Резюме

Windows актуализации, издадени на 10 август 2021 г. и по-нови, по подразбиране ще изискват администраторски права за инсталиране на драйвери. Направихме тази промяна в поведението по подразбиране, за да отговорим на риска във всички Windows устройства, включително устройства, които не използват функционалността "Точка" и "Печат" или "Печат". За повече информация вижте Промяна на поведението по подразбиране за точка и печат и CVE-2021-34481.  

По подразбиране потребителите, които не са администратори, повече няма да могат да правят следното с помощта на "Точка" и "Печат" без увеличаване на правата за администратор:

  • Инсталиране на нови принтери с помощта на драйвери на отдалечен компютър или сървър

  • Актуализиране на съществуващи драйвери за принтер с помощта на драйвери от отдалечен компютър или сървър

Забележка Ако не използвате "Точка" и " Печат", не трябва да бъдете засегнати от тази промяна и ще бъдете защитени по подразбиране след инсталиране на актуализации, издадени на 10 август 2021 г. или по-нова версия.

Важно Клиентите за печат във вашата среда трябва да имат актуализация, издадена на 12 януари 2021 г. или по-нова версия, преди да инсталирате изданието за актуализации 14 септември 2021 г.  Вижте Q2 в "Често задавани въпроси" по-долу за повече информация.

Промяна на поведението на инсталиране на драйвера по подразбиране с помощта на ключ от системния регистър

Можете да промените това поведение по подразбиране с помощта на ключа от системния регистър в таблицата по-долу. Бъдете обаче много внимателни, когато използвате стойност нула (0), тъй като това прави устройствата уязвими. Ако трябва да използвате стойността в системния регистър 0 във вашата среда, ви препоръчваме да я използвате временно, докато настройвате средата, за да позволите на Windows устройства да използват стойността на една (1).   

Местоположение в системния регистър

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Име на DWord

Ограничаване наDriverInstallationToAdministrators

Данни за стойността

Поведение по подразбиране: Задаването на тази стойност на 1или ако ключът не е дефиниран или не е наличен, ще изисква администраторска привилегия да инсталира всеки драйвер на принтера, когато използвате "Точка" и "Печат". Този ключ от системния регистър ще замести всички настройки на груповите правила за ограничения за пункт и печат и ще гарантира, че само администраторите могат да инсталират драйвери за принтер от сървър за печат с помощта на "Точка" и "Печат".

Задаването на стойност 0 позволява на не администраторите да инсталират подписани и неподписани драйвери на сървър за печат, но не замества настройките на груповите правила "Точка" и "Печат". Следователно настройките на груповите правила "Ограничения на пункта и печата" могат да заместят тази настройка на ключ от системния регистър, за да попречат на не администраторите да инсталират подписани и неподписани драйвери за печат от сървър за печат. Някои администратори може да зададете стойността на 0, за да позволят на не администраторите да инсталират и актуализират драйвери след добавяне на допълнителни ограничения, включително добавяне на настройка на правила, която ограничава мястото, от което могат да се инсталират драйвери.

Важно Няма комбинация от предпазни мерки, които са еквивалентни на задаването на RestrictDriverInstallationToAdministrators на 1.

Забележка Актуализациите, издадени на 6 юли 2021 г. или по-нови, имат по подразбиране 0 (забранено) до инсталирането на актуализации, издадени на 10 август 2021 г. или по-нова версия.  Актуализациите, издадени на 10 август 2021 г. или по-нова версия, имат стойност по подразбиране 1 (разрешена).

Изисквания за рестартиране

Не се изисква рестартиране при създаване или промяна на тази стойност в системния регистър.

Забележка Windows актуализации няма да задават или променят ключа от системния регистър. Можете да зададете ключа от системния регистър преди или след инсталирането на актуализации, издадени на 10 август 2021 г. или по-нова версия.

Автоматизиране на добавянето на стойност в системния регистър RestrictDriverInstallationToAdministrators

За да автоматизирате добавянето на стойността в системния регистър RestrictDriverInstallationToAdministrators, изпълнете следните стъпки:

  1. Отворете прозорец на команден прозорец (cmd.exe) с повишени разрешения.

  2. Въведете следната команда и след това натиснете Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Задаване на restrictDriverInstallationToAdministrators с помощта на групови правила

След инсталиране на актуализации, издадени на 12 октомври 2021 г. или по-нова версия, можете също да зададете RestrictDriverInstallationToAdministrators с помощта на групови правила, като използвате следните инструкции:

  1. Отворете инструмента за редактор на групови правила и отидете на Компютърна конфигурация> Административни шаблони> Принтери. 

