Tóm tắt
Windows phát hành ngày 10 tháng 8 năm 2021 trở lên sẽ yêu cầu đặc quyền quản trị để cài đặt trình điều khiển theo mặc định. Chúng tôi đã thực hiện thay đổi này trong hành vi mặc định để giải quyết rủi ro trên tất cả Windows thiết bị, bao gồm các thiết bị không sử dụng chức năng Điểm và In hoặc in. Để biết thêm thông tin, xem mục Điểm và In Thay đổi Hành vi Mặc định và CVE-2021-34481.
Theo mặc định, người dùng không phải là người quản trị sẽ không thể thực hiện những việc sau bằng cách sử dụng Điểm và In mà không có mức cao đặc quyền cho người quản trị:
-
Cài đặt máy in mới bằng cách dùng trình điều khiển trên máy tính hoặc máy chủ từ xa
-
Cập nhật trình điều khiển máy in hiện có bằng cách dùng trình điều khiển từ máy tính hoặc máy chủ từ xa
Lưu ý Nếu bạn không sử dụng Điểm và In, bạn không nên bị ảnh hưởng bởi thay đổi này và sẽ được bảo vệ theo mặc định sau khi cài đặt các bản cập nhật được phát hành ngày 10 tháng 8 năm 2021 trở lên.
Quan trọng Máy khách in trong môi trường của bạn phải có bản cập nhật được phát hành vào 12/01/2021 trở lên trước khi cài đặt bản cập nhật phát hành ngày 14 tháng 9 năm 2021. Vui lòng xem Q2 trong "Câu hỏi thường gặp" bên dưới để biết thêm thông tin.
Sửa đổi hành vi cài đặt trình điều khiển mặc định bằng khóa đăng ký
Bạn có thể sửa đổi hành vi mặc định này bằng cách sử dụng khóa đăng ký trong bảng bên dưới. Tuy nhiên, hãy thật cẩn thận khi sử dụng giá trị không (0) vì làm như vậy có thể khiến thiết bị dễ bị tấn công. Nếu bạn phải sử dụng giá trị sổ đăng ký bằng 0 trong môi trường của mình, chúng tôi khuyên bạn nên tạm thời sử dụng giá trị đó trong khi bạn điều chỉnh môi trường của mình để cho phép Windows thiết bị sử dụng giá trị của một (1).
Vị trí sổ đăng ký |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Tên Từ |
RestrictDriverInstallationToAdministrators |
Dữ liệu giá trị |
Hành vi mặc định: Việc đặt giá trị này thành 1 hoặc nếu khóa không được xác định hoặc không hiện diện, sẽ yêu cầu đặc quyền của người quản trị cài đặt bất kỳ trình điều khiển máy in nào khi sử dụng Point và Print. Khóa đăng ký này sẽ ghi đè lên tất cả các thiết đặt Chính sách Nhóm Điểm và Hạn chế In và đảm bảo rằng chỉ người quản trị mới có thể cài đặt trình điều khiển máy in từ máy chủ in bằng cách dùng Điểm và In. Việc đặt giá trị thành 0 cho phép người không phải là người quản trị cài đặt trình điều khiển đã ký và chưa được ký vào máy chủ in nhưng không ghi đè các cài đặt Chính sách Nhóm Điểm và In. Do đó, thiết đặt Chính sách Nhóm Điểm và Hạn chế In có thể ghi đè lên cài đặt khóa đăng ký này nhằm ngăn không cho người không phải là người quản trị cài đặt trình điều khiển in đã ký và chưa được ký từ một máy chủ in. Một số người quản trị có thể đặt giá trị là 0 để cho phép những người không phải là người quản trị cài đặt và cập nhật trình điều khiển sau khi thêm các hạn chế bổ sung, bao gồm việc thêm một thiết đặt chính sách ràng buộc nơi có thể cài đặt trình điều khiển. Quan trọng Không có tổ hợp giảm thiểu tương đương với cài đặt RestrictDriverInstallationToAdministrators thành 1. Lưu ý Các bản cập nhật được phát hành vào 06/07/2021 trở lên có số 0 (bị vô hiệu hóa) cho đến khi cài đặt các bản cập nhật được phát hành ngày 10 tháng 8 năm 2021 trở lên. Các bản cập nhật được phát hành ngày 10 tháng 8 năm 2021 trở lên có tùy chọn mặc định là 1 (được bật). |
Yêu cầu khởi động lại |
Không cần phải khởi động lại khi tạo hoặc sửa đổi giá trị sổ đăng ký này. |
Lưu ý Windows cập nhật mới nhất sẽ không đặt hoặc thay đổi khóa đăng ký. Bạn có thể đặt khóa đăng ký trước hoặc sau khi cài đặt các bản cập nhật phát hành ngày 10 tháng 8 năm 2021 trở lên.
