Зведення

Windows, випущені 10 серпня 2021 року, і новіші версії за замовчуванням вимагають права адміністратора для інсталяції драйверів. Ми вносили цю зміну до стандартної поведінки, щоб уреагувати на ризик на всіх пристроях Windows, зокрема на пристроях, які не використовують функції Point і Print або print. Докладні відомості див. в описах змін поведінки за промовчанням для точок і друку та CVE-2021-34481.  

За замовчуванням користувачі без прав адміністратора більше не зможуть використовувати функції Point і Print, не маючи права адміністратора:

  • Інсталяція нових принтерів за допомогою драйверів на віддаленому комп'ютері або сервері

  • Оновлення наявних драйверів принтера за допомогою драйверів із віддаленого комп'ютера або сервера

Нотатка Якщо ви не використовуєте функції Point і Print, ця зміна на вас не має бути захищена за замовчуванням після інсталяції оновлень, випущених 10 серпня 2021 року або пізнішої версії.

Увага! Друк клієнтів у вашому середовищі має бути випущено 12 січня 2021 р. або пізнішої версії, перш ніж інсталювати оновлення до 14 вересня 2021 р.  Докладні відомості див. нижче в розділі "Запитання й відповіді" для Q2 .

Змінення стандартної настройки інсталяції драйвера за допомогою розділу реєстру

Цю поведінку можна змінити за допомогою розділу реєстру в таблиці нижче. Проте будьте уважні, використовуючи значення нуля (0), оскільки це робить пристрої вразливими. Якщо ви повинні використовувати значення реєстру 0 у вашому середовищі, ми радимо тимчасово використовувати його під час налаштування середовища, щоб Windows пристроїв використовувати значення одного (1).   

Розташування реєстру

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Ім'я DWord

RestrictDriverInstallationToAdministrators

Значення даних

Поведінка за замовчуванням: Якщо цей параметр установлює значення 1 або ключ не визначено чи не присутній , потрібно мати права адміністратора на інсталяцію будь-якого драйвера принтера під час використання Point і Print. Цей розділ реєстру перевизначає всі параметри групової політики point і Print Restrictions і гарантує, що лише адміністратори можуть інсталювати драйвери принтера із сервера друку, використовуючи функції Point і Print.

Якщо встановити значення 0, інші адміністратори можуть інсталювати підписані та непідписані драйвери на сервер друку, але не перевизначає параметри групової політики вказівок і друку. Таким чином, параметри групової політики Point і Print Restrictions можуть перевизначати цей розділ реєстру, щоб користувачі, які не можуть інсталювати підписані та непідписані драйвери друку із сервера друку. Для деяких адміністраторів може встановити значення 0, щоб дозволити звичайним адміністраторам інсталювати й оновлювати драйвери після додавання додаткових обмежень, зокрема додавання параметра політики, що обмежує, звідки можна інсталювати драйвери.

Увага! Немає жодної комбінації поєднання помножень, еквівалентних параметру RestrictDriverInstallationToAdministrators значення 1.

Нотатка Оновлення, випущені 6 липня 2021 року, за замовчуванням становили 0 (вимкнуто), доки не буде випущено оновлення 10 серпня 2021 року або пізнішої версії.  Оновлення, випущені 10 серпня 2021 року, за замовчуванням до 1 (увімкнуто).

Вимоги до перезапуску

Під час створення або змінення цього значення реєстру перезавантаження не потрібне.

Примітка Windows не встановлює або не змінює розділ реєстру. Перед інсталяцією оновлень, випущеними 10 серпня 2021 року або пізнішою, можна встановити розділ реєстру.

Автоматизація додавання значення реєстру RestrictDriverInstallationToAdministrators

Щоб автоматизувати додавання значення реєстру RestrictDriverInstallationToAdministrators, виконайте такі дії:

  1. Відкрийте вікно командного рядка (cmd.exe) із правами адміністратора.

  2. Введіть таку команду та натисніть клавішу Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Налаштування RestrictDriverInstallationToAdministrators за допомогою групової політики

Після інсталяції оновлень, випущених 12 жовтня 2021 року або пізнішої версії, ви також можете налаштувати RestrictDriverInstallationToAdministrators, використовуючи групову політику, дотримуючись наведених нижче інструкцій.

  1. Відкрийте засіб редактора групової політики та виберіть Конфігурація комп'ютера> адміністративні шаблони > принтерів. 

