Сводка
Windows от 10 августа 2021 г. и более поздних версий для установки драйверов по умолчанию требуются права администратора. Мы внося это изменение в поведение по умолчанию для устранения рисков на всех Windows, включая устройства, которые не используют функции Point и Print или Print. Дополнительные сведения см . в пунктах Изменение поведения по умолчанию и CVE-2021–34481.
По умолчанию пользователи без прав администратора больше не могут делать следующее с помощью точки и печати:
-
Установка новых принтеров с помощью драйверов на удаленном компьютере или сервере
-
Обновление существующих драйверов принтера с помощью драйверов с удаленного компьютера или сервера
Примечание Если вы не используете Point и Print, это изменение не защитит вас от изменений и будет по умолчанию защищено после установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии.
Важно Перед установкой обновлений, выпущенных 14 сентября 2021 г., клиентам печати в вашей среде необходимо установить обновление от 12 января 2021 г. или более поздней версии. Дополнительные сведения см. в вопросе "Вопросы и ответы" кв. 2 ниже.
Изменение поведения при установке драйвера по умолчанию с помощью ключа реестра
Это поведение по умолчанию можно изменить с помощью параметра реестра, приведенного в таблице ниже. Однако будьте осторожны при использовании нуля (0), так как это делает устройства уязвимыми. Если в вашей среде необходимо использовать значение реестра 0, мы рекомендуем использовать его временно во время настройки среды, чтобы позволить устройствам Windows использовать значение 1 (1).
Расположение реестра |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
Имя DWord |
RestrictDriverInstallationToAdministrators |
Данные о значениях |
Поведение по умолчанию: Если для этого значения задайте значение 1 или ключ не определен или нет, для установки любого драйвера принтера при использовании Point и Print потребуется права администратора. Этот ключ реестра переопределит все параметры групповой политики Point и Print Restrictions и гарантирует, что только администраторы смогут устанавливать драйверы принтера с сервера печати с помощью point и print. Установка значения 0 позволяет не администраторам устанавливать подписанные и неподписаные драйверы на сервер печати, но не переопределять параметры групповой политики Point и Print. Следовательно, параметры групповой политики Point и Print Restrictions могут переопредидить этот параметр реестра, чтобы запретить администраторам устанавливать с сервера печати печатные драйверы с подписями и без подписи. Некоторые администраторы могут установить значение 0, чтобы разрешить не администраторам устанавливать и обновлять драйверы после добавления дополнительных ограничений, включая добавление параметра политики, ограничивающего возможность установки драйверов. Важно Сочетания последствий, эквивалентных установке ограниченияDriverInstallationToAdministrators, равным 1, не имеются. Примечание Для обновлений, выпущенных 6 июля 2021 г. и более поздних версий, по умолчанию задано значение 0 (отключено) до установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии. Обновления, выпущенные 10 августа 2021 г. или более поздней версии, по умолчанию имеют значение 1 (включено). |
Требования к перезапуску |
При создании или изменении этого значения реестра перезапуск не требуется. |
Примечание Windows обновления не будут устанавливать или изменять реестр. Вы можете настроить реестр до или после установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии.
Автоматизация добавления значения реестра RestrictDriverInstallationToAdministrators
Чтобы автоматизировать добавление значения реестра RestrictDriverInstallationToAdministrators, выполните следующие действия:
-
Откройте окно командной подсказки (cmd.exe) с повышенными разрешениями.
-
Введите следующую команду и нажмите ввод:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Set RestrictDriverInstallationToAdministrators using Group Policy
После установки обновлений, выпущенных 12 октября 2021 г. или более поздней версии, вы также можете настроить ограничителиDriverInstallationToAdministrators с помощью групповой политики, выполнив следующие инструкции:
-
Откройте редактор групповой политики и перейдите в меню Конфигурация компьютера> административных шаблонов > Принтеры.
-
Установите для параметра Ограничения при установке драйвера печати параметр Администраторы на "Включено". При этом для реестра RestrictDriverInstallationToAdministrators будет установлено значение 1.
Установка драйверов печати при вмении нового параметра по умолчанию
Если для ограниченияDriverInstallationToAdministrators задавается неопределