Resumo

Windows as atualizações lançadas a 10 de agosto de 2021 e posteriores exigem, por predefinição, privilégio administrativo para instalar controldores. Fizemos esta alteração no comportamento predefinido para abordar o risco em todos os Windows dispositivos, incluindo dispositivos que não utilizam a funcionalidade Apontar e Imprimir ou imprimir. Para obter mais informações, consulte o artigo Alteração do Comportamento Predefinido de Ponto e Impressão e CVE-2021-34481.  

Por predefinição, os utilizadores que não sejam administradores deixarão de poder fazer o seguinte utilizando a opção Apontar e Imprimir sem um elevado privilégio ao administrador:

  • Instalar novas impressoras através de controladores num computador ou servidor remoto

  • Atualizar os controldores de impressora existentes com controldores do computador ou servidor remoto

Nota Se não estiver a utilizar a opção Apontar e Imprimir , não deverá ser afetado por esta alteração e estará protegido por predefinição após instalar as atualizações lançadas a 10 de agosto de 2021 ou posterior.

Importante A impressão de clientes no seu ambiente tem de ter uma atualização lançada a 12 de janeiro de 2021 ou posterior antes de instalar as atualizações, o lançamento de 14 de setembro de 2021.  Consulte o T2 em "Perguntas mais frequentes" abaixo para obter mais informações.

Modificar o comportamento de instalação predefinido do controlador com uma chave de registo

Pode modificar este comportamento predefinido com a chave de registo na tabela abaixo. No entanto, tenha muito cuidado ao utilizar um valor de zero (0), uma vez que ao fazê-lo torna os dispositivos vulneráveis. Se tiver de utilizar o valor de registo de 0 no seu ambiente, recomendamos que o utilize temporariamente enquanto ajusta o seu ambiente para permitir que Windows dispositivos utilizem o valor de um (1).   

Localização do registo

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Nome DWord

RestrictDriverInstallationToAdministrators

Dados de valor

Comportamento predefinido: Definir este valor para 1 ou se a chave não estiver definida ou não estiver presente, irá necessitar de privilégio de administrador para instalar qualquer controlador de impressora ao utilizar o Ponto e Imprimir. Esta chave de registo irá sobrepô-la a todas as definições da Política de Grupo de Restrições de Pontos e Restrições de Impressão e assegura que apenas os administradores podem instalar controladores de impressora a partir de um servidor de impressão através de Um Ponto e de Uma Impressão.

Definir o valor para 0 permite que os não administradores instalem controladores assinados e não assinados num servidor de impressão, mas não sobrecarrega as definições Apontar e Imprimir Política de Grupo. Consequentemente, as definições da Política de Grupo de Restrições de Ponto e Impressão podem sobrecarregar esta definição de chave de registo para impedir que os não administradores instalem controladores de impressão assinados e não assinados de um servidor de impressão. Alguns administradores podem definir o valor para 0 para permitir que os controladores que não sejam administradores instalem e atualizem controladores após adicionarem restrições adicionais, incluindo adicionar uma definição de política que restrinda a partir da qual os controladores podem ser instalados.

Importante Não existe nenhuma combinação de mitigações que equivale a definir RestrictDriverInstallationToAdministrators para 1.

Nota As atualizações lançadas a 6 de julho de 2021 ou posterior têm a predefinição 0 (desativada) até à instalação das atualizações lançadas a 10 de agosto de 2021 ou posterior.  As atualizações lançadas a 10 de agosto de 2021 ou posterior têm a predefinição 1 (ativada).

Requisitos de reinício

Não é necessário reiniciar ao criar ou modificar este valor de registo.

Nota Windows atualizações não definirão nem alterarão a chave de registo. Pode definir a chave de registo antes ou depois de instalar as atualizações lançadas a 10 de agosto de 2021 ou posterior.

Automatizar a adição de valor de registo RestrictDriverInstallationToAdministrators

Para automatizar a adição do valor de registo RestrictDriverInstallationToAdministrators, siga estes passos:

  1. Abra uma janela de Pedido de Comando (cmd.exe) com permissões elevadas.

  2. Escreva o seguinte comando e, em seguida, prima Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Definir RestrictDriverInstallationToAdministrators através da Política de Grupo

Após instalar as atualizações lançadas a 12 de outubro de 2021 ou posterior, também pode definir RestrictDriverInstallationToAdministrators através de uma Política de Grupo, ao seguir as seguintes instruções:

  1. Abra a ferramenta editor de política de grupo e vá para Configuração do computador> Modelos Administrativos> Impressoras. 

