่ทราบแพคเกจบนเซิร์ฟเวอร์
ใช้ขั้นตอนต่อไปนี้
-
เปิดคอนโซลการจัดการนโยบายกลุ่ม (GPMC)
-
ในทรีคอนโซล GPMC ให้ไปที่โดเมนหรือหน่วยองค์กร (OU) ที่จัดเก็บบัญชีผู้ใช้ที่คุณต้องการปรับเปลี่ยนการตั้งค่าความปลอดภัยของโปรแกรมควบคุมเครื่องพิมพ์
-
คลิกขวาที่โดเมนที่เหมาะสมหรือ OU แล้วคลิก สร้าง GPO ในโดเมนนี้ แล้ว ลิงก์ไว้ที่นี่พิมพ์ชื่อของ Group Policy Object (GPO) ใหม่ แล้วคลิก ตกลง
-
คลิกขวาที่ GPO ที่คุณสร้าง แล้วคลิก แก้ไข
-
ในหน้าต่าง ตัวแก้ไขการจัดการนโยบายกลุ่ม ให้คลิก การกําหนดค่าคอมพิวเตอร์ คลิก นโยบาย คลิก เทมเพลตการดูแลระบบ แล้วคลิก เครื่องพิมพ์
-
คลิกขวาที่ จุด และ ข้อจํากัดการพิมพ์ แล้วคลิก แก้ไข
-
ในกล่องโต้ตอบ ข้อจํากัดจุดและการพิมพ์ ให้คลิก เปิดใช้งาน
-
เลือกกล่องกา เครื่องหมาย ผู้ใช้สามารถชี้และพิมพ์ไปยังเซิร์ฟเวอร์ เหล่านี้เท่านั้น ถ้ายังไม่ได้เลือกไว้
-
ใส่ชื่อเซิร์ฟเวอร์แบบเต็ม แยกแต่ละชื่อโดยใช้เครื่องหมายอัฒภาค (;))
หมายเหตุ หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 21 กันยายน 2021 หรือใหม่กว่า คุณสามารถกําหนดค่านโยบายกลุ่มนี้ที่มีจุดหรือจุด (.) ใช้ตัวคั่นที่อยู่ IP แทนกันได้ กับชื่อโฮสต์ที่มีคุณสมบัติครบถ้วน
-
ในกล่อง เมื่อติดตั้งโปรแกรมควบคุมให้การเชื่อมต่อใหม่ ให้เลือก แสดงคําเตือน และ พร้อมท์ที่ยกระดับ
-
ในกล่อง เมื่ออัปเดตโปรแกรมควบคุมของการเชื่อมต่อที่มีอยู่ ให้เลือก แสดงคําเตือน และ พร้อมท์ที่ยกระดับ
-
คลิก ตกลง
อนุญาตให้ผู้ใช้เชื่อมต่อกับจุดแพคเกจและเซิร์ฟเวอร์การพิมพ์ที่คุณเชื่อถือเท่านั้น
นโยบาย จุดแพคเกจ และพิมพ์ - เซิร์ฟเวอร์ที่ได้รับอนุมัตินี้จะจํากัดลักษณะการการเกิดขึ้นของไคลเอ็นต์ให้อนุญาตการเชื่อมต่อจุดและการพิมพ์ไปยังเซิร์ฟเวอร์ที่กําหนดที่ใช้โปรแกรมควบคุมที่ทราบแพคเกจเท่านั้น
ใช้ขั้นตอนต่อไปนี้
-
บนตัวควบคุมโดเมน ให้เลือก เริ่ม เลือก เครื่องมือการดูแลระบบ แล้วเลือก การจัดการนโยบายกลุ่ม อีกวิธีหนึ่งคือ เลือก เริ่ม เลือก เรียกใช้ พิมพ์ GPMC.MSC แล้วกด Enter
-
ขยายฟอเรสต์ แล้วขยายโดเมน
-
ภายใต้โดเมนของคุณ ให้เลือก OU ที่คุณต้องการสร้างนโยบายนี้
-
คลิกขวาที่ OU แล้วเลือก สร้าง GPO ในโดเมนนี้ แล้วลิงก์ที่นี่
-
ตั้งชื่อ GPO แล้วเลือก ตกลง
-
คลิกขวาที่ Group Policy Object ที่สร้างขึ้นใหม่ แล้วเลือก แก้ไข เพื่อเปิด ตัวแก้ไขการจัดการนโยบายกลุ่ม
-
ในตัวแก้ไขการจัดการนโยบายกลุ่ม ให้ขยายโฟลเดอร์ต่อไปนี้:
-
การกําหนดค่าคอมพิวเตอร์
-
นโยบาย
-
เทมเพลตการดูแลระบบ
-
นโยบายคอมพิวเตอร์ท้องถิ่น
-
เครื่องพิมพ์
-
-
เปิดใช้งาน จุดแพคเกจและพิมพ์ - เซิร์ฟเวอร์ ที่ได้รับอนุมัติ แล้วเลือกปุ่ม แสดง...
