Sammendrag

Windows opdateringer, der er udgivet d. 10. august 2021 og nyere, kræver som standard administratorrettigheder at installere drivere. Vi har foretaget denne ændring i standardfunktionsmåden for at løse risikoen på alle Windows-enheder, herunder enheder, der ikke bruger punkt- og udskrifts- eller udskriftsfunktionalitet. Du kan finde flere oplysninger under Ændring af standardfunktionsmåden for punkt og udskrift samt CVE-2021-34481.  

Som standard kan brugere, som ikke er administratorer, ikke længere gøre følgende ved hjælp af Punkt og Udskriv uden at skulle tildele rettigheder til administratoren:

  • Installere nye printere ved hjælp af drivere på en fjerncomputer eller server

  • Opdater eksisterende printerdrivere ved hjælp af drivere fra fjerncomputeren eller serveren

Bemærk! Hvis du ikke bruger Point og Print, bør du ikke blive påvirket af denne ændring og vil være beskyttet som standard efter installation af opdateringer, der er udgivet d. 10. august 2021 eller nyere.

Vigtigt Udskrivning af klienter i dit miljø skal have en opdatering udgivet d. 12. januar 2021 eller nyere, før der installeres opdateringer, udgivet d. 14. september 2021.  Se Q2 i "Ofte stillede spørgsmål" nedenfor for at få flere oplysninger.

Rediger standardinstallationsfunktionsmåden for driveren ved hjælp af en registreringsdatabasenøgle

Du kan ændre denne standardfunktionsmåde ved hjælp af registreringsdatabasenøglen i tabellen nedenfor. Men vær meget forsigtig, når du bruger en værdi på nul (0), da det gør enhederne sårbar. Hvis du skal bruge registreringsdatabaseværdien 0 i dit miljø, anbefaler vi, at du bruger den midlertidigt, mens du justerer dit miljø for at tillade, at Windows-enheder bruger værdien af en (1).   

Placering af registreringsdatabasen

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord-navn

RestrictDriverInstallationToAdministrators

Værdidata

Standardfunktionsmåde: Hvis du angiver denne værdi til 1, eller hvis nøglen ikke er defineret eller ikke findes, kræver det administratorrettigheder at installere en printerdriver, når du bruger Punkt og Udskriv. Denne registreringsdatabasenøgle tilsidesætter alle punkt- og udskriftsbegrænsninger Gruppepolitik indstillingerne og sikrer, at det kun er administratorer, der kan installere printerdrivere fra en udskriftsserver ved hjælp af Punkt og Udskriv.

Hvis du angiver værdien til 0, kan ikke-administratorer installere signerede og usignerede drivere til en udskriftsserver, men tilsidesætter ikke punkt- og Gruppepolitik indstillingerne. Derfor kan indstillingen Punkt- og Gruppepolitik-indstillinger tilsidesætte denne registreringsdatabasenøgleindstilling for at forhindre, at ikke-administratorer installerer signerede og usignerede printerdrivere fra en udskriftsserver. Nogle administratorer kan angive værdien til 0 for at tillade, at ikke-administratorer installerer og opdaterer drivere efter at have tilføjet yderligere begrænsninger, herunder at tilføje en politikindstilling, der begrænser, hvor drivere kan installeres fra.

Vigtigt Der findes ingen kombination af afhjælpninger, der svarer til at indstille RestrictDriverInstallationToAdministrators til 1.

Bemærk! Opdateringer, der er udgivet d. 6. juli 2021 eller nyere, har som standard 0 (deaktiveret), indtil installationen af opdateringer udgivet d. 10. august 2021 eller nyere.  Opdateringer, der er udgivet d. 10. august 2021 eller nyere, har som standard 1 (aktiveret).

Krav til genstart

Du behøver ikke at genstarte, når du opretter eller ændrer denne registreringsdatabaseværdi.

Bemærk! Windows indstiller eller ændrer ikke registreringsdatabasenøglen. Du kan angive registreringsdatabasenøglen før eller efter installation af opdateringer, der udgives d. 10. august 2021 eller nyere.

Automatiser tilføjelsen af registreringsdatabaseværdien RestrictDriverInstallationToAdministrators

Hvis du vil automatisere tilføjelsen af registreringsdatabaseværdien RestrictDriverInstallationToAdministrators, skal du følge disse trin:

  1. Åbn et kommandopromptvindue (cmd.exe) med administratorrettigheder.

  2. Skriv følgende kommando, og tryk derefter på Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Angiv BegrænsInstallationTilAdministratorer med Gruppepolitik

Når du har installeret opdateringer, der er udgivet d. 12. oktober 2021 eller nyere, kan du også angive RestrictDriverInstallationToAdministrators ved hjælp af en Gruppepolitik ved at benytte følgende fremgangsmåde:

  1. Åbn redigeringsværktøjet til gruppepolitik, og gå til Computerkonfiguration > administrative skabeloner > printere. 

