KB5005652 - 管理新点和打印默认驱动程序安装行为 (CVE-2021-34481)

摘要

Windows 2021 年 8 月 10 日及更高版本发布的更新默认情况下需要管理权限来安装驱动程序。我们在默认行为中进行了此更改，以解决所有Windows（包括不使用点和打印或打印功能的设备）中的风险。有关详细信息，请参阅点和打印默认行为更改和 CVE-2021-34481。

默认情况下，如果不向管理员提升权限，非管理员用户将不再能够使用点和打印执行以下操作：

在远程计算机或服务器上使用驱动程序安装新打印机
使用远程计算机或服务器的驱动程序更新现有打印机驱动程序

注意如果不使用 "点"和"打印"，则不应受此更改的影响，在安装 2021 年 8 月 10 日或更高版本发布的更新后，默认情况下会受到保护。

重要在安装更新版本 2021 年 9 月 14 日之前，环境中打印客户端必须具有 2021 年 1 月 12 日或更高版本发布的更新。有关详细信息，请参阅下面的"常见问题解答"中的第 2 季度。

使用注册表项修改默认驱动程序安装行为

可以使用下表中的注册表项修改此默认行为。但是，在使用值为 0 或 0 (时) 十分谨慎，因为这样做会使设备易受攻击。如果必须在环境中使用注册表值 0，我们建议在调整环境时暂时使用它，以允许 Windows 设备使用 1 (1) 。

注册表位置	HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
DWord 名称	RestrictDriverInstallationToAdministrators
值数据	默认行为：将此值设置为 1 或者如果未定义或不存在密钥，则使用点和打印时，需要管理员权限才能安装任何打印机驱动程序。此注册表项将覆盖所有 "点"和"打印限制"组策略设置，并确保只有管理员可以使用"点"和"打印"从打印服务器安装打印机驱动程序。将值设置为 0 允许非管理员将已签名和未签名的驱动程序安装到打印服务器，但不覆盖"点"和"打印组策略"设置。因此，点和打印限制组策略设置可以覆盖此注册表项设置，以防止非管理员从打印服务器安装已签名和未签名的打印驱动程序。某些管理员可能会将值设置为 0，以允许非管理员在添加其他限制后安装和更新驱动程序，包括添加限制驱动程序安装位置的策略设置。重要没有相当于将 RestrictDriverInstallationToAdministrators 设置为 1 的缓解措施组合。注意 2021 年 7 月 6 日或更高版本发布的更新在安装 2021 年 8 月 10 日或更高版本发布的更新之前) 默认禁用了 0 (。 2021 年 8 月 10 日或更高版本发布的更新默认已启用 1 () 。
重启要求	创建或修改此注册表值时不需要重启。

注意 Windows不会设置或更改注册表项。可以在安装 2021 年 8 月 10 日或更高版本发布的更新之前或之后设置注册表项。

自动添加 RestrictDriverInstallationToAdministrators 注册表值

若要自动添加 RestrictDriverInstallationToAdministrators 注册表值，请执行以下步骤：

打开"命令提示符"窗口 (cmd.exe) 权限的"命令提示符"窗口。
键入以下命令，然后按 Enter：

reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

使用组策略设置 RestrictDriverInstallationToAdministrators

安装 2021 年 10 月 12 日或更高版本发布的更新后，还可按照以下说明使用组策略设置 RestrictDriverInstallationToAdministrators：

打开组策略编辑器工具，转到"计算机配置 "> "管理模板 > 打印机"。
将"限制打印驱动程序安装"设置为"管理员 "设置"已启用"。这会将 RestrictDriverInstallationToAdministrators 的注册表值设置为 1。

强制实施新的默认设置时安装打印驱动程序

如果将 RestrictDriverInstallationToAdministrators 设置为未定义或设置为 1，则用户必须使用以下方法之一安装打印机，具体取决于环境：

尝试安装打印机驱动程序时，当系统提示输入凭据时，请提供管理员用户名和密码。
在 OS 映像中包括所需的打印机驱动程序。
暂时将 RestrictDriverInstallationToAdministrators 设置为 0 以安装打印机驱动程序。

注意如果即使具有管理员权限，也无法安装打印机驱动程序，则必须禁用"仅使用程序包点"和" 打印组" 策略。

针对无法使用默认行为的环境的建议设置和部分缓解措施

以下缓解措施可帮助保护所有环境，尤其是必须将 RestrictDriverInstallationToAdministrators 设置为 0 时。这些缓解措施无法完全解决 CVE-2021-34481 中的漏洞。

重要没有相当于将 RestrictDriverInstallationToAdministrators 设置为 1 的缓解措施组合。

验证 RpcAuthnLevelPrivacyEnabled 是否设置为 1

根据管理适用于 CVE-2021-1678 (KB4599464) 的打印机 RPC 绑定更改的部署中所述，验证 RpcAuthnLevelPrivacyEnabled 是否设置为 1。