Tự động thêm giá trị đăng ký RestrictDriverInstallationToAdministrators
Để tự động thêm giá trị đăng ký RestrictDriverInstallationToAdministrators, hãy làm theo các bước sau:
-
Mở cửa sổ Dấu nhắc Lệnh (cmd.exe) với các quyền mức cao.
-
Nhập lệnh sau đây, rồi nhấn Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Đặt RestrictDriverInstallationToAdministrators bằng cách sử dụng Chính sách Nhóm
Sau khi cài đặt các bản cập nhật được phát hành vào 12/10/2021 trở lên, bạn cũng có thể đặt RestrictDriverInstallationToAdministrators bằng cách sử dụng Chính sách Nhóm, bằng cách sử dụng các hướng dẫn sau:
-
Mở công cụ soạn thảo chính sách nhóm và đến Cấu hình Máy tính> Mẫu Quản > In.
-
Đặt cài đặt Giới hạn trình điều khiển in thành Người quản trị là "Đã bật". Việc này sẽ đặt giá trị sổ đăng ký của RestrictDriverInstallationToAdministrators thành 1.
Cài đặt trình điều khiển in khi thiết đặt mặc định mới là bắt buộc
Nếu bạn đặt restrictDriverInstallationToAdministrators như không được xác định hoặc là 1, tùy thuộc vào môi trường của bạn, người dùng phải sử dụng một trong các phương pháp sau đây để cài đặt máy in:
-
Cung cấp tên người dùng và mật khẩu người quản trị khi được nhắc nhập thông tin xác thực khi cố gắng cài đặt trình điều khiển máy in.
-
Đưa các trình điều khiển máy in cần thiết vào hình ảnh HĐH.
-
Tạm thời đặt restrictDriverInstallationToAdministrators thành 0 để cài đặt trình điều khiển máy in.
Lưu ý Nếu bạn không thể cài đặt trình điều khiển máy in, ngay cả với đặc quyền của người quản trị, bạn phải tắt Chỉ sử dụng Điểm Đóng gói và Chính sách Nhóm In.
Thiết đặt được đề xuất và giảm nhẹ một phần cho những môi trường không thể sử dụng hành vi mặc định
Các mitigations sau đây có thể giúp bảo mật tất cả các môi trường, nhưng đặc biệt là nếu bạn phải đặt RestrictDriverInstallationToAdministrators là 0. Các hạn chế này không giải quyết hoàn toàn các lỗ hổng trong CVE-2021-34481.
Quan trọng Không có tổ hợp giảm thiểu tương đương với cài đặt RestrictDriverInstallationToAdministrators thành 1.
Xác minh rằng RpcAuthnLevelPrivacyEnabled được đặt thành 1 hoặc không được xác định
Xác minh rằng RpcAuthnLevelPrivacyEnabled được đặt thành 1 hoặc không được xác định như mô tả trong Quản lý triển khai các thay đổi gắn kết RPC của Máy in cho CVE-2021-1678 (KB4599464).
Xác minh rằng Lời nhắc Bảo mật được bật cho Điểm và In
Xác minh rằng Lời nhắc Bảo mật được bật cho Điểm và In như được mô tả trong KB5005010: Hạn chế cài đặt trình điều khiển máy in mới sau khi áp dụng các bản cập nhật vào 06/07/2021.
