摘要
Windows 2021 年 8 月 10 日及更新版本發佈的更新,根據預設,安裝驅動程式需要系統管理許可權。 我們已在預設行為中進行這項變更,以解決所有Windows裝置中的風險,包括不使用點和列印或列印功能的裝置。 詳細資訊,請參閱指向 和列印預設行為變更 和 CVE-2021-34481。
根據預設,非系統管理員使用者將無法在沒有系統管理員許可權的情況下,使用點和列印執行下列操作:
-
在遠端電腦或伺服器上使用驅動程式安裝新印表機
-
使用遠端電腦或伺服器的驅動程式更新現有的印表機驅動程式
注意 如果您不是使用 點和列印,則不應受到此變更影響,且安裝 2021 年 8 月 10 日或更新版本後,系統預設會受到保護。
重要 在您的環境中列印用戶端必須于 2021 年 1 月 12 日或更新版本發行更新,才能安裝 2021 年 9 月 14 日發行更新。 如需詳細資訊,請參閱下方的 「常見問題」第 2 季度。
使用登錄機碼修改預設的驅動程式安裝行為
您可以使用下表中的登錄機碼修改此預設行為。 不過,使用 0 或 0 (值時) 小心,因為這麼做會使裝置容易受到攻擊。 如果您必須在環境中使用 0 的註冊表值,建議您在調整環境時暫時使用 0,以允許 Windows 裝置使用 1 (1) 。
註冊表位置 |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord 名稱 |
RestrictDriverInstallationToAdministrators |
值資料 |
預設行為: 將此值設定為 1或未定義或不存在金鑰時,使用點和列印時,需要系統管理員許可權才能安裝任何印表機驅動程式。 此登錄機鍵 會重寫所有 點和列印限制群組原則設定,並確保只有系統管理員可以使用點和列印從列印伺服器安裝印表機驅動程式。 將值設定為 0可讓非系統管理員將已簽署和未簽署的驅動程式安裝至列印伺服器,但不會重寫點和列印群組原則設定。 因此,點和列印限制群組原則設定可以重寫此登錄鍵設定,以防止非系統管理員從列印伺服器安裝已簽署和未簽署的列印驅動程式。 有些系統管理員可能會將值設為 0,以允許非系統管理員在新增其他限制後安裝及更新驅動程式,包括新增限制驅動程式安裝位置的政策設定。 重要 沒有任何相當於將 RestrictDriverInstallationToAdministrators 設定為 1 的緩解措施組合。 注意 2021 年 7 月 6 日或更新版本發佈的更新在安裝 2021 年 8 月 10 日或更新 (之前) 0 已停用 0。 2021 年 8 月 10 日或更新版本發佈的更新預設為 1 (啟用) 。 |
重新開機需求 |
建立或修改此註冊表值時,不需要重新開機。 |
注意 Windows不會設定或變更登錄機碼。 您可以在安裝 2021 年 8 月 10 日或更新版本之前或之後設定登錄機碼。
自動新增 RestrictDriverInstallationToAdministrators 註冊表值
若要自動化新增 RestrictDriverInstallationToAdministrators 註冊表值,請遵循下列步驟:
-
開啟具有提升許可權 (cmd.exe) 命令提示視窗。
-
輸入下列命令,然後按 Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
設定 RestrictDriverInstallationToAdministrators using Group Policy
安裝 2021 年 10 月 12 日或更新版本發佈的更新之後,您也可以使用群組原則,使用下列指示來設定 RestrictDriverInstallationToAdministrators:
-
開啟群組原則編輯器工具,然後前往電腦 組 > 管理範本 > 印表機。
-
將列印驅動程式安裝限制設定為 「啟用」。 這會將 RestrictDriverInstallationToAdministrators 的註冊表值設為 1。
強制執行新的預設設定時,安裝列印驅動程式
如果您將 RestrictDriverInstallationToAdministrators設定為未定義,或設為 1,取決於您的環境,使用者必須使用下列其中一種方法來安裝印表機:
-
嘗試安裝印表機驅動程式時,當系統提示輸入認證時,請提供系統管理員使用者名稱和密碼。
-
在 OS 圖像中納入必要的印表機驅動程式。
-
暫時將 RestrictDriverInstallationToAdministrators 設為 0,以安裝印表機驅動程式。
注意 如果您無法安裝印表機驅動程式,即使具有系統管理員許可權,您也必須停用僅使用 套件點和列印 群組原則。
無法使用預設行為之環境的建議設定和部分緩解措施
下列緩解措施可協助保護所有環境,但尤其是您必須將 RestrictDriverInstallationToAdministrators 設為 0 時。 這些緩解措施並未完全解決 CVE-2021-34481 中的漏洞。
重要 沒有任何相當於將 RestrictDriverInstallationToAdministrators 設定為 1 的緩解措施組合。
確認 RpcAuthnLevelPrivacyEnabled 設定為 1 或未定義
