Özet

Windows 10 Ağustos 2021 ve daha sonraki bir sürümde yayımlanan güncelleştirmelerde, varsayılan olarak sürücüleri yüklemek için yönetim ayrıcalığı gerekir. Bu değişikliği, Nokta ve Yazdırma veya yazdırma işlevlerini kullanmayan cihazlar Windows tüm cihazlarında riski ele almak için varsayılan davranış olarak yaptık. Daha fazla bilgi için bkz. Nokta ve Yazdırma Varsayılan Davranış Değişikliği ve YAZI-2021-34481.  

Varsayılan olarak, yönetici olmayan kullanıcılar artık yöneticiye ayrıcalık yükseltmesi olmadan Nokta ve Yazdır komutlarını kullanarak aşağıdakileri gerçekleştiremeyecektir:

  • Uzak bilgisayara veya sunucuya sürücüleri kullanarak yeni yazıcılar yükleme

  • Uzak bilgisayar veya sunucudan sürücüleri kullanarak mevcut yazıcı sürücülerini güncelleştirme

Not Nokta ve Yazdır'ı kullanmiyorsanız, bu değişiklikten etkilenmeyebilirsiniz ve 10 Ağustos 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yükledikten sonra varsayılan olarak korunurlar.

Önemli Ortamınıza yazdırma istemcilerinin 14 Eylül 2021'de yayımlanan güncelleştirmeleri yüklemeden önce 12 Ocak 2021 veya daha sonra yayımlanan bir güncelleştirmesi olması gerekir.  Daha fazla bilgi için lütfen aşağıdaki "Sık sorulan sorular" altında yer alan Ç2'ye bakın.

Kayıt defteri anahtarı kullanarak varsayılan sürücü yükleme davranışını değiştirme

Aşağıdaki tabloda yer alan kayıt defteri anahtarını kullanarak bu varsayılan davranışı değiştirebilirsiniz. Ancak, sıfır (0) değeri kullanırken çok dikkatli olun çünkü bunu yapmak cihazları zayıf bırakır. Ortamınıza 0 kayıt defteri değerini kullanmak zorundaysanız, bu değeri başka cihazların bir (1) Windows için ortamınızı ayarlarken geçici olarak kullanmalarını öneririz.   

Kayıt defteri konumu

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord adı

RestrictDriverInstallationToAdministrators

Value data

Varsayılan davranış: Bu değeri 1 olarak ayarlanmamışsa ya da anahtar tanımlansa veya yoksa, Nokta ve Yazdır'ı kullanırken herhangi bir yazıcı sürücüsünü yüklemek için yönetici ayrıcalığı gerekir. Bu kayıt defteri anahtarı tüm Nokta ve Yazdırma Kısıtlamaları Grup İlkesi ayarlarını geçersiz kılar ve Nokta ve Yazdırma kullanarak yazdırma sunucusundan yalnızca yöneticilerin yazıcı sürücülerini yükleyemediklerinden emin olur.

Değeri 0 olarak değiştirmek yönetici olmayanların imzalı ve imzasız sürücüleri yazdırma sunucusuna yüklemelerini sağlar, ancak Nokta ve Yazdırma Grup İlkesi ayarlarını geçersiz kılmaz. Sonuç olarak, yönetici olmayanların bir yazdırma sunucusundan imzalı ve imzasız yazdırma sürücülerini yüklemesini önlemek için Nokta ve Yazdırma Kısıtlamaları Grup İlkesi ayarları bu kayıt defteri anahtarı ayarını geçersiz kılabilir. Bazı yöneticiler, yönetici olmayanların ek kısıtlamalar ekledikten sonra sürücüleri yüklemesine ve güncelleştirmesine izin vermek için değeri 0 olarak ayarlar. Bu ayar, sürücülerin yük yüklen kuruluşta yüklerinin kısıtlamasını kısıtlar.

Önemli RestrictDriverInstallationToAdministrators ayarını 1'e ayarlamayla eşdeğer bir risk azaltma bileşimi yoktur.