Cho phép người dùng chỉ kết nối với máy chủ in cụ thể mà bạn tin cậy
Chính sách này, Giới hạn Điểm và In, áp dụng cho máy in Điểm và In bằng trình điều khiển không được đóng gói trên máy chủ.
Làm theo các bước sau:
-
Mở Bảng điều khiển Quản lý Chính sách Nhóm (GPMC).
-
Trong cây điều khiển GPMC, đi tới miền hoặc đơn vị tổ chức (OU) lưu trữ tài khoản người dùng mà bạn muốn sửa đổi cài đặt bảo mật trình điều khiển máy in.
-
Bấm chuột phải vào miền hoặc OU thích hợp, rồi bấm vào Tạo GPO trong miền này, rồi Liên kết GPO ở đây.Nhập tên cho Đối tượng Chính sách Nhóm (GPO) mới, rồi bấm OK.
-
Bấm chuột phải vào GPO bạn đã tạo, rồi bấm Sửa.
-
Trong cửa sổ Trình soạn thảo Quản lý Chính sách Nhóm, bấm Cấu hình Máy tính, bấm Chính sách, bấm Mẫu Quản trị, rồi bấm Máy in.
-
Bấm chuột phải vào Điểm và Hạn chế in, rồi bấm vào Chỉnh sửa.
-
Trong hộp thoại Giới hạn Điểm và In , bấm vào Đã bật.
-
Chọn hộp kiểm Người dùng chỉ có thể trỏ và in tới các máy chủ này nếu hộp kiểm chưa được chọn.
-
Nhập tên máy chủ đủ điều kiện. Phân tách từng tên bằng dấu chấm phchấm (;).
Lưu ý Sau khi cài đặt các bản cập nhật phát hành ngày 21 tháng 9 năm 2021 trở lên, bạn có thể đặt cấu hình chính sách nhóm này với một khoảng thời gian hoặc chấm (.) các địa chỉ IP được phân cách hoán đổi với tên máy chủ đầy đủ tiêu chuẩn.
-
Trong hộp Khi cài đặt trình điều khiển cho kết nối mới , chọn Hiển thị cảnh báo và Lời nhắc Mức cao.
-
Trong hộp Khi cập nhật trình điều khiển cho kết nối hiện có , chọn Hiển thị cảnh báo và Lời nhắc Mức cao.
-
Nhấp OK.
Cho phép người dùng chỉ kết nối với máy chủ Điểm Đóng gói và In cụ thể mà bạn tin cậy
Chính sách này, Điểm Đóng gói và In - Máy chủ đã phê duyệt sẽ hạn chế hành vi máy khách chỉ cho phép kết nối Điểm và In đối với các máy chủ được xác định sử dụng trình điều khiển theo gói.
Làm theo các bước sau:
-
Trên bộ kiểm soát miền, chọn Bắt đầu, chọn Công cụ Quản trị, rồi chọn Quản lý Chính sách Nhóm. Hoặc chọn Bắt đầu, chọn Chạy, nhập GPMC.MSC, rồi nhấn Enter.
-
Bung rộng rừng, rồi bung rộng miền.
-
Bên dưới tên miền của bạn, hãy chọn OU nơi bạn muốn tạo chính sách này.
-
Bấm chuột phải vào OU, rồi chọn Tạo một GPO trong tên miền này và nối kết nó ở đây.
-
Đặt tên cho GPO, rồi chọn OK.
-
Bấm chuột phải vào Đối tượng Chính sách Nhóm mới được tạo, rồi chọn Chỉnh sửa để mở Trình soạn thảo Quản lý Chính sách Nhóm.
-
Trong Trình soạn thảo Quản lý Chính sách Nhóm, hãy bung rộng các thư mục sau đây:
-
Cấu hình Máy tính
-
Chính sách
-
Mẫu Quản trị
-
Chính quyền Máy tính Cục bộ
-
Máy in
-
-
Bật Điểm Đóng gói và In - Máy chủ được phê duyệt và chọn nút Hiển thị ....
-
Nhập tên máy chủ đủ điều kiện. Phân tách từng tên bằng dấu chấm phchấm (;).
