Kokkuvõte
Windows 10. augustil 2021 ja uuemas augustis välja antud värskenduste installimiseks on draiverite installimiseks vaikimisi vaja administraatoriõigusi. Muutsime vaikekäitumist, et tegeleda riskiga kõigis Windows seadmetes(sh seadmetes, mis ei kasuta funktsiooni Punkt ja Prindi või prindi). Lisateavet leiate teemast Vaikekäitumise muutmise osutamine ja printimine jaCVE-2021-34481.
Vaikimisi ei saa mitteadministraatori kasutajad ilma administraatori õiguste tõstmata punkti ja printimise funktsiooni abil enam järgmist teha.
-
Uute printerite installimine draiverite abil kaugarvutisse või serverisse
-
Olemasolevate printeridraiverite värskendamine kaugarvuti või -serveri draiverite abil
Märkus Kui te ei kasuta funktsiooni Point ja Print, ei tohiks see muudatus teid mõjutada ning see on pärast 10. augusti 2021 või uuema versiooni värskenduste installimist vaikimisi kaitstud.
Tähtis Kliente teie keskkonnas printimisel peab enne värskenduste installimist 14. septembril 2021 väljastama värskenduse 12. jaanuaril 2021 või uuemas versioonis. Lisateavet leiate allpool jaotisest "Korduma kippuvad küsimused", 2. küsimus.
Draiveri installimise vaikekäitumise muutmine registrivõtme abil
Seda vaikekäitumist saate muuta järgmises tabelis toodud registrivõtme abil. Kuid olge nulli (0) kasutamisel väga ettevaatlik, kuna see muudab seadmed haavatavaks. Kui peate oma keskkonnas kasutama registriväärtust 0, soovitame seda keskkonna kohandamise ajal ajutiselt kasutada, et Windows seadmetel kasutada ühe (1) väärtust.
Registri asukoht |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord name |
RestrictDriverInstallationToAdministrators |
Väärtuse andmed |
Vaikekäitumine: Kui määrate selle väärtuse väärtuseks 1või kui võtit pole määratletud või kui seda pole, on vaja administraatoriõigusi, et installida mis tahes printeridraiver, kui kasutate funktsiooni Point ja Print. See registrivõti alistab kõik punkti- ja prindipiirangute rühmapoliitika sätted ning tagab, et ainult administraatorid saavad printeridraiverid installida prindiserverist punkti ja printimise abil. Väärtuse 0 seadmine võimaldab mitteadministraatoritel installida allkirjastatud ja allkirjastamata draiverid prindiserverisse, kuid ei alista rühmapoliitika sätteid Punkt ja Printimine. Seetõttu saavad rühmapoliitika sätted Punkt- ja prindipiirangud selle registrivõtme sätte alistada, et mitteadministraatorid ei saaks prindiserverist allkirjastatud ja allkirjastamata prindidraivereid installida. Mõned administraatorid võivad määrata väärtuseks 0, et mitteadministraatorid saaksid pärast lisapiirangute lisamist installida ja värskendada draivereid (sh lisada poliitikasätte, mis piirab draiverite installimist). Tähtis Leevendamise kombinatsiooni, mis on võrdväärne sättega RestrictDriverInstallationToAdministrators (PiiraDriverInstallationToAdministrators) väärtuseks 1, pole. Märkus 6. juulil 2021 või uuemal juulil välja antud värskenduste vaikeväärtus on 0 (keelatud) kuni värskenduste installimiseni, mis anti välja 10. augustil 2021 või uuemal augustil. 10. augustil 2021 või uuemal augustil välja antud värskenduste vaikeväärtus on 1 (lubatud). |
Taaskäivitamisnõuded |
Selle registriväärtuse loomisel või muutmisel pole vaja taaskäivitada. |
Märkus Windows ei määra ega muuda registrivõtit. Saate määrata registrivõtme enne või pärast 10. augustil 2021 või uuemas augustis välja antud värskenduste installimist.
RestrictDriverInstallationToAdministrators registriväärtuse lisamise automatiseerimine
Registriväärtuse RestrictDriverInstallationToAdministrators lisamise automatiseerimiseks tehke järgmist.
-
Avage käsuviiba aken (cmd.exe) laiendatud õigustega.
-
Tippige järgmine käsk ja vajutage sisestusklahvi (Enter):
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Set RestrictDriverInstallationToAdministrators using Group Policy
Pärast 12. oktoobril 2021 või uuemas oktoobris välja antud värskenduste installimist saate rühmapoliitika abil määrata ka RestrictDriverInstallationToAdministrators, kasutades järgmisi juhiseid.
-
Avage rühmapoliitika redaktori tööriist ja avage arvuti konfigureerimine> Haldusmallid > Printerid.