Not 6 Temmuz 2021 veya daha sonra yayımlanan güncelleştirmelerin yüklenmesi 10 Ağustos 2021 veya daha sonraki bir sürümde yayımlanana kadar varsayılan 0 (devre dışı) değeri vardır.  10 Ağustos 2021 veya daha sonra yayımlanan güncelleştirmelerin varsayılan değeri 1 (etkin) olur.

Yeniden başlatma gereksinimleri

Bu kayıt defteri değerini oluştururken veya değiştirirken yeniden başlatma işlemi gerekmez.

Not Windows güncelleştirmeleri kayıt defteri anahtarını ayarlamaz veya değiştirmez. 10 Ağustos 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yüklemeden önce veya yükledikten sonra kayıt defteri anahtarını ayarlayabilirsiniz.

RestrictDriverInstallationToAdministrators kayıt defteri değerini ekleme işlemini otomatikleştirme

RestrictDriverInstallationToAdministrators kayıt defteri değerini ekleme işlemini otomatikleştirmek için şu adımları izleyin:

  1. Yükseltilmiş izinlerle Komut İstemi penceresini (cmd.exe) açın.

  2. Aşağıdaki komutu yazın ve Enter tuşuna basın:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Grup İlkesi kullanarak RestrictDriverInstallationToAdministrators ayarlama

12 Ekim 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yükledikten sonra, aşağıdaki yönergeleri kullanarak Grup İlkesi kullanarak RestrictDriverInstallationToAdministrators'ı da kurabilirsiniz:

  1. Grup ilkesi düzenleyici aracını açın ve Bilgisayar Yapılandırması ve Yazıcılar ' > Yönetim Şablonları'> gidin. 

  2. Yazdırma sürücüsü yüklemesini Yöneticilere sınırla ayarını "Etkin" olarak ayarlayın. Bu, RestrictDriverInstallationToAdministrators kayıt defteri değerini 1 olarak ayarlayın.

Yeni varsayılan ayar zorunluyken yazdırma sürücülerini yükleme

Ortamınıza bağlı olarak RestrictDriverInstallationToAdministrators'ı tanımlanmamış olarak 1 olarak veya 1 olarak ayarsanız, kullanıcıların yazıcıları yüklemek için aşağıdaki yöntemlerden birini kullanmaları gerekir:

  • Yazıcı sürücüsü yüklemeye çalışırken kimlik bilgileri istendiğinde bir yönetici kullanıcı adı ve parola girin.

  • Gerekli yazıcı sürücülerini işletim sistemi resmine dahil edin.

  • Yazıcı sürücülerini yüklemek için RestrictDriverInstallationToAdministrstrators'ı geçici olarak 0 olarak ayarlayın.

Not Yönetici ayrıcalığıyla bile yazıcı sürücülerini yükleyeseniz, Yalnızca Paket Noktası Kullan ve Grup İlkesini devre dışı bırak'ı devre dışı bırakabilirsiniz.

Varsayılan davranışı kullan kullanmayan ortamlar için önerilen ayarlar ve kısmi riskler

Aşağıdaki azaltmalar tüm ortamların güvenliğini sağlamaya yardımcı olabilir, ancak özellikle de RestrictDriverInstallationToAdministrators'ı 0 olarak ayarlamalısanız. Bu azaltmalar , THE-2021-34481 güvenlik açıklarına tam olarak yönelik değildir.

Önemli RestrictDriverInstallationToAdministrators ayarını 1'e ayarlamayla eşdeğer bir risk azaltma bileşimi yoktur.

RpcAuthnLevelPrivacyEnabled'ın 1 olarak ayarlandığı veya tanımlanmamış olduğunu doğrulama

RPCAuthnLevelPrivacyEnabled'ın 1 olarak ayarlandığı veya RPC-2021-1678 (KB4599464) için Yazıcı RPC bağlama değişikliklerinin dağıtımını yönetme konusunda açıklandığı gibi tanımlanmamış olduğunu doğrulayın.

Nokta ve Yazdırma için Güvenlik İstemleri'nin etkinleştirildiğinden emin olun

KB5005010 konusunda açıklandığı gibi Nokta ve Yazdırma için Güvenlik İstemlerinin etkinleştirildiğinden emin olun: 6 Temmuz 2021 güncelleştirmelerini uygulamanın ardından yeni yazıcı sürücülerinin yüklemesini kısıtlama. 