  2. Defina a definição Limites de instalação do controlador de impressão para Administradores como "Ativado". Esta ação irá definir o valor de registo de RestrictDriverInstallationToAdministrators para 1.

Instalar controldores de impressão quando a nova predefinição for imposta

Se definir RestrictDriverInstallationToAdministrators como não definido ou para 1, dependendo do seu ambiente, os utilizadores têm de utilizar um dos seguintes métodos para instalar impressoras:

  • Forneça um nome de utilizador e palavra-passe de administrador quando lhe for pedido as credenciais ao tentar instalar um controlador de impressora.

  • Inclua os controldores de impressora necessários na imagem do SO.

  • Defina temporariamente RestrictDriverInstallationToAdministrators para 0 para instalar controladores de impressora.

Nota Se não conseguir instalar controldores de impressora, mesmo com privilégio de administrador, tem de desativar a Política de Grupo Utilizar Apenas o Ponto de Pacote e Imprimir.

Definições recomendadas e mitigações parciais para ambientes que não podem utilizar o comportamento predefinido

As seguintes mitigações podem ajudar a proteger todos os ambientes, mas especialmente se tiver de definir RestrictDriverInstallationToAdministrators para 0. Estas mitigações não abordam completamente as vulnerabilidades do CVE-2021-34481.

Importante Não existe nenhuma combinação de mitigações que equivale a definir RestrictDriverInstallationToAdministrators para 1.

Verificar se rpcAuthnLevelPrivacyEnabled está definido como 1 ou não definido

Verifique se rpcAuthnLevelPrivacyEnabled está definido como 1 ou não definido conforme descrito em Gerir a implementação de alterações de encadernação RPC da Impressora para CVE-2021-1678 (KB4599464).

Verificar se os Pedidos de Segurança estão ativados para Imprimir e Apontar

Verifique se os Pedidos de Segurança estão ativados para Apontar e Imprimir conforme descrito em KB5005010: restringir a instalação de novos controldores de impressora após aplicar as atualizações de 6 de julho de 2021. 

Permitir que os utilizadores se liguem apenas a servidores de impressão específicos fiddificáveis

Esta política, Aponte e Imprima Restrições, aplica-se a impressoras Point e Print com um controlador que não tenha conhecimento da embalagem no servidor. 

Utilize os seguintes passos:

  1. Abra a Consola de Gestão da Política de Grupo (GPMC).

  2. Na árvore da consola GPMC, vá para o domínio ou unidade organizacional (OU) que armazena as contas de utilizador para as quais pretende modificar as definições de segurança do controlador de impressora.

  3. Clique com o botão direito do rato no domínio ou OU adequado e clique em Criar um GPO neste domínio e Ligue-o aqui.Escreva um nome para o novo Objeto da Política de Grupo (GPO) e, em seguida, clique em OK.

  4. Clique com o botão direito do rato no GPO que criou e, em seguida, clique em Editar.

  5. Na janela Editor de Gestão de Políticas de Grupo, clique em Configuração do Computador, clique em Políticas, clique em Modelos Administrativos e, em seguida, clique em Impressoras.

  6. Clique com o botão direito do rato em Restrições de Ponto e Impressão e, em seguida, clique em Editar.

  7. Na caixa de diálogo Restrições de Ponto e Impressão , clique em Ativado.

  8. Selecione a caixa de verificação Os utilizadores só podem apontar e imprimir para estes servidores se ainda não estiver selecionada.

  9. Introduza os nomes dos servidores completamente qualificados. Separe cada nome com um e vírgula (;).

    Nota Após instalar as atualizações lançadas a 21 de setembro de 2021 ou posterior, pode configurar esta política de grupo com um ponto final (.) os endereços IP delimitados têm nomes de anfitrião completamente qualificados.

  10. Na caixa Ao instalar controldores para uma nova ligação , selecione Mostrar aviso e Aviso Elevado.

  11. Na caixa Ao atualizar os controldores de uma ligação existente , selecione Mostrar aviso e Aviso Elevado.

  12. Clique em OK.

Permitir que os utilizadores se liguem apenas a servidores de Impressão e Ponto de Pacote específicos fiddificáveis

Esta política, Pontos de Pacote e Imprimir - Servidores aprovados, irá restringir o comportamento de cliente de forma a permitir apenas ligações de Ponto e Impressão a servidores definidos que utilizem controldores com deteção de pacotes.