  2. Установіть для параметра Limits print Driver (Обмеження інсталяції драйвера друку) значення "Enabled" (Увімкнуто). Для параметра RestrictDriverInstallationToAdministrators буде встановлено значення 1.

Інсталяція драйверів друку, коли застосовано новий стандартний параметр

Якщо для параметра RestrictDriverInstallationToAdministrators встановлено значення 1, залежно від середовища, щоб інсталювати принтери, користувачам знадобиться один із таких способів:

  • Укажіть ім'я користувача та пароль адміністратора, коли буде запропоновано ввести облікові дані під час спроби інсталювати драйвер принтера.

  • До зображення ОС включіть необхідні драйвери принтера.

  • Щоб інсталювати драйвери принтера, тимчасово встановіть для RestrictDriverInstallationToAdministrators значення 0.

Примітка Якщо не вдається інсталювати драйвери принтера навіть із правами адміністратора, необхідно вимкнути лише використання точки пакета та групової політики друку.

Рекомендовані параметри та часткові пониження для середовищ, у яких не можна використовувати стандартну поведінку

Наведені нижче пониження може допомогти захистити всі середовища, але особливо якщо для параметра RestrictDriverInstallationToAdministrators установлено значення 0. Ці послаблення не повністю усуває вразливості в CVE-2021-34481.

Увага! Немає жодної комбінації поєднання помножень, еквівалентних параметру RestrictDriverInstallationToAdministrators значення 1.

Переконайтеся, що для параметра RpcAuthnLevelPrivacyEnabled установлено значення 1 або не визначено

Переконайтеся, що для параметра RpcAuthnLevelPrivacyEnabled установлено значення 1 або ні, як описано в статті Керування розгортанням змін прив'язування принтера для CVE-2021-1678 (KB4599464).

Перевірка ввімкнутості запитів безпеки для point and Print

Переконайтеся, що запити системи безпеки ввімкнуто для точок і друку, як описано в статті KB5005010: Обмеження інсталяції нових драйверів принтера після застосування оновлень від 6 липня 2021 року. 

Дозвіл користувачам підключатися лише до певних серверів друку, які ви довіряєте

Ця політика, Point and Print Restrictions, стосується принтерів Point і Print, які використовують драйвер, що не підтримує пакет, на сервері. 

Виконайте такі дії:

  1. Відкрийте консоль керування груповою політикою (GPMC).

  2. У дереві консолі GPMC перейдіть до домену або організаційного підрозділу, у якому зберігаються облікові записи користувачів, для яких потрібно змінити параметри безпеки драйвера принтера.

  3. Клацніть правою кнопкою миші відповідний домен або оу, виберіть команду Створити GPO в цьому домені та зв'яжіть його тут.Введіть ім'я нового об'єкта групової політики (GPO) і натисніть кнопку OK.

  4. Клацніть правою кнопкою миші створений об'пункт GPO та виберіть Редагувати.

  5. У вікні Редактор керування груповою політикою клацніть Конфігурація комп'ютера, клацніть Політики, Адміністративні шаблони, а потім – Принтери.

  6. Клацніть правою кнопкою миші на пункти та обмеження друку, а потім виберіть Редагувати.

  7. У діалоговому вікні Point and Print Restrictions (Обмеження на точку та друк) виберіть Enabled (Увімкнуто).

  8. Установіть прапорець Користувачі можуть лише вказувати та друкувати на цих серверах, якщо його ще не встановлено.

  9. Введіть повні імена серверів. Відокремте імена за допомогою ком (;).

    Нотатка Після інсталяції оновлень, випущених 21 вересня 2021 року або пізнішої версії, можна настроїти цю групову політику крапку або крапку (.) IP-адреси з повними іменами хостів.

  10. У полі Під час інсталяції драйверів для нового підключення встановіть прапорець Показувати попередження та Запит на оновлення.

  11. У полі Під час оновлення драйверів для наявного підключення встановіть прапорець Показувати попередження та Запит на оновлення.

  12. Натисніть OK.

Дозвольте користувачам підключатися лише до певних серверів Package Point і Print, які ви довіряєте

Ця політика, "Точка пакета" та "Друк". Затверджені сервери обмежують поведінку клієнта, щоб дозволити підключення point і Print лише певним серверам, на яких використовуються драйвери, що використовують драйвери пакета.