Kullanıcıların yalnızca güvenilen belirli yazdırma sunucularına bağlanmasına izin verme

Bu ilke olan Nokta ve Yazdırma Kısıtlamaları, sunucuda paketle ilgili olmayan bir sürücü kullanan Nokta ve Yazdırma yazıcıları için geçerlidir. 

Aşağıdaki adımları kullanın:

  1. Grup İlkesi Yönetim Konsolu'nu (GPMC) açın.

  2. GPMC konsol ağacında, yazıcı sürücüsü güvenlik ayarlarını değiştirmek istediğiniz kullanıcı hesaplarının depolu olduğu etki alanına veya kuruluş birimine (OU) gidin.

  3. Uygun etki alanına veya OU'ya sağ tıklayın, Bu etki alanında GPO oluştur'a tıklayın ve Buraya bağlantı oluşturun.Yeni Grup İlkesi Nesnesi (GPO) için bir ad yazın ve Tamam'a tıklayın.

  4. Oluşturduğunuz GPO'ya sağ tıklayın ve ardından Düzenle'ye tıklayın.

  5. Grup İlkesi Yönetim Düzenleyicisi penceresinde Bilgisayar Yapılandırması'ne, İlkeler'e, Yönetim Şablonları'ne ve ardından Yazıcılar'a tıklayın.

  6. Nokta ve Yazdırma Kısıtlamaları'ne sağ tıklayın ve sonra Düzenle'ye tıklayın.

  7. Nokta ve Yazdırma Kısıtlamaları iletişim kutusunda Etkin'e tıklayın.

  8. Kullanıcılar bu sunuculara yalnızca işaret etmek ve bu sunuculara yazdırılabilir onay kutusunu (henüz seçili değilse) seçin.

  9. Tam sunucu adlarını girin. Her adı noktalı virgül (üç noktalı virgül) kullanarak ;).

    Not 21 Eylül 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yükledikten sonra, bu grup ilkesine nokta veya nokta (.) tam ana bilgisayar adlarla eş zamanlı olarak sınırlandırılmış IP adresleri.

  10. Yeni bağlantı için sürücüleri yüklerken kutusunda Uyarıyı göster ve Yükseltilmiş Komut İstemi'ne tıklayın.

  11. Var olan bir bağlantının sürücülerini güncelleştiriyorsanız , Uyarıyı göster ve Yükseltilmiş Komut İstemi'ne tıklayın.

  12. Tamam üzerine tıklayın.

Kullanıcıların yalnızca güvenilen belirli Paket Noktası ve Yazdırma sunucularına bağlanmalarına izin verme

Bu ilke olan Paket Noktası ve Yazdırma - Onaylanmış sunucular, istemci davranışını yalnızca paket kullanan sürücüler kullanan tanımlı sunuculara Point ve Print bağlantılarına izin verecek şekilde kısıtlar.

Aşağıdaki adımları kullanın:

  1. Etki alanı denetleyicisinde Başlat'ı seçin, Yönetimsel Araçlar'ı seçin ve sonra da Grup İlkesi Yönetimi'ne seçin. Alternatif olarak Başlat'ı seçin, Çalıştır'ı seçin, GPMC.MSC yazın ve Enter tuşuna basın.

  2. Ormanı genişletin ve sonra etki alanlarını genişletin.

  3. Etki alanınız altında, bu ilkeyi oluşturmak istediğiniz OU'yu seçin.

  4. OU'ya sağ tıklayın, ardından Bu etki alanında GPO oluştur'u seçin ve buraya bın.

  5. GPO'ya bir ad verin ve Tamam'ı seçin.

  6. Yeni oluşturulan Grup İlkesi Nesnesine sağ tıklayın ve Düzenle'yi seçerek Grup İlkesi Yönetim Düzenleyicisi'ni açın.

  7. Grup İlkesi Yönetim Düzenleyicisi'nde aşağıdaki klasörleri genişletin:

    1. Bilgisayar Yapılandırması

    2. İlkeler

    3. Yönetim Şablonları

    4. Yerel Bilgisayar Güvenlikleri

    5. Yazıcılar’ı genişletin

  8. Paket Noktası ve Yazdırmayı Etkinleştir - Onaylanmış sunucular ve Göster... düğmesini seçin.

  9. Tam sunucu adlarını girin. Her adı noktalı virgül (üç noktalı virgül) kullanarak ;).

    Not 21 Eylül 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yükledikten sonra, bu grup ilkesine nokta veya nokta (.) tam ana bilgisayar adlarla eş zamanlı olarak sınırlandırılmış IP adresleri.

