Oppsummering

Windows utgitt 10. august 2021 og nyere, vil som standard kreve administrativ tilgang for å installere drivere. Vi har gjort denne endringen i standard virkemåte for å håndtere risikoen på Windows enheter, inkludert enheter som ikke bruker Pek og skriv ut eller utskriftsfunksjonalitet. Hvis du vil ha mer informasjon, kan du se Pek og skriv ut standard virkemåteendring og BESKÅR-2021-34481.  

Som standard vil ikke-administratorbrukere lenger kunne gjøre følgende ved hjelp av Pek og skriv ut uten en rettighetsutvidelse til administrator:

  • Installere nye skrivere ved hjelp av drivere på en ekstern datamaskin eller server

  • Oppdatere eksisterende skriverdrivere ved hjelp av drivere fra ekstern datamaskin eller server

Obs!   Hvis du ikke bruker Pek og skriv ut, bør du ikke bli påvirket av denne endringen og vil være beskyttet som standard når du har installert oppdateringer utgitt 10. august 2021 eller nyere.

Viktig Utskriftsklienter i miljøet må ha en oppdatering utgitt 12. januar 2021 eller nyere før oppdateringene installeres 14. september 2021.  Se Q2 i Vanlige spørsmål nedenfor hvis du vil ha mer informasjon.

Endre virkemåten for standard driverinstallasjon ved hjelp av en registernøkkel

Du kan endre denne standard virkemåten ved hjelp av registernøkkelen i tabellen nedenfor. Vær imidlertid svært forsiktig når du bruker en verdi på null (0), fordi dette gjør enheter sårbare. Hvis du må bruke registerverdien på 0 i miljøet, anbefaler vi at du bruker det midlertidig mens du justerer miljøet slik at Windows-enheter kan bruke verdien til én (1).   

Registerplassering

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord-navn

RestrictDriverInstallationToAdministrators

Verdidata

Standard virkemåte: Hvis du angir denne verdien til 1 , eller hvis nøkkelen ikke er definert eller ikke finnes, kreves administratorrettigheter for å installere en skriverdriver når du bruker Pek og Skriv ut. Denne registernøkkelen overstyrer alle gruppepolicyinnstillinger for punkt- og utskriftsbegrensninger og sikrer at bare administratorer kan installere skriverdrivere fra en utskriftsserver ved hjelp av Pek og Skriv ut.

Hvis du angir verdien til 0 , kan ikke administratorer installere signerte og usignerte drivere på en utskriftsserver, men overstyrer ikke innstillingene for pek og skriv ut gruppepolicy. Gruppepolicyinnstillingene for punkt- og utskriftsbegrensninger kan derfor overstyre denne registernøkkelinnstillingen for å hindre at ikke-administratorer installerer signerte og usignerte skriverdrivere fra en utskriftsserver. Noen administratorer kan angi verdien til 0 slik at ikke-administratorer kan installere og oppdatere drivere etter at de har lagt til flere begrensninger, inkludert å legge til en policyinnstilling som begrenser hvor drivere kan installeres fra.

Viktig Det finnes ingen kombinasjon av begrensninger som tilsvarer å angi RestrictDriverInstallationToAdministrators til 1.

Obs!   Oppdateringer utgitt 6. juli 2021 eller nyere har en standardverdi på 0 (deaktivert) til installasjonen av oppdateringer utgitt 10. august 2021 eller nyere.  Oppdateringer utgitt 10. august 2021 eller nyere har standardverdien 1 (aktivert).

Omstartskrav

Ingen omstart er nødvendig når du oppretter eller endrer denne registerverdien.

Obs! Windows oppdateringer vil ikke angi eller endre registernøkkelen. Du kan angi registernøkkelen før eller etter at du har installert oppdateringer utgitt 10. august 2021 eller nyere.

Automatisere tilleggingen av registerverdien RestrictDriverInstallationToAdministrators

Følg disse trinnene for å automatisere tilleggingen av registerverdien RestrictDriverInstallationToAdministrators:

  1. Åpne et ledetekstvindu (cmd.exe) med utvidede tillatelser.

  2. Skriv inn følgende kommando, og trykk deretter ENTER:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Angi RestrictDriverInstallationToAdministrators ved hjelp av gruppepolicy

Når du har installert oppdateringer utgitt 12. oktober 2021 eller nyere, kan du også angi RestrictDriverInstallationToAdministrators ved hjelp av en gruppepolicy ved hjelp av følgende instruksjoner:

  1. Åpne redigeringsverktøyet for gruppepolicy, og gå til Datamaskinkonfigurasjon > Administrative maler> Skrivere. 