-
ใส่ชื่อเซิร์ฟเวอร์แบบเต็ม แยกแต่ละชื่อโดยใช้เครื่องหมายอัฒภาค (;))
หมายเหตุ หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 21 กันยายน 2021 หรือใหม่กว่า คุณสามารถกําหนดค่านโยบายกลุ่มนี้ที่มีจุดหรือจุด (.) ใช้ตัวคั่นที่อยู่ IP แทนกันได้ กับชื่อโฮสต์ที่มีคุณสมบัติครบถ้วน
คำถามที่ถามบ่อย
Q1: ทุกครั้งที่ฉันพยายามที่จะพิมพ์ ฉันได้รับพร้อมท์ที่บอกว่า "คุณเชื่อถือเครื่องพิมพ์นี้หรือไม่" และต้องมีข้อมูลรับรองของผู้ดูแลระบบเพื่อใช้งานต่อ คาดว่าจะมีอะไรบ้าง
A1:การได้รับพร้อมท์ให้พิมพ์งานพิมพ์ทุกครั้งไม่ที่คาดไว้ สภาพแวดล้อมหรืออุปกรณ์ส่วนใหญ่ที่พบปัญหานี้จะได้รับการแก้ไขโดยการติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 ตุลาคม 2021 หรือใหม่กว่า การอัปเดตเหล่านี้แก้ไขปัญหาที่เกี่ยวข้องกับเซิร์ฟเวอร์การพิมพ์และไคลเอ็นต์การพิมพ์ไม่อยู่ในโซนเวลาเดียวกัน
ถ้าคุณยังคงพบปัญหานี้หลังจากติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 ตุลาคม 2021 หรือใหม่กว่า คุณอาจต้องติดต่อผู้ผลิตเครื่องพิมพ์ของคุณเพื่อให้โปรแกรมควบคุมที่อัปเดตแล้ว ปัญหานี้อาจเกิดขึ้นเมื่อโปรแกรมควบคุมการพิมพ์บนไคลเอ็นต์การพิมพ์และเซิร์ฟเวอร์การพิมพ์ใช้ชื่อไฟล์เดียวกัน แต่เซิร์ฟเวอร์มีไฟล์โปรแกรมควบคุมเวอร์ชันที่ใหม่กว่า เมื่อไคลเอ็นต์การพิมพ์เชื่อมต่อกับเซิร์ฟเวอร์การพิมพ์ พบไฟล์โปรแกรมควบคุมที่ใหม่กว่า และจะได้รับพร้อมท์ให้อัปเดตโปรแกรมควบคุมบนไคลเอ็นต์การพิมพ์ อย่างไรก็ตาม ไฟล์ในแพคเกจจะเสนอให้ติดตั้งไม่มีเวอร์ชันไฟล์โปรแกรมควบคุมที่ใหม่กว่า
ไฟล์ที่ถูกเปรียบเทียบคือโปรแกรมควบคุมภายในโฟลเดอร์คิว โดยปกติใน C:\Windows\System32\spool\drivers\x64\3 ทั้งบนเซิร์ฟเวอร์การพิมพ์และเซิร์ฟเวอร์การพิมพ์ แพคเกจโปรแกรมควบคุมที่มีให้ติดตั้งมักจะอยู่ใน C:\Windows\System32\spool\drivers\x64\PCC บนเซิร์ฟเวอร์การพิมพ์ หลังจากไฟล์ในโฟลเดอร์ \3 จะถูกเปรียบเทียบระหว่างอุปกรณ์ ถ้าไม่ตรงกัน จะติดตั้งแพคเกจใน PCC ถ้าไฟล์ในโฟลเดอร์ \3 ของเซิร์ฟเวอร์การพิมพ์ไม่ใช่จากโปรแกรมควบคุมเครื่องพิมพ์เดียวกันกับที่ พีซีC มีให้ไคลเอ็นต์ ไคลเอ็นต์การพิมพ์จะเปรียบเทียบไฟล์และค้นหาไฟล์ที่ไม่ตรงกันทุกครั้งที่พิมพ์
เมื่อต้องการลดปัญหานี้ ให้ตรวจสอบว่าคุณใช้โปรแกรมควบคุมล่าสุดกับอุปกรณ์พิมพ์ทั้งหมดของคุณ ถ้าเป็นไปได้ ให้ใช้เวอร์ชันเดียวกันของโปรแกรมควบคุมการพิมพ์บนไคลเอ็นต์การพิมพ์และเซิร์ฟเวอร์การพิมพ์ ถ้าการอัปเดตโปรแกรมควบคุมในสภาพแวดล้อมของคุณไม่สามารถแก้ไขปัญหาได้ โปรดติดต่อฝ่ายสนับสนุนของผู้ผลิตเครื่องพิมพ์ของคุณ (OEM)
Q2: ฉันติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 14 กันยายน 2021 และอุปกรณ์Windowsบางเครื่องไม่สามารถพิมพ์ไปยังเครื่องพิมพ์บนเครือข่ายได้ มีการสั่งซื้อที่ฉันต้องใช้ในการติดตั้งการอัปเดตบนไคลเอ็นต์การพิมพ์และเซิร์ฟเวอร์การพิมพ์หรือไม่
A2: ก่อนที่จะติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 14 กันยายน 2021 หรือใหม่กว่าบนเซิร์ฟเวอร์การพิมพ์ ไคลเอ็นต์การพิมพ์ต้องติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 12 มกราคม 2021 หรือใหม่กว่า Windowsจะไม่พิมพ์ถ้าไม่ได้ติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 12 มกราคม 2021 หรือใหม่กว่า
หมายเหตุ คุณไม่จต้องติดตั้งการอัปเดตก่อนหน้า และสามารถติดตั้งการอัปเดตใดๆ หลังจากวันที่ 12 มกราคม 2021 บนไคลเอ็นต์การพิมพ์ได้ เราขอแนะนนะให้คุณติดตั้งการอัปเดตสะสมล่าสุดบนทั้งไคลเอ็นต์และเซิร์ฟเวอร์