Utilize os seguintes passos:

  1. No controlador de domínio, selecione Iniciar, selecione Ferramentas Administrativas e, em seguida, selecione Gestão da Política de Grupo. Em alternativa, selecione Iniciar, Executar, escreva GPMC.MSC e, em seguida, prima Enter.

  2. Expanda a floresta e, em seguida, expanda os domínios.

  3. No seu domínio, selecione o OU onde pretende criar esta política.

  4. Clique com o botão direito do rato no OU e, em seguida, selecione Criar um GPO neste domínio e ligue-o aqui.

  5. Dê um nome ao GPO e, em seguida, selecione OK.

  6. Clique com o botão direito do rato no Objeto da Política de Grupo criado recém-criado e, em seguida, selecione Editar para abrir o Editor de Gestão da Política de Grupo.

  7. No Editor de Gestão de Políticas de Grupo, expanda as seguintes pastas:

    1. Configuração do Computador

    2. Políticas

    3. Modelos Administrativos

    4. Deteção local de Computadores

    5. Impressoras

  8. Ativar o Ponto de Pacote e Imprimir - Servidores aprovados e selecione o botão Mostrar....

  9. Introduza os nomes dos servidores completamente qualificados. Separe cada nome com um e vírgula (;).

    Nota Após instalar as atualizações lançadas a 21 de setembro de 2021 ou posterior, pode configurar esta política de grupo com um ponto final (.) os endereços IP delimitados têm nomes de anfitrião completamente qualificados.

Perguntas mais frequentes

P1: Sempre que tento imprimir, recebo um aviso a dizer "Confia nesta impressora" e é necessário que as credenciais de administrador continuem.  Isto é esperado?

A1:Não é esperado que lhe seja pedido para cada tarefa de impressão. A maioria dos ambientes ou dispositivos com este problema será resolvido ao instalar as atualizações lançadas a 12 de outubro de 2021 ou posterior.  Estas atualizações abordam um problema relacionado com servidores de impressão e clientes de impressão que não estão no mesmo zona horário. 

Se continuar a ter este problema após instalar as atualizações lançadas a 12 de outubro de 2021 ou posterior, poderá ter de contactar o fabricante da impressora para ter os controldores atualizados.  Este problema também pode ocorrer quando um controlador de impressão no cliente de impressão e no servidor de impressão utilizam o mesmo nome de ficheiro, mas o servidor tem uma versão mais recente do ficheiro do controlador. Quando o cliente de impressão se liga ao servidor de impressão, encontra um ficheiro de controlador mais recente e é-lhe pedido para atualizar os controldores no cliente de impressão. No entanto, o ficheiro no pacote que está oferecido para instalação não inclui a versão mais recente do ficheiro do controlador. 

Os ficheiros a serem comparados são os controldores na pasta spool, normalmente em C:\Windows\System32\spool\drivers\x64\3 no cliente de impressão e no servidor de impressão.  O pacote de controladores a ser oferecido para instalação estará normalmente em C:\Windows\System32\spool\drivers\x64\PCC no servidor de impressão.  Após comparar os ficheiros na pasta \3 entre dispositivos, se não corresponder, o pacote em PCC é instalado.  Se os ficheiros na pasta \3 do servidor de impressão não fizerem parte do mesmo controlador de impressora que o PCC oferece ao cliente, o cliente de impressão irá comparar os ficheiros e encontrar o erro de impressão sempre que imprimir. 

Para mitigar este problema, verifique se está a utilizar os controldores mais recentes para todos os seus dispositivos de impressão.  Sempre que possível, utilize a mesma versão do controlador de impressão no cliente de impressão e no servidor de impressão. Se a atualização de controldores no seu ambiente não resolver o problema, contacte o suporte do fabricante da sua impressora (OEM).

P2: Instalei atualizações lançadas a 14 de setembro de 2021 e alguns dispositivos de Windows não conseguem imprimir em impressoras de rede.  Preciso de instalar atualizações em clientes de impressão e servidores de impressão?

A2: Antes de instalar as atualizações lançadas a 14 de setembro de 2021 ou posterior nos servidores de impressão, os clientes de impressão têm de ter as atualizações instaladas lançadas a 12 de janeiro de 2021 ou posterior. Windows dispositivos não serão impressos se não tiver instalado uma atualização lançada a 12 de janeiro de 2021 ou posterior. 

Nota Não precisa de instalar atualizações anteriores e pode instalar qualquer atualização após 12 de janeiro de 2021 para imprimir clientes.  Recomendamos que instale a atualização cumulativa mais recente em clientes e servidores.

Recursos

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.