-
Määrake sätte Piiranguprintimisdraiveri installimine sätteks Administraatorid sätteks "Enabled" (Lubatud). See seab RestrictDriverInstallationToAdministrators registriväärtuseks 1.
Prindidraiverite installimine uue vaikesätte jõustamisel
Kui määrate restrictDriverInstallationToAdministrators määratlemata või väärtuseks 1 (olenevalt teie keskkonnast), peavad kasutajad printerite installimiseks kasutama ühte järgmistest meetoditest.
-
Sisestage administraatori kasutajanimi ja parool, kui teilt küsitakse printeridraiveri installimisel identimisteavet.
-
Lisage OS-pildile vajalikud printeridraiverid.
-
Printeridraiverite installimiseks määrake restrictDriverInstallationToAdministrators ajutiselt väärtuseks 0.
Märkus Kui te ei saa printeridraivereid installida isegi administraatoriõigustega, peate keelama ainult paketipunkti ja prindi rühmapoliitika .
Soovitatavad sätted ja osaline leevendamine keskkondades, mis ei saa kasutada vaikekäitumist
Järgmised leevendused aitavad kaitsta kõiki keskkondi, kuid eriti siis, kui peate määrama restrictDriverInstallationToAdministrators väärtuseks 0. Need leevendamised ei lahenda täielikult CVE-2021-34481 haavatavusi.
Tähtis Leevendamise kombinatsiooni, mis on võrdväärne sättega RestrictDriverInstallationToAdministrators (PiiraDriverInstallationToAdministrators) väärtuseks 1, pole.
Veenduge, et RpcAuthnLevelPrivacyEnabled on seatud väärtusele 1 või pole määratletud
Veenduge, et RpcAuthnLevelPrivacyEnabled oleks määratud väärtuseks 1 või mitte, nagu on kirjeldatud artiklis Printeri RPC sidumismuudatuste haldamine CVE-2021-1678 jaoks (KB4599464).
Veenduge, et punkti- ja printimisviipade jaoks on lubatud turbeviipad.
Veenduge, et käsud Punkt ja Printimine on lubatud, nagu on kirjeldatud artiklis KB5005010: Uute printeridraiverite installimise piiramine pärast 6. juuli 2021 värskenduste rakendamist.
Luba kasutajatel luua ühendus ainult kindlate prindiserveritega, mida usaldate
See poliitika (punkt- ja printimispiirangud) kehtib printerite punkt- ja printimispiirangute kohta, kasutades serveris pakettideta draiverit.
Tehke järgmist.
-
Avage rühmapoliitika halduskonsool (GPMC).
-
Avage GPMC konsoolipuus domeen või organisatsiooniüksus (OU), mis talletab kasutajakontod, mille printeridraiveri turbesätteid soovite muuta.
-
Paremklõpsake sobivat domeeni või OU-d ja klõpsake käsku Loo selles domeenis GPO ja linkige see siin.Tippige uue rühmapoliitika objekti (GPO) nimi ja klõpsake siis nuppu OK.
-
Paremklõpsake loodud GPO-d ja seejärel klõpsake käsku Redigeeri.
-
Klõpsake aknas Group Policy Management Editor (Rühmapoliitika haldusredaktor) valikut Computer Configuration (Arvutikonfiguratsioon), klõpsake nuppu Policies (Poliitikad), käsku Administrative Templates (Haldusmallid) ja seejärel käsku Printers (Printerid).
-
Paremklõpsake käsku Osuta ja prindipiirangud ning seejärel klõpsake käsku Redigeeri.
-
Klõpsake dialoogiboksis Osutamis- ja printimispiirangud nuppu Lubatud.
-
Märkige ruut Kasutajad saavad neile serveritele osutada ja printida ainult siis, kui see pole veel valitud.
-
Sisestage täielikud serverinimed. Eraldage iga nimi semikooloniga (;).
Märkus Pärast 21. septembril 2021 või uuemas septembris välja antud värskenduste installimist saate selle rühmapoliitika konfigureerida perioodi või punkti (.) eraldajatega IP-aadressid vaheldumisi täielikult kvalifitseeritud hostinimedega.
-
Valige dialoogiboksis Uue ühenduse draiverite installimisel kuva hoiatus ja ülendatud viip.
-
Valige dialoogiboksis Olemasoleva ühenduse draiverite värskendamisel kuva hoiatus ja tõstetud viip.
-
Klõpsake nuppu OK.
Luba kasutajatel luua ühendus ainult kindlate pakettpunkti- ja prindiserveritega, mida usaldate
See poliitika, pakettpunkt ja printimine – kinnitatud serverid– piiravad kliendi käitumist, et lubada punkti- ja prindiühendused ainult määratletud serveritega, mis kasutavad paketiteadlikke draivereid.