Lưu ý Sau khi cài đặt các bản cập nhật phát hành ngày 21 tháng 9 năm 2021 trở lên, bạn có thể đặt cấu hình chính sách nhóm này với một khoảng thời gian hoặc chấm (.) các địa chỉ IP được phân cách hoán đổi với tên máy chủ đầy đủ tiêu chuẩn.
Câu hỏi thường gặp
H1: Mỗi lần tìm cách in, tôi nhận được lời nhắc cho biết "Bạn có tin cậy máy in này không", và thông tin này yêu cầu thông tin đăng nhập của người quản trị để tiếp tục. Điều này có nằm trong dự kiến không?
A1: Không mong đợi được nhắc cho mọi công việc in. Phần lớn môi trường hoặc thiết bị gặp phải sự cố này sẽ được giải quyết bằng cách cài đặt các bản cập nhật được phát hành vào 12/10/2021 trở lên. Những bản cập nhật này giải quyết một sự cố liên quan đến máy chủ in và máy khách in không cùng múi giờ.
Nếu bạn vẫn gặp sự cố này sau khi cài đặt các bản cập nhật phát hành ngày 12 tháng 10 năm 2021 trở lên, bạn có thể cần liên hệ với nhà sản xuất máy in để cập nhật trình điều khiển. Sự cố này cũng có thể xảy ra khi trình điều khiển in trên máy khách in và máy chủ in sử dụng cùng tên tệp nhưng máy chủ có phiên bản tệp trình điều khiển mới hơn. Khi máy khách in kết nối với máy chủ in, máy in sẽ tìm thấy tệp trình điều khiển mới hơn và được nhắc cập nhật các trình điều khiển trên máy khách in. Tuy nhiên, tệp trong gói được đề xuất để cài đặt không bao gồm phiên bản tệp trình điều khiển mới hơn.
Các tệp đang được so sánh là các trình điều khiển trong thư mục công cụ, thường nằm trong C:\Windows\System32\spool\drivers\x64\3 trên cả máy khách in và máy chủ in. Gói trình điều khiển được cung cấp để cài đặt thường nằm trong C:\Windows\System32\spool\drivers\x64\PCC trên máy chủ in. Sau khi các tệp trong thư mục \3 được so sánh giữa các thiết bị, nếu chúng không khớp, gói trong PCC sẽ được cài đặt. Nếu các tệp trong thư mục \3 của máy chủ in không xuất phát từ cùng trình điều khiển máy in mà PCC cung cấp cho máy khách, máy khách in sẽ so sánh các tệp và thấy tệp không khớp mỗi lần in.
Để giảm thiểu sự cố này, hãy xác minh rằng bạn đang dùng trình điều khiển mới nhất cho tất cả các thiết bị in của mình. Nếu có thể, hãy sử dụng cùng một phiên bản của trình điều khiển in trên máy khách in và máy chủ in. Nếu việc cập nhật trình điều khiển trong môi trường của bạn không giải quyết được sự cố, vui lòng liên hệ với bộ phận hỗ trợ dành cho nhà sản xuất máy in (OEM) của bạn.
Q2: Tôi đã cài đặt các bản cập nhật được phát hành vào 14/09/2021 và một số thiết bị Windows không thể in ra máy in mạng. Tôi có một đơn đặt hàng để cài đặt các bản cập nhật trên máy khách in và máy chủ in không?
A2: Trước khi cài đặt các bản cập nhật phát hành ngày 14 tháng 9 năm 2021 trở lên trên máy chủ in, máy khách in phải có các bản cập nhật được cài đặt được phát hành vào 12/01/2021 trở lên. Windows thiết bị sẽ không in nếu chúng chưa cài đặt bản cập nhật được phát hành vào 12/01/2021 trở lên.
Lưu ý Bạn không cần cài đặt các bản cập nhật trước đó và có thể cài đặt bất kỳ bản cập nhật nào sau ngày 12 tháng 1 năm 2021 trên máy khách in. Chúng tôi khuyên bạn nên cài đặt bản cập nhật tích lũy mới nhất trên cả máy khách và máy chủ.