  2. Sett innstillingen Grenser for installasjon av skriverdriver til Administrator-innstillingen til Aktivert. Dette setter registerverdien for RestrictDriverInstallationToAdministrators til 1.

Installere skriverdrivere når den nye standardinnstillingen håndheves

Hvis du angir RestrictDriverInstallationToAdministrators som ikke definert eller til 1, avhengig av miljøet, må brukerne bruke en av følgende metoder for å installere skrivere:

  • Angi et administratornavn og passord når du blir bedt om legitimasjon når du prøver å installere en skriverdriver.

  • Inkluder de nødvendige skriverdriverne i OS-bildet.

  • Sett RestrictDriverInstallationToAdministrators midlertidig til 0 for å installere skriverdrivere.

Obs! Hvis du ikke kan installere skriverdrivere, selv med administratorrettigheter, må du deaktivere gruppepolicyen Bare bruk Pakkepunkt og Skriv ut .

Anbefalte innstillinger og delvise reduksjoner for miljøer som ikke kan bruke standard virkemåte

Følgende begrensninger kan bidra til å sikre alle miljøer, men spesielt hvis du må angi RestrictDriverInstallationToAdministrators til 0. Disse begrensningene løser ikke helt sikkerhetsproblemene i CVE-2021-34481.

Viktig Det finnes ingen kombinasjon av begrensninger som tilsvarer å angi RestrictDriverInstallationToAdministrators til 1.

Kontroller at RpcAuthnLevelPrivacyEnabled er satt til 1 eller ikke definert

Kontroller at RpcAuthnLevelPrivacyEnabled er satt til 1 eller ikke definert som beskrevet i Administrere distribusjon av rpc-bindingsendringer for printer for RPC-2021-1678 (KB4599464).

Kontroller at sikkerhetsledetekster er aktivert for Pek og Skriv ut

Kontroller at sikkerhetsledetekster er aktivert for Pek og Skriv ut som beskrevet i KB5005010: Begrense installasjonen av nye skriverdrivere etter bruk av oppdateringene 6. juli 2021. 

Tillat brukere å bare koble til bestemte utskriftsservere som du stoler på

Denne policyen, Begrensninger for pek og skriv ut, gjelder for pek- og skrive utskrivere ved hjelp av en driver som ikke er klar over pakken, på serveren. 

Bruk følgende fremgangsmåte:

  1. Åpne konsollen for gruppepolicybehandling (GPMC).

  2. Gå til domenet eller organisasjonsenheten (OU) som lagrer brukerkontoene du vil endre sikkerhetsinnstillingene for skriverdriveren for, i konsolltreet for GPMC.

  3. Høyreklikk det aktuelle domenet eller organisasjonsenheten, og klikk Opprett et gruppepolicyobjekt i dette domenet, og koble det her.Skriv inn et navn for det nye gruppepolicyobjektet (GPO), og klikk deretter OK.

  4. Høyreklikk gruppepolicyobjektet du opprettet, og klikk deretter Rediger.

  5. Klikk Datamaskinkonfigurasjon i vinduet Redigeringsprogram for gruppepolicybehandling , klikk Policyer ,klikk Administrative maler, og klikk deretter Skrivere.

  6. Høyreklikk på Begrensninger for pek og skriv ut, og klikk deretter Rediger.

  7. Klikk Aktivert i dialogboksen Begrensninger for pek og skriv ut.

  8. Merk av for Brukere kan bare peke og skrive ut til disse serverne hvis det ikke allerede er valgt.

  9. Skriv inn de fullstendige servernavnene. Skill hvert navn ved hjelp av et semikolon (;).

    Obs!   Når du har installert oppdateringer utgitt 21. september 2021 eller nyere, kan du konfigurere denne gruppepolicyen med et punktum eller punktum (.) IP-adresser med skilletegn om hverandre med fullstendige vertsnavn.

  10. Velg Vis advarsel og Forhøyet ledetekst i boksen Når du installerer drivere for en ny tilkobling.

  11. Velg Vis advarsel og Forhøyet ledetekst i boksen Når du oppdaterer drivere for en eksisterende tilkobling.

  12. Klikk OK.

Tillat brukere å bare koble til bestemte pakkepunkt- og utskriftsservere som du stoler på

Denne policyen, Pakkepunkt og Skriv ut – godkjente servere, begrenser klientvirkemåten til bare å tillate Point- og Print-tilkoblinger til definerte servere som bruker pakkebevisste drivere.