Виконайте такі дії:

  1. На контролері домену натисніть кнопку Пуск, виберіть Адміністрування, а потім – Керування груповою політикою. Або натисніть кнопку Пуск, виберіть Виконати, введіть GPMC.MSC, а потім натисніть клавішу Enter.

  2. Розгорніть ліс, а потім розгорніть домени.

  3. У вашому домені виберіть оптичне меню, у якому потрібно створити цю політику.

  4. Клацніть правою кнопкою миші опублікувати, а потім виберіть Create a GPO in this domain (Створити об'єднання GPO в цьому домені) і пов'яжіть його тут.

  5. Введіть ім'я об'єднання GPO, а потім натисніть кнопку OK.

  6. Клацніть правою кнопкою миші створений об'єкт групової політики, а потім виберіть Редагувати , щоб відкрити редактор керування груповою політикою.

  7. У редакторі керування груповою політикою розгорніть такі папки:

    1. Конфігурація комп'ютера

    2. Політики

    3. Адміністративні шаблони

    4. Місцеві політиці комп'ютерів

    5. "Принтери"

  8. Увімкніть пункти Package Point і Print ( Затверджені сервери) і натисніть кнопку Show... (Показати...).

  9. Введіть повні імена серверів. Відокремте імена за допомогою ком (;).

    Нотатка Після інсталяції оновлень, випущених 21 вересня 2021 року або пізнішої версії, можна настроїти цю групову політику крапку або крапку (.) IP-адреси з повними іменами хостів.

Запитання й відповіді

Кв1. Щоразу, коли я намагаюся надрукувати файл, з'являється повідомлення про те, що "Ви довіряєте цьому принтеру", і для продовження знадобитися облікові дані адміністратора.  Це очікувана?

A1:з'являється запит на введення кожного завдання друку. Більшість середовищ або пристроїв, для яких ця проблема вирішується, інсталюється оновлення, випущені 12 жовтня 2021 року або пізнішої версії.  Ці оновлення вирішують проблему, пов'язану із серверами друку та друком клієнтів, які не переносяться до одного часового поясу. 

Якщо ця проблема не зникла після інсталяції оновлень 12 жовтня 2021 року або новішої версії, можливо, знадобиться звернутися до виробника принтера, щоб отримати оновлені драйвери.  Ця проблема може також виникнути, якщо драйвер друку в клієнті друку та сервер друку використовують однакове ім'я файлу, але на сервері інстальовано новішу версію файлу драйвера. Коли клієнт друку підключається до сервера друку, він знайде новіший файл драйвера та пропонує оновити драйвери в клієнті друку. Проте файл у пакеті, який пропонується для інсталяції, не містить новішої версії файлу драйвера. 

Файли, які порівнюються, – це драйвери в папці spool, зазвичай розташовані в папці C:\Windows\System32\spool\drivers\x64\3 як у клієнті друку, так і на сервері друку.  Пакет драйвера, який запропонує для інсталяції, зазвичай розташовано на сервері друку C:\Windows\System32\spool\drivers\x64\PCC.  Після порівняння файлів у папці \3 між пристроями, якщо вони не збігаються, пакет інсталюється в PCC .  Якщо файли в папці \3 сервера друку відрізняються від того самого драйвера принтера, який пк пропонує клієнту, клієнт друку порівнюватиме ці файли та виявить невідповідність під час кожного друку. 

Щоб вирішити цю проблему, переконайтеся, що ви використовуєте найновіші драйвери для всіх пристроїв друку.  За можливості використайте ту саму версію драйвера друку в клієнті друку та сервері друку. Якщо оновлення драйверів у вашому середовищі не вирішує проблему, зверніться до служби підтримки виробника принтера (OEM).

2 кв. Інстальовано оновлення, випущені 14 вересня 2021 року, і деякі Windows пристрої не можуть друкувати на мережевих принтерах.  Чи потрібно інсталювати оновлення на серверах друку та клієнтах друку?

A2. Перш ніж інсталювати оновлення, випущені 14 вересня 2021 року на серверах друку, надрукувати клієнти повинні мати інстальовані оновлення, випущені 12 січня 2021 року або пізнішої версії. Windows не буде надруковано, якщо не інстальовано оновлення, випущене 12 січня 2021 р. або пізнішої версії. 

Нотатка Не потрібно інсталювати попередні оновлення та інсталювати будь-яке оновлення після 12 січня 2021 року на друк клієнтів.  Рекомендуємо інсталювати найновіший сукупний пакет оновлень для клієнтів і серверів.

Ресурси

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.