  2. Angiv begrænsninger for installation af udskriftsdriveren til Administratorers indstilling til "Aktiveret". Dette indstiller registreringsdatabaseværdien for RestrictDriverInstallationToAdministrators til 1.

Installér printerdrivere, når den nye standardindstilling gennemtvinges

Hvis du angiver RestrictDriverInstallationToAdministrators som ikke defineret eller til 1, afhængigt af dit miljø, skal brugerne bruge en af følgende metoder til at installere printere:

  • Angiv et administratornavn og en adgangskode, når du bliver bedt om legitimationsoplysninger, når du forsøger at installere en printerdriver.

  • Medtag de nødvendige printerdrivere i os-billedet.

  • Angiv midlertidigt RestrictDriverInstallationToAdministrators til 0 for at installere printerdrivere.

Bemærk! Hvis du ikke kan installere printerdrivere, selv med administratorrettigheder, skal du deaktivere funktionen Brug kun pakkepunkt og Gruppepolitik .

Anbefalede indstillinger og delvis afhjælpning af miljøer, der ikke kan bruge standardfunktionsmåden

Følgende afhjælpninger kan være med til at sikre alle miljøer, men især hvis du skal angive RestrictDriverInstallationToAdministrators til 0. Disse afhjælpninger adresserer ikke sårbarhederne i CVE-2021-34481 fuldstændigt.

Vigtigt Der findes ingen kombination af afhjælpninger, der svarer til at indstille RestrictDriverInstallationToAdministrators til 1.

Bekræft, at RpcAuthnLevelPrivacyEnabled er indstillet til 1 eller ikke er defineret

Bekræft, at RpcAuthnLevelPrivacyEnabled er indstillet til 1 eller ikke er defineret som beskrevet i Administration af ændringer i installation af Printer RPC-indbinding for CVE-2021-1678 (KB4599464).

Kontrollér, at sikkerhedsprompter er aktiveret for punkt og udskrift

Kontrollér, at Sikkerhedsprompter er aktiveret for Punkt og udskriv som beskrevet i KB5005010: Begrænsning af installationen af nye printerdrivere efter at have anvendt opdateringerne for d. 6. juli 2021. 

Tillad, at brugerne kun opretter forbindelse til bestemte udskriftsservere, som du har tillid til

Denne politik, Punkt- og Udskriftsbegrænsninger, gælder for punkt- og udskriftsprintere, der bruger en ikke-pakkeafhængig driver på serveren. 

Benyt følgende fremgangsmåde:

  1. Åbn Gruppepolitik (GPMC).

  2. I GPMC-konsoltræet skal du gå til det domæne eller den organisationsenhed, der gemmer de brugerkonti, du vil ændre sikkerhedsindstillingerne for printerdriveren for.

  3. Højreklik på det relevante domæne eller den korrekte OU, og klik på Opret et gruppepolitikobjekt til dette domæne, og sammenkæd det her.Skriv et navn til det nye Gruppepolitik objekt (gruppepolitikobjekt), og klik derefter på OK.

  4. Højreklik på det gruppepolitikobjekt, du har oprettet, og klik derefter på Rediger.

  5. Klik på Gruppepolitik, klik på Politikker i vinduet Administrationseditor, klikAdministrative skabeloner, og klik derefter på Printere.

  6. Højreklik på Punkt - og udskriftsbegrænsninger, og klik derefter på Rediger.

  7. I dialogboksen Punkt- og udskriftsbegrænsninger skal du klikke på Aktiveret.

  8. Markér afkrydsningsfeltet Brugere kan kun pege og udskrive på disse servere , hvis det ikke allerede er markeret.

  9. Angiv de fulde servernavne. Adskiv hvert navn med et semikolon (;).

    Bemærk! Når du har installeret opdateringer, der er udgivet d. 21. september 2021 eller nyere, kan du konfigurere denne gruppepolitik med et punktum (.) afgrænsede IP-adresser synonymt med fuldt kvalificerede værtsnavne.

  10. I feltet Ved installation af drivere til en ny forbindelse skal du vælge Vis advarsel og Administratorprompt.

  11. I feltet Ved opdatering af drivere til en eksisterende forbindelse skal du vælge Vis advarsel og Administratorprompt.

  12. Klik på OK.

Tillad, at brugerne kun opretter forbindelse til bestemte pakkepunkt- og udskriftsservere, du har tillid til

Denne politik, Pakkepunkt og Udskriv – godkendte servere, begrænser klientfunktionsmåden til kun at tillade punkt- og udskriftsforbindelser til definerede servere, der bruger pakkeafhængige drivere.