Sık sorulan sorular

S1: Her yazdırma girişiminde , "Bu yazıcıya güveniyor musun" diyen bir istem alır ve devam etmek için yönetici kimlik bilgilerini gerektirir.  Bu beklenen bir durum mu?

A1:Her yazdırma işi beklendiği gibi sorulmaz. Bu sorunu deneyim alan ortamların veya cihazların çoğu 12 Ekim 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeler yükleyerek çözülür.  Bu güncelleştirmeler, sunucuların ve yazdırma istemcilerinin aynı saat diliminde olmasıyla ilgili bir sorunu ele almaktadır. 

12 Ekim 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yükledikten sonra da bu sorunu devam ediyorsanız, güncelleştirilmiş sürücüler için yazıcınızın üreticisine başvurun.  Yazdırma istemcisinde bir yazdırma sürücüsünde ve yazdırma sunucusunda aynı dosya adı kullanılırken, sunucuda sürücü dosyasının daha yeni bir sürümü varsa da bu sorun oluşabilir. Yazdırma istemcisi yazdırma sunucusuna bağlandığında, daha yeni bir sürücü dosyası bulur ve yazdırma istemcisiniteki sürücüleri güncelleştirmeniz istenir. Ancak, yükleme için sunulan pakette yer alan dosya, daha yeni sürücü dosyası sürümünü içermez. 

Karşılaştırılacak dosyalar, biriktirici klasörünün içindeki sürücülerdir ve bunlar hem yazdırma istemcisinde hem de yazdırma sunucusunda genellikle C:\Windows\System32\spool\drivers\x64\3 dizinindedir.  Yükleme için sunulan sürücü paketi genellikle yazdırma sunucusunda C:\Windows\System32\spool\drivers\x64\PCC konumunda olur.  \3 klasöründeki dosyalar cihazlar arasında karşılaştırıldıktan sonra, eşleşmezse PCC'de paket yüklenir.  Print Server'ın \3 klasöründeki dosyalar PCC'nin istemciye sunduğu yazıcı sürücüsünden farklı olursa, yazdırma istemcisi dosyaları karşılaştırarak her yazdırılırken eşleşmeyen dosyaları bulur. 

Bu sorunu azaltmak için, tüm yazdırma cihazlarınız için en son sürücüleri kullanırkenn emin olun.  Mümkünse, yazdırma istemcisinde ve yazdırma sunucusunda yazdırma sürücüsünün aynı sürümünü kullanın. Ortamınızın sürücülerini güncelleştirmek sorunu çözmezse, lütfen yazıcı üreticiniz (OEM) için destek ile iletişime geçin.

S2: 14 Eylül 2021'de yayımlanan güncelleştirmeleri yüklemiş olabilirm ve bazı Windows yazıcılara yazdıramaz.  Yazdırma istemcilerine ve yazdırma sunucularına güncelleştirmeleri yüklemem için bir sipariş var mı?

A2: 14 Eylül 2021 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yazdırma sunucularına yüklemeden önce, yazdırma istemcilerinin 12 Ocak 2021 veya daha sonra yayımlanan güncelleştirmeleri yüklemiş olması gerekir. Windows 12 Ocak 2021 veya daha yeni bir sürüm yüklememiş olan cihazlar yazdırılmaz. 

Not Önceki güncelleştirmeleri yüklemenize gerek yok ve istemci yazdırmaya 12 Ocak 2021'den sonra herhangi bir güncelleştirmeyi yükleyebilirsiniz.  İstemcilere ve sunuculara en son toplu güncelleştirmeyi yüklemenizi öneririz.

Kaynaklar

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.