  2. Задайте настройката Ограничения на драйвера за печат на администраторите на "Разрешено". Това ще зададете стойността в системния регистър на RestrictDriverInstallationToAdministrators на 1.

Инсталиране на драйвери за печат при прилагане на новата настройка по подразбиране

Ако сте задали RestrictDriverInstallationToAdministrators като не дефинирани или 1, в зависимост от вашата среда, потребителите трябва да използват един от следните методи за инсталиране на принтери:

  • Въведете потребителско име и парола на администратор, когато получите подкана за идентификационни данни, когато се опитвате да инсталирате драйвер за принтер.

  • Включете необходимите драйвери за принтера в изображението на операционната система.

  • Временно задайте RestrictDriverInstallationToAdministrators на 0, за да инсталирате драйвери за принтер.

Забележка Ако не можете да инсталирате драйвери за принтери дори с права на администратор, трябва да забраните груповите правила само за използване на пакетна точка и печат.

Препоръчителни настройки и частични предпазни мерки за среди, които не могат да използват поведението по подразбиране

Следващите предпазни мерки могат да помогнат за защита на всички среди, но особено ако трябва да зададете RestrictDriverInstallationToAdministrators на 0. Тези предпазни мерки не са насочени изцяло към уязвимостите в CVE-2021-34481.

Важно Няма комбинация от предпазни мерки, които са еквивалентни на задаването на RestrictDriverInstallationToAdministrators на 1.

Уверете се, че RpcAuthnLevelPrivacyEnabled е зададено на 1 или не е дефинирано

Уверете се, че RpcAuthnLevelPrivacyEnabled е настроено на 1 или не е дефинирано, както е описано в Управление на разполагането на RPC промени за обвързване на принтера за CVE-2021-1678 (KB4599464).

Уверете се, че подканите за защита са разрешени за "Точка" и "Печат"

Уверете се, че подканите за защита са разрешени за "Точка" и "Печат", както е описано в KB5005010: Ограничаване на инсталирането на нови драйвери за принтери след прилагане на актуализациите от 6 юли 2021 г

Позволяване на потребителите да се свързват само към определени сървъри за печат, на които имате доверие

Тези правила, ограничения за пункт и печат, се прилагат за принтери с пункт и печат, като се използва драйвер, който не е с информация за пакета на сървъра. 

Използвайте следните стъпки:

  1. Отворете конзолата за управление на групови правила (GPMC).

  2. В дървото на конзолата GPMC отидете на домейна или организационната единица (OU), която съхранява потребителските акаунти, за които искате да промените настройките за защита на драйвера на принтера.

  3. Щракнете с десния бутон върху съответния домейн или OU и щракнете върху Създаване на GPO в този домейн и го свържете тук.Въведете име за новия обект с групови правила (GPO) и след това щракнете върху OK.

  4. Щракнете с десния бутон върху GPO, който сте създали, и след това щракнете върху Редактиране.

  5. В прозореца Редактор на управление на групови правила щракнете върху Компютърнаконфигурация, правила, административни шаблони и след това щракнете върху Принтери.

  6. Щракнете с десния бутон върху Ограничения за пункт и печат и след това щракнете върху Редактиране.

  7. В диалоговия прозорец Ограничения за точка и печат щракнете върху Разрешено.

  8. Изберете квадратчето за отметка Потребители може да сочи и отпечатва само към тези сървъри, ако не е вече избрано.

  9. Въведете имената на сървърите с пълна квалификация. Разделете всяко име с помощта на точка и запетая (;).

    Забележка След инсталиране на актуализации, издадени на 21 септември 2021 г. или по-нова версия, можете да конфигурирате тези групови правила с точка или точка (.) РАЗДЕЛИМИТЕ IP адреси са взаимозаменяеми с напълно квалифицирани имена на хостове.

  10. В полето При инсталиране на драйвери за нова връзка изберете Показване на предупреждение и повишена подкана.

  11. В полето Когато актуализирате драйверите за съществуваща връзка , изберете Показване на предупреждение и подкана с повишени права.

  12. Щракнете върху OK.

Позволяване на потребителите да се свързват само към определени сървъри за пакетна точка и печат, на които имате доверие

Тези правила, пакетна точка и печат – одобрени сървъри, ще ограничат поведението на клиента, така че да позволяват само връзки с пункт и печат до определени сървъри, които използват драйвери, които са осведомени за пакета.