Tehke järgmist.
-
Valige domeenikontrolleris Start, valige Haldusriistad ja seejärel rühmapoliitika haldus. Teise võimalusena valige Start, valige Käivita, tippige GPMC.MSC ja vajutage sisestusklahvi (Enter).
-
Laiendage metsa ja seejärel laiendage domeene.
-
Valige oma domeeni all OU, kus soovite selle poliitika luua.
-
Paremklõpsake OU-d ja seejärel valige Loo selles domeenis GPO ja linkige see siin.
-
Andke GPO-le nimi ja seejärel valige OK.
-
Paremklõpsake äsja loodud rühmapoliitika objekti ja seejärel klõpsake rühmapoliitika haldusredaktori avamiseks käsku Redigeeri.
-
Laiendage rühmapoliitika haldusredaktoris järgmisi kaustu.
-
Arvuti konfiguratsioon
-
Poliitikad
-
Haldusmallid
-
Kohalik arvutipolitsei
-
printerid
-
-
Luba pakettpunkt ja Prindi – kinnitatud serverid ja vali nupp Kuva... .
-
Sisestage täielikud serverinimed. Eraldage iga nimi semikooloniga (;).
Märkus Pärast 21. septembril 2021 või uuemas septembris välja antud värskenduste installimist saate selle rühmapoliitika konfigureerida perioodi või punkti (.) eraldajatega IP-aadressid vaheldumisi täielikult kvalifitseeritud hostinimedega.
Korduma kippuvad küsimused
1. küsimus. Iga kord, kui proovite printida, kuvatakse viip "Kas usaldate seda printerit", ja jätkamiseks on vaja administraatori identimisteavet. Kas see on oodatav?
A1:Iga prinditöö kohta küsimist ei eeldata. Enamik keskkondi või seadmeid, mis selle probleemiga kokku puutuvad, lahendatakse värskenduste installimisega, mis on välja antud 12. oktoobril 2021 või uuemates versioonides. Need värskendused lahendavad probleemi, mis on seotud serverite printimisega ja prindiklientidega, kes ei ole samas ajavööndis.
Kui probleem ilmneb ka pärast 12. oktoobril 2021 või uuemas oktoobris välja antud värskenduste installimist, peate võib-olla pöörduma värskendatud draiverite saamiseks printeri tootja poole. See probleem võib ilmneda ka siis, kui prindikliendi ja prindiserveri prindidraiver kasutab sama failinime, kuid serveris on draiverifaili uuem versioon. Kui prindiklient loob ühenduse prindiserveriga, leiab see uuema draiverifaili ja teil palutakse värskendada prindikliendi draivereid. Paketis pakutav fail ei sisalda siiski uuemat draiverifaili versiooni.
Võrreldavad failid on spuulikaustas olevad draiverid, tavaliselt nii prindikliendis kui ka prindiserveris C:\Windows\System32\spool\drivers\x64\3. Installiks pakutav draiveripakett on tavaliselt prindiserveris C:\Windows\System32\spool\drivers\x64\PCC. Kui kaustas \3 kaustu võrreldakse seadmete vahel, siis kui need ei vasta, installitakse PCC-s pakett. Kui prindiserveri kaustas \3 asuvad failid pole samast printeridraiverist, mida PCC kliendile pakub, võrdleb prindiklient faile ja leiab iga kord, kui see prinditakse, ebajärjekorras.
Probleemi lahendamiseks veenduge, et kasutate kõigi printimisseadmete jaoks uusimaid draivereid. Võimaluse korral kasutage prindikliendis ja prindiserveris sama prindidraiveri versiooni. Kui draiverite värskendamine teie keskkonnas probleemi ei lahenda, pöörduge printeri tootja (OEM) poole.
2. küsimus: installisin värskendused, mis anti välja 14. septembril 2021 ja mõned Windows ei saa võrguprinteritele printida. Kas on olemas tellimus, mille pean installima prindiklientidele ja prindiserveritele?
A2. Enne prindiserveritesse välja antud 14. septembril 2021 või uuemas septembris välja antud värskenduste installimist peavad prindikliendid olema installinud värskendused, mis on välja antud 12. jaanuaril 2021 või uuemates versioonides. Windows ei prindita, kui nad pole installinud värskendust, mis anti välja 12. jaanuaril 2021 või uuemas jaanuaris.
Märkus Te ei pea installima varasemaid värskendusi ja saate pärast 12. jaanuari 2021 installida mis tahes värskenduse klientklientidele. Soovitame installida uusima koondvärskenduse nii klient- kui ka serveritesse.