確認 RpcAuthnLevelPrivacyEnabled 設定為 1,或未如管理 CVE-2021-1678 (KB4599464) 中所述定義。
確認已啟用點和列印的安全性提示
請確認已針對KB5005010所述的點和列印啟用安全性提示:在適用 2021 年 7 月 6 日更新之後,限制新印表機驅動程式的安裝。
允許使用者只連接到您信任的特定列印伺服器
此原則,即點和列印限制,適用于使用伺服器上非封裝感知驅動程式的點和列印印表機。
請使用下列步驟:
-
開啟 GPMC (管理主控台) 。
-
在 GPMC 主機樹中,前往儲存要修改印表機驅動程式安全性設定之使用者帳戶 (OU) 的網域或組織單位。
-
以滑鼠右鍵按一下適當的網域或 OU,然後按一下 [在此網域中建立 GPO,並連結這裡。在 GPO 中輸入新的群組原則物件 (名稱) 然後按一下 [ 確定。
-
以滑鼠右鍵按一下您建立 GPO,然後按一下 [ 編輯。
-
在 [群組原則管理編輯器> 視窗中,按一下 [電腦群組配置>,按一下 [政策>,按一下 [系統管理範本>,然後按一下 [印表機。
-
以滑鼠右 鍵按一下 [點和列印限制,然後按一下 [編輯。
-
在 [ 點與列印限制 」 對話方塊中,按一下 [ 已啟用。
-
選取尚未 選取的使用者只能 指向並列印至這些伺服器核取方塊。
-
輸入完全合格的伺服器名稱。 使用分號分隔每個名稱; (;) 。
注意 安裝 2021 年 9 月 21 日或更新版本發佈的更新之後,您可以將此群組原則設定為句點或點 (.) 以完全合格的主機名稱稱交替分隔 IP 位址。
-
在安裝 新連接驅動程式 時,選取顯示 警告和提升提示。
-
在更新 現有連接驅動程式 的方塊中,選取顯示 警告和提升提示。
-
按一下 [確定]。
允許使用者只連接到您信任的特定套件點和列印伺服器
此策略:套件點和列印 - 已核准伺服器,會限制用戶端行為,只允許指向使用套件感知驅動程式的已定義伺服器進行點和列印連接。
請使用下列步驟:
-
在網域控制站上,選取 開始,選取 管理工具,然後選取 群組原則管理。 或者,選取開始 ,選取 執行,輸入 GPMC.MSC,然後按 Enter。
-
展開樹域,然後展開網域。
-
在網域下,選取您想要建立此策略的 OU。
-
以滑鼠右鍵按一下 OU,然後選取在此網域中建立 GPO,然後在這裡連結。
-
為 GPO 命名, 然後選取確定。
-
以滑鼠右鍵按一下新建立群組原則物件,然後選取 [ 編輯 以開啟群組原則管理編輯器。
-
在群組原則管理編輯器中,展開下列資料夾:
-
電腦群組組
-
政策
-
系統管理範本
-
當地電腦管理
-
印表機
-
-
啟用 套件點和列印 - 已核准伺服器 ,然後選取顯示 ... 按鈕。
-
輸入完全合格的伺服器名稱。 使用分號分隔每個名稱; (;) 。
注意 安裝 2021 年 9 月 21 日或更新版本發佈的更新之後,您可以將此群組原則設定為句點或點 (.) 以完全合格的主機名稱稱交替分隔 IP 位址。
常見問題集
問1:每次嘗試列印時,都會收到提示,提示您信任此印表機嗎?」,而且需要系統管理員認證才能繼續。 這是預期嗎?
A1: 系統不會提示您處理每一個列印工作。 大部分遇到此問題的環境或裝置,都會安裝 2021 年 10 月 12 日或更新版本所發佈的更新,以解決此問題。 這些更新可解決列印伺服器和列印用戶端不在相同時區的問題。
如果您在安裝 2021 年 10 月 12 日或更新版本發佈的更新之後仍發生此問題,您可能需要與印表機製造商聯繫,以尋找更新的驅動程式。 當列印用戶端上的列印驅動程式與列印伺服器使用相同的檔案名,但伺服器有較新版本的驅動程式檔案時,也可能會發生此問題。 當列印用戶端連接到列印伺服器時,它會找到較新的驅動程式檔案,並提示您更新列印用戶端上的驅動程式。 不過,它所提供的安裝套件中的檔案不包含較新的驅動程式檔案版本。
要比較的檔案是幕後處理資料夾中的驅動程式,通常是列印用戶端和列印伺服器上C:\Windows\System32\spool\drivers\x64\3。 提供給安裝的驅動程式套件通常會在列印伺服器上 C:\Windows\System32\spool\drivers\x64\1。 在 \ 3 資料夾中的檔案在裝置之間比較之後,如果它們不相符,即會安裝 PCC 中的套件。 如果列印伺服器 \3 資料夾中的檔案不是 來自 PCC 提供給用戶端的同一個印表機驅動程式,則列印用戶端會比較檔案,併發現每次列印時不一致。
若要減輕此問題,請確認您使用的是所有列印裝置的最新驅動程式。 盡可能在列印用戶端和列印伺服器上使用相同版本的列印驅動程式。 如果更新環境中驅動程式無法解決問題,請與您的印表機製造商或 OEM () 。
Q2:我安裝了 2021 年 9 月 14 日發佈的更新,有些Windows無法列印至網路印表機。 我是否需要在列印用戶端和列印伺服器上安裝更新的訂單?
A2:在列印伺服器上安裝 2021 年 9 月 14 日或更新版本發行更新之前,列印用戶端必須已安裝于 2021 年 1 月 12 日或更新版本發佈的更新。 Windows安裝 2021 年 1 月 12 日或更新版本所發佈的更新,將不會列印這些裝置。
注意 您不需要安裝更早的更新,而且可以在列印用戶端上安裝 2021 年 1 月 12 日之後的任何更新。 我們建議您同時在用戶端和伺服器上安裝最新的累加更新。