验证是否为点和打印启用了安全提示

验证是否按 KB5005010：应用 2021 年 7 月 6 日更新后限制新打印机驱动程序安装中所述为点和打印启用安全提示。

允许用户仅连接到你信任的特定打印服务器

此策略（点和打印限制）适用于在服务器上使用非程序包感知驱动程序的点打印机和打印打印机。

使用以下步骤：

打开 GPMC (组策略管理) 。
在 GPMC 控制台树中，转到存储要修改打印机驱动程序安全设置 (OU) 的域或组织单位。
右键单击相应的域或 OU，并单击 "在此域中创建 GPO"，并在此处链接它。键入新组策略对象的名称 (GPO) 然后单击"确定 "。
右键单击创建的 GPO，然后单击"编辑 "。
在"组策略管理编辑器"窗口中，单击"计算机配置"，单击"策略"，单击"管理模板"，然后单击"打印机"。
右键单击 "点和打印限制"，然后单击"编辑 "。
在" 点和打印限制" 对话框中，单击"已启用 "。
选中" 用户只能指向这些 服务器并打印到这些服务器"复选框（如果尚未选中）。
输入完全限定的服务器名称。使用分号分隔每个名称; (;) 。

注意安装 2021 年 9 月 21 日或更高版本发布的更新后，可以使用句点或句点 (.) 分隔的 IP 地址与完全限定的主机名互换。
在" 安装新连接驱动程序 时"框中，选择" 显示警告"和"提升的提示"。
在" 更新现有连接驱动程序 时"框中，选择"显示警告"和" 提升的提示"。
单击确定。

允许用户仅连接到你信任的特定包点和打印服务器

此策略（程序包点和打印 - 已批准的服务器）将客户端行为限制为仅允许与使用程序包感知驱动程序的已定义服务器建立点和打印连接。

使用以下步骤：

在域控制器上，选择"开始 "， 选择"管理工具"，然后选择" 组策略管理"。或者，选择" 开始"，选择 "运行"，键入 GPMC.MSC，然后按 Enter。
展开林，然后展开域。
在域下，选择要创建此策略的 OU。
右键单击 OU，然后选择" 在此域中创建 GPO"，并在此处链接它。
为 GPO 命名，然后选择"确定 "。
右键单击新建的组策略对象，然后选择" 编辑" 打开组策略管理编辑器。
在组策略管理编辑器中，展开以下文件夹：
1. 计算机配置
2. 策略
3. 管理模板
4. 本地计算机方案
5. “打印机”
启用 包点和打印 - 已批准的服务器 ，然后选择"显示 ..." 按钮。
输入完全限定的服务器名称。使用分号分隔每个名称; (;) 。

注意安装 2021 年 9 月 21 日或更高版本发布的更新后，可以使用句点或句点 (.) 分隔的 IP 地址与完全限定的主机名互换。

常见问题

问 1：每次尝试打印时，都会收到提示，指出"是否信任此打印机"，并且需要管理员凭据才能继续。这是否预期？

A1：系统不会提示执行每个打印作业。遇到此问题的大多数环境或设备都将通过安装 2021 年 10 月 12 日或更高版本发布的更新来解决。这些更新解决了与打印服务器和打印客户端不在同一时区相关的问题。

如果在安装 2021 年 10 月 12 日或更高版本发布的更新后仍遇到此问题，可能需要联系打印机制造商获取更新的驱动程序。当打印客户端和打印服务器的打印驱动程序使用相同的文件名，但服务器具有较新版本的驱动程序文件时，也可能会出现此问题。当打印客户端连接到打印服务器时，它将查找较新的驱动程序文件，并提示更新打印客户端上的驱动程序。但是，提供用于安装的包中的文件不包括较新的驱动程序文件版本。

要比较的文件是 spool 文件夹中的驱动程序，通常位于打印客户端和打印服务器上 C：\Windows\System32\spool\drivers\x64\3 中。提供用于安装的驱动程序包通常位于打印服务器上 C：\Windows\System32\spool\drivers\x64\PCC 中。在 \ 3 文件夹中的文件在设备之间进行比较后，如果它们不匹配， 则安装 PCC 中的包。如果打印服务器的 \3 文件夹中的文件不是 PCC 向客户端提供的同一打印机驱动程序，则打印客户端将比较文件，并每次打印时查找不匹配的文件。

若要缓解此问题，请验证是否针对所有打印设备使用最新的驱动程序。在可能的情况下，在打印客户端和打印服务器上使用同一版本的打印驱动程序。如果更新环境中驱动程序无法解决问题，请联系打印机制造商的支持人员 (OEM) 。

问 2：我安装了 2021 年 9 月 14 日发布的更新，Windows某些设备无法打印到网络打印机。我需要在打印客户端和打印服务器上安装更新吗？

A2：在打印服务器上安装 2021 年 9 月 14 日或更高版本发布的更新之前，打印客户端必须已安装 2021 年 1 月 12 日或更高版本发布的更新。 Windows设备未安装 2021 年 1 月 12 日或更高版本发布的更新，则这些设备不会打印。

注意无需安装早期更新，可以在打印客户端上安装 2021 年 1 月 12 日之后的任何更新。建议在客户端和服务器上安装最新的累积更新。