Benyt følgende fremgangsmåde:

  1. På domænecontrolleren skal du vælge Start, vælge Administrationsværktøjer og derefter Gruppepolitik Administration. Alternativt kan du vælge Start, vælge Kør, skrive GPMC.MSC og derefter trykke på Enter.

  2. Udvid skoven, og udvid derefter domænerne.

  3. Under dit domæne skal du vælge den OU, hvor du vil oprette denne politik.

  4. Højreklik på OU'en, og vælg derefter Opret et gruppepolitikobjekt til dette domæne, og sammenkæd det her.

  5. Giv gruppepolitikobjektet et navn, og vælg derefter OK.

  6. Højreklik på den nyoprettede Gruppepolitik, og vælg derefter Rediger for at åbne Gruppepolitik Management Editor.

  7. I Gruppepolitik Administration skal du udvide følgende mapper:

    1. Computerkonfiguration

    2. Politikker

    3. Administrative skabeloner

    4. Lokale computerpolitik

    5. Printere

  8. Aktivér Pakkepunkt og Udskriv – godkendte servere, og vælg knappen Vis....

  9. Angiv de fulde servernavne. Adskiv hvert navn med et semikolon (;).

    Bemærk! Når du har installeret opdateringer, der er udgivet d. 21. september 2021 eller nyere, kan du konfigurere denne gruppepolitik med et punktum (.) afgrænsede IP-adresser synonymt med fuldt kvalificerede værtsnavne.

Ofte stillede spørgsmål

SP1: Hver gang jeg forsøger at udskrive, modtager jeg en meddelelse om, at "Hav tillid til denne printer", og den kræver administratorlegitimationsoplysninger for at fortsætte.  Forventes det?

A1:Det forventes ikke at blive bedt om at angive for hvert udskriftsjob. Størstedelen af miljøer eller enheder, der oplever dette problem, vil blive løst ved at installere opdateringer, der er udgivet d. 12. oktober 2021 eller nyere.  Disse opdateringer afhjælper et problem, der er relateret til, at udskriftsservere og udskriftsklienter ikke findes i samme tidszone. 

Hvis du stadig har dette problem efter installation af opdateringer, der er udgivet d. 12. oktober 2021 eller nyere, skal du muligvis kontakte printerproducenten for at få opdaterede drivere.  Dette problem kan også opstå, når en udskriftsdriver på udskriftsklienten og udskriftsserveren bruger det samme filnavn, men serveren har en nyere version af driverfilen. Når udskriftsklienten opretter forbindelse til udskriftsserveren, finder den en nyere driverfil og bliver bedt om at opdatere driverne på udskriftsklienten. Men filen i pakken, den tilbydes til installation, omfatter ikke den nyere driverfilversion. 

De filer, der sammenlignes, er driverne i mappen spool, som regel i C:\Windows\System32\spool\drivers\x64\3 på både print client og print server.  Den driverpakke, der tilbydes til installation, er som regel i C:\Windows\System32\spool\drivers\x64\PCC på udskriftsserveren.  Når filerne i mappen \3 sammenlignes mellem enheder, installeres pakken i PCC , hvis de ikke stemmer overens.  Hvis filerne i printserverens \3-mappe ikke er fra den samme printerdriver, som PCC tilbyder klienten, sammenligner udskriftsklienten filerne og finder uoverensstemmelsen, hver gang den udskrives. 

For at afhjælpe dette problem skal du kontrollere, at du bruger de nyeste drivere til alle dine udskrivningsenheder.  Hvis det er muligt, skal du bruge den samme version af udskriftsdriveren på printklienten og udskriftsserveren. Hvis opdatering af drivere i dit miljø ikke løser problemet, skal du kontakte support til printerproducenten (OEM).

Sp2: Jeg installerede opdateringer, der blev udgivet d. 14. september 2021, og Windows enheder kan ikke udskrive på netværksprintere.  Er der en ordre, jeg har brug for til at installere opdateringer på udskriftsklienter og udskriftsservere?

A2: Før du installerer opdateringer udgivet d. 14. september 2021 eller nyere på udskriftsservere, skal udskriftsklienter have installeret opdateringer, der er udgivet 12. januar 2021 eller nyere. Windows-enheder udskrives ikke, hvis de ikke har installeret en opdatering, der er udgivet 12. januar 2021 eller nyere. 

Bemærk! Du behøver ikke at installere tidligere opdateringer og kan installere opdateringer efter den 12. januar 2021 på udskrivningsklienter.  Vi anbefaler, at du installerer den seneste kumulative opdatering på både klienter og servere.

Ressourcer

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.