Resumo
Windows as atualizações lançadas a 10 de agosto de 2021 e posteriores exigem, por predefinição, privilégio administrativo para instalar controldores. Fizemos esta alteração no comportamento predefinido para abordar o risco em todos os Windows dispositivos, incluindo dispositivos que não utilizam a funcionalidade Apontar e Imprimir ou imprimir. Para obter mais informações, consulte o artigo Alteração do Comportamento Predefinido de Ponto e Impressão e CVE-2021-34481.
Por predefinição, os utilizadores que não sejam administradores deixarão de poder fazer o seguinte utilizando a opção Apontar e Imprimir sem um elevado privilégio ao administrador:
-
Instalar novas impressoras através de controladores num computador ou servidor remoto
-
Atualizar os controldores de impressora existentes com controldores do computador ou servidor remoto
Nota Se não estiver a utilizar a opção Apontar e Imprimir , não deverá ser afetado por esta alteração e estará protegido por predefinição após instalar as atualizações lançadas a 10 de agosto de 2021 ou posterior.
Importante A impressão de clientes no seu ambiente tem de ter uma atualização lançada a 12 de janeiro de 2021 ou posterior antes de instalar as atualizações, o lançamento de 14 de setembro de 2021. Consulte o T2 em "Perguntas mais frequentes" abaixo para obter mais informações.
Modificar o comportamento de instalação predefinido do controlador com uma chave de registo
Pode modificar este comportamento predefinido com a chave de registo na tabela abaixo. No entanto, tenha muito cuidado ao utilizar um valor de zero (0), uma vez que ao fazê-lo torna os dispositivos vulneráveis. Se tiver de utilizar o valor de registo de 0 no seu ambiente, recomendamos que o utilize temporariamente enquanto ajusta o seu ambiente para permitir que Windows dispositivos utilizem o valor de um (1).
Localização do registo |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Nome DWord |
RestrictDriverInstallationToAdministrators |
Dados de valor |
Comportamento predefinido: Definir este valor para 1 ou se a chave não estiver definida ou não estiver presente, irá necessitar de privilégio de administrador para instalar qualquer controlador de impressora ao utilizar o Ponto e Imprimir. Esta chave de registo irá sobrepô-la a todas as definições da Política de Grupo de Restrições de Pontos e Restrições de Impressão e assegura que apenas os administradores podem instalar controladores de impressora a partir de um servidor de impressão através de Um Ponto e de Uma Impressão. Definir o valor para 0 permite que os não administradores instalem controladores assinados e não assinados num servidor de impressão, mas não sobrecarrega as definições Apontar e Imprimir Política de Grupo. Consequentemente, as definições da Política de Grupo de Restrições de Ponto e Impressão podem sobrecarregar esta definição de chave de registo para impedir que os não administradores instalem controladores de impressão assinados e não assinados de um servidor de impressão. Alguns administradores podem definir o valor para 0 para permitir que os controladores que não sejam administradores instalem e atualizem controladores após adicionarem restrições adicionais, incluindo adicionar uma definição de política que restrinda a partir da qual os controladores podem ser instalados. Importante Não existe nenhuma combinação de mitigações que equivale a definir RestrictDriverInstallationToAdministrators para 1. Nota As atualizações lançadas a 6 de julho de 2021 ou posterior têm a predefinição 0 (desativada) até à instalação das atualizações lançadas a 10 de agosto de 2021 ou posterior. As atualizações lançadas a 10 de agosto de 2021 ou posterior têm a predefinição 1 (ativada). |
Requisitos de reinício |
Não é necessário reiniciar ao criar ou modificar este valor de registo. |
Nota Windows atualizações não definirão nem alterarão a chave de registo. Pode definir a chave de registo antes ou depois de instalar as atualizações lançadas a 10 de agosto de 2021 ou posterior.
Automatizar a adição de valor de registo RestrictDriverInstallationToAdministrators
Para automatizar a adição do valor de registo RestrictDriverInstallationToAdministrators, siga estes passos:
-
Abra uma janela de Pedido de Comando (cmd.exe) com permissões elevadas.
-
Escreva o seguinte comando e, em seguida, prima Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Definir RestrictDriverInstallationToAdministrators através da Política de Grupo
Após instalar as atualizações lançadas a 12 de outubro de 2021 ou posterior, também pode definir RestrictDriverInstallationToAdministrators através de uma Política de Grupo, ao seguir as seguintes instruções:
-
Abra a ferramenta editor de política de grupo e vá para Configuração do computador> Modelos Administrativos> Impressoras.
-
Defina a definição Limites de instalação do controlador de impressão para Administradores como "Ativado". Esta ação irá definir o valor de registo de RestrictDriverInstallationToAdministrators para 1.
Instalar controldores de impressão quando a nova predefinição for imposta
Se definir RestrictDriverInstallationToAdministrators como não definido ou para 1, dependendo do seu ambiente, os utilizadores têm de utilizar um dos seguintes métodos para instalar impressoras:
-
Forneça um nome de utilizador e palavra-passe de administrador quando lhe for pedido as credenciais ao tentar instalar um controlador de impressora.
-
Inclua os controldores de impressora necessários na imagem do SO.
-
Defina temporariamente RestrictDriverInstallationToAdministrators para 0 para instalar controladores de impressora.
Nota Se não conseguir instalar controldores de impressora, mesmo com privilégio de administrador, tem de desativar a Política de Grupo Utilizar Apenas o Ponto de Pacote e Imprimir.
Definições recomendadas e mitigações parciais para ambientes que não podem utilizar o comportamento predefinido
As seguintes mitigações podem ajudar a proteger todos os ambientes, mas especialmente se tiver de definir RestrictDriverInstallationToAdministrators para 0. Estas mitigações não abordam completamente as vulnerabilidades do CVE-2021-34481.
Importante Não existe nenhuma combinação de mitigações que equivale a definir RestrictDriverInstallationToAdministrators para 1.
Verificar se rpcAuthnLevelPrivacyEnabled está definido como 1 ou não definido
Verifique se rpcAuthnLevelPrivacyEnabled está definido como 1 ou não definido conforme descrito em Gerir a implementação de alterações de encadernação RPC da Impressora para CVE-2021-1678 (KB4599464).
Verificar se os Pedidos de Segurança estão ativados para Imprimir e Apontar
Verifique se os Pedidos de Segurança estão ativados para Apontar e Imprimir conforme descrito em KB5005010: restringir a instalação de novos controldores de impressora após aplicar as atualizações de 6 de julho de 2021.
Permitir que os utilizadores se liguem apenas a servidores de impressão específicos fiddificáveis
Esta política, Aponte e Imprima Restrições, aplica-se a impressoras Point e Print com um controlador que não tenha conhecimento da embalagem no servidor.
Utilize os seguintes passos:
-
Abra a Consola de Gestão da Política de Grupo (GPMC).
-
Na árvore da consola GPMC, vá para o domínio ou unidade organizacional (OU) que armazena as contas de utilizador para as quais pretende modificar as definições de segurança do controlador de impressora.
-
Clique com o botão direito do rato no domínio ou OU adequado e clique em Criar um GPO neste domínio e Ligue-o aqui.Escreva um nome para o novo Objeto da Política de Grupo (GPO) e, em seguida, clique em OK.
-
Clique com o botão direito do rato no GPO que criou e, em seguida, clique em Editar.
-
Na janela Editor de Gestão de Políticas de Grupo, clique em Configuração do Computador, clique em Políticas, clique em Modelos Administrativos e, em seguida, clique em Impressoras.
-
Clique com o botão direito do rato em Restrições de Ponto e Impressão e, em seguida, clique em Editar.
-
Na caixa de diálogo Restrições de Ponto e Impressão , clique em Ativado.
-
Selecione a caixa de verificação Os utilizadores só podem apontar e imprimir para estes servidores se ainda não estiver selecionada.
-
Introduza os nomes dos servidores completamente qualificados. Separe cada nome com um e vírgula (;).
Nota Após instalar as atualizações lançadas a 21 de setembro de 2021 ou posterior, pode configurar esta política de grupo com um ponto final (.) os endereços IP delimitados têm nomes de anfitrião completamente qualificados.
-
Na caixa Ao instalar controldores para uma nova ligação , selecione Mostrar aviso e Aviso Elevado.
-
Na caixa Ao atualizar os controldores de uma ligação existente , selecione Mostrar aviso e Aviso Elevado.
-
Clique em OK.
Permitir que os utilizadores se liguem apenas a servidores de Impressão e Ponto de Pacote específicos fiddificáveis
Esta política, Pontos de Pacote e Imprimir - Servidores aprovados, irá restringir o comportamento de cliente de forma a permitir apenas ligações de Ponto e Impressão a servidores definidos que utilizem controldores com deteção de pacotes.
Utilize os seguintes passos:
-
No controlador de domínio, selecione Iniciar, selecione Ferramentas Administrativas e, em seguida, selecione Gestão da Política de Grupo. Em alternativa, selecione Iniciar, Executar, escreva GPMC.MSC e, em seguida, prima Enter.
-
Expanda a floresta e, em seguida, expanda os domínios.
-
No seu domínio, selecione o OU onde pretende criar esta política.
-
Clique com o botão direito do rato no OU e, em seguida, selecione Criar um GPO neste domínio e ligue-o aqui.
-
Dê um nome ao GPO e, em seguida, selecione OK.
-
Clique com o botão direito do rato no Objeto da Política de Grupo criado recém-criado e, em seguida, selecione Editar para abrir o Editor de Gestão da Política de Grupo.
-
No Editor de Gestão de Políticas de Grupo, expanda as seguintes pastas:
-
Configuração do Computador
-
Políticas
-
Modelos Administrativos
-
Deteção local de Computadores
-
Impressoras
-
-
Ativar o Ponto de Pacote e Imprimir - Servidores aprovados e selecione o botão Mostrar....
-
Introduza os nomes dos servidores completamente qualificados. Separe cada nome com um e vírgula (;).
Nota Após instalar as atualizações lançadas a 21 de setembro de 2021 ou posterior, pode configurar esta política de grupo com um ponto final (.) os endereços IP delimitados têm nomes de anfitrião completamente qualificados.
Perguntas mais frequentes
P1: Sempre que tento imprimir, recebo um aviso a dizer "Confia nesta impressora" e é necessário que as credenciais de administrador continuem. Isto é esperado?
A1:Não é esperado que lhe seja pedido para cada tarefa de impressão. A maioria dos ambientes ou dispositivos com este problema será resolvido ao instalar as atualizações lançadas a 12 de outubro de 2021 ou posterior. Estas atualizações abordam um problema relacionado com servidores de impressão e clientes de impressão que não estão no mesmo zona horário.
Se continuar a ter este problema após instalar as atualizações lançadas a 12 de outubro de 2021 ou posterior, poderá ter de contactar o fabricante da impressora para ter os controldores atualizados. Este problema também pode ocorrer quando um controlador de impressão no cliente de impressão e no servidor de impressão utilizam o mesmo nome de ficheiro, mas o servidor tem uma versão mais recente do ficheiro do controlador. Quando o cliente de impressão se liga ao servidor de impressão, encontra um ficheiro de controlador mais recente e é-lhe pedido para atualizar os controldores no cliente de impressão. No entanto, o ficheiro no pacote que está oferecido para instalação não inclui a versão mais recente do ficheiro do controlador.
Os ficheiros a serem comparados são os controldores na pasta spool, normalmente em C:\Windows\System32\spool\drivers\x64\3 no cliente de impressão e no servidor de impressão. O pacote de controladores a ser oferecido para instalação estará normalmente em C:\Windows\System32\spool\drivers\x64\PCC no servidor de impressão. Após comparar os ficheiros na pasta \3 entre dispositivos, se não corresponder, o pacote em PCC é instalado. Se os ficheiros na pasta \3 do servidor de impressão não fizerem parte do mesmo controlador de impressora que o PCC oferece ao cliente, o cliente de impressão irá comparar os ficheiros e encontrar o erro de impressão sempre que imprimir.
Para mitigar este problema, verifique se está a utilizar os controldores mais recentes para todos os seus dispositivos de impressão. Sempre que possível, utilize a mesma versão do controlador de impressão no cliente de impressão e no servidor de impressão. Se a atualização de controldores no seu ambiente não resolver o problema, contacte o suporte do fabricante da sua impressora (OEM).
P2: Instalei atualizações lançadas a 14 de setembro de 2021 e alguns dispositivos de Windows não conseguem imprimir em impressoras de rede. Preciso de instalar atualizações em clientes de impressão e servidores de impressão?
A2: Antes de instalar as atualizações lançadas a 14 de setembro de 2021 ou posterior nos servidores de impressão, os clientes de impressão têm de ter as atualizações instaladas lançadas a 12 de janeiro de 2021 ou posterior. Windows dispositivos não serão impressos se não tiver instalado uma atualização lançada a 12 de janeiro de 2021 ou posterior.
Nota Não precisa de instalar atualizações anteriores e pode instalar qualquer atualização após 12 de janeiro de 2021 para imprimir clientes. Recomendamos que instale a atualização cumulativa mais recente em clientes e servidores.