Използвайте следните стъпки:

  1. В домейновия контролер изберете Старт, изберете Административни инструменти и след това изберете Управление на групови правила. Като алтернатива изберете Старт, изберете Изпълнение, въведете GPMC.MSC и след това натиснете Enter.

  2. Разгънете гората и след това разгънете домейните.

  3. Под вашия домейн изберете ОЕ, където искате да създадете тези правила.

  4. Щракнете с десния бутон върху ОЕ и след това изберете Създаване на GPO в този домейн и го свържете тук.

  5. Дайте име на GPO и след това изберете OK.

  6. Щракнете с десния бутон върху новосъздадения обект с групови правила и след това изберете Редактиране, за да отворите редактора за управление на групови правила.

  7. В редактора за управление на групови правила разгънете следните папки:

    1. Компютърна конфигурация

    2. Правила

    3. Административни шаблони

    4. Локални компютърни полици

    5. „USB принтери”,

  8. Разрешаване на пакетна точка и печат – одобрени сървъри и изберете бутона Покажи... .

  9. Въведете имената на сървърите с пълна квалификация. Разделете всяко име с помощта на точка и запетая (;).

    Забележка След инсталиране на актуализации, издадени на 21 септември 2021 г. или по-нова версия, можете да конфигурирате тези групови правила с точка или точка (.) РАЗДЕЛИМИТЕ IP адреси са взаимозаменяеми с напълно квалифицирани имена на хостове.

Често задавани въпроси

В1: Всеки път, когато се опитам да отпечатам, получавам подкана, казвайки "Доверявате ли се на този принтер", и изисква идентификационни данни на администратор, за да продължите.  Очаква ли се това?

A1:Подканата за всяко задание за печат не се очаква. По-голямата част от средите или устройствата, които изпитват този проблем, ще бъдат решени чрез инсталиране на актуализации, издадени на 12 октомври 2021 г. или по-нови.  Тези актуализации са насочени към проблем, свързан със сървърите за печат и клиентите за печат, които не са в една и съща часова зона. 

Ако все още имате този проблем, след като инсталирате актуализации, издадени на 12 октомври 2021 г. или по-нова версия, може да се наложи да се обърнете към производителя на принтера за актуализирани драйвери.  Този проблем може да възникне и когато драйвер за печат на клиента за печат и сървърът за печат използват същото име на файл, но сървърът има по-нова версия на файла на драйвера. Когато клиентът за печат се свърже със сървъра за печат, той намира по-нов файл на драйвера и се подканва да актуализира драйверите на клиента за печат. Обаче файлът в пакета, който се предлага за инсталиране, не включва по-новата версия на файла на драйвера. 

Сравняваните файлове са драйверите в папката с макара, обикновено в C:\Windows\System32\spool\drivers\x64\3 на клиента за печат и на сървъра за печат.  Драйверният пакет, който се предлага за инсталиране, обикновено ще бъде в C:\Windows\System32\spool\drivers\x64\PCC на сървъра за печат.  След като файловете в папката \3 се сравняват между устройствата, ако не съвпадат, пакетът в PCC се инсталира.  Ако файловете в папката \3 на сървъра за печат не са от същия драйвер за принтер, който PCC предлага на клиента, клиентът за печат ще сравни файловете и ще намери несъответствието всеки път, когато се отпечата. 

За да намалите този проблем, проверете дали използвате най-новите драйвери за всички устройства за печат.  Когато е възможно, използвайте същата версия на драйвера за печат на клиента за печат и сървъра за печат. Ако актуализирането на драйвери във вашата среда не разреши проблема, се обърнете към поддръжката за производителя на вашия принтер (OEM).

В2: Инсталирах актуализации, издадени на 14 септември 2021 г., и някои Windows устройства не могат да се отпечатат на мрежови принтери.  Има ли поръчка, която трябва да инсталирам на актуализации на клиенти за печат и сървъри за печат?

О2: Преди да инсталират актуализации, издадени на 14 септември 2021 г. или по-нова версия на сървърите за печат, клиентите за печат трябва да имат инсталирани актуализации, издадени на 12 януари 2021 г. или по-нова версия. Windows няма да се отпечатат, ако не са инсталирали актуализация, издадена на 12 януари 2021 г. или по-нова версия. 

Забележка Не е необходимо да инсталирате по-стари актуализации и да инсталирате всяка актуализация след 12 януари 2021 г. на клиентите за печат.  Препоръчваме ви да инсталирате най-новата кумулативна актуализация както на клиенти, така и на сървъри.

Ресурси

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.