Bruk følgende fremgangsmåte:

  1. Velg Start på domenekontrolleren, velg Administrative verktøy, og velg deretter Gruppepolicybehandling. Alternativt kan du velge Start, kjøre, skrive inn GPMC.MSC, og deretter trykke ENTER.

  2. Utvid skogen, og utvid deretter domenene.

  3. Velg organisasjonsenheten der du vil opprette denne policyen, under domenet.

  4. Høyreklikk organisasjonsenheten, og velg deretter Opprett et gruppepolicyobjekt i dette domenet, og koble det her.

  5. Gi gruppepolicyobjektet et navn, og velg deretter OK.

  6. Høyreklikk det nylig opprettede gruppepolicyobjektet, og velg deretter Rediger for å åpne redigeringsprogrammet for gruppepolicybehandling.

  7. Utvid følgende mapper i redigeringsprogrammet for gruppepolicybehandling:

    1. Datamaskinkonfigurasjon

    2. Policyer

    3. Administrative maler

    4. Lokale datamaskin-politi

    5. Skrivere

  8. Aktiver Pakkepunkt og Skriv ut – Godkjente servere, og velg Vis...-knappen.

  9. Skriv inn de fullstendige servernavnene. Skill hvert navn ved hjelp av et semikolon (;).

    Obs!   Når du har installert oppdateringer utgitt 21. september 2021 eller nyere, kan du konfigurere denne gruppepolicyen med et punktum eller punktum (.) IP-adresser med skilletegn om hverandre med fullstendige vertsnavn.

Vanlige spørsmål

Spørsmål 1: Hver gang jeg prøver å skrive ut, får jeg en melding som sier «Klarer du denne skriveren», og det kreves administratorlegitimasjon for å fortsette.  Er dette forventet?

A1:Det er ikke forventet å bli bedt om hver utskriftsjobb. De fleste miljøer eller enheter som opplever dette problemet, løses ved å installere oppdateringer utgitt 12. oktober 2021 eller nyere.  Disse oppdateringene løser et problem som er relatert til utskriftsservere og utskriftsklienter som ikke er i samme tidssone. 

Hvis du fremdeles har dette problemet etter at du har installert oppdateringer utgitt 12. oktober 2021 eller nyere, må du kanskje kontakte skriverprodusenten for å få oppdaterte drivere.  Dette problemet kan også oppstå når en skriverdriver på utskriftsklienten og utskriftsserveren bruker samme filnavn, men serveren har en nyere versjon av driverfilen. Når utskriftsklienten kobler til utskriftsserveren, finner den en nyere driverfil og blir bedt om å oppdatere driverne på utskriftsklienten. Filen i pakken den tilbys for installasjon, inkluderer imidlertid ikke den nyere driverfilversjonen. 

Filene som sammenlignes, er driverne i utskriftskømappen, vanligvis i C:\Windows\System32\spool\drivers\x64\3 på både utskriftsklienten og utskriftsserveren.  Driverpakken som tilbys for installasjon, vil vanligvis være i C:\Windows\System32\spool\drivers\x64\PCC på utskriftsserveren.  Når filene i \3-mappen sammenlignes mellom enheter, installeres pakken i PCC hvis de ikke samsvarer.  Hvis filene i \ 3-mappen på utskriftsserveren ikke er fra den samme skriverdriveren som PCC tilbyr til klienten, sammenligner utskriftsklienten filene og finner uoverensstemmelsen hver gang den skrives ut. 

Hvis du vil redusere dette problemet, må du kontrollere at du bruker de nyeste driverne for alle utskriftsenhetene.  Bruk den samme versjonen av skriverdriveren på utskriftsklienten og utskriftsserveren der det er mulig. Hvis oppdatering av drivere i miljøet ikke løser problemet, kan du kontakte kundestøtte for skriverprodusenten (OEM).

Spørsmål 2: Jeg installerte oppdateringer utgitt 14. september 2021, og noen Windows enheter kan ikke skrive ut til nettverksskrivere.  Er det en bestilling jeg trenger for å installere oppdateringer på utskriftsklienter og utskriftsservere?

A2: Før oppdateringer ble utgitt 14. september 2021 eller nyere på utskriftsservere, må utskriftsklienter ha installert oppdateringer utgitt 12. januar 2021 eller nyere. Windows enheter skrives ikke ut hvis de ikke har installert en oppdatering utgitt 12. januar 2021 eller nyere. 

Obs!   Du trenger ikke å installere tidligere oppdateringer og kan installere en oppdatering etter 12. januar 2021 på utskriftsklienter.  Vi anbefaler at du installerer den nyeste kumulative oppdateringen på både klienter og servere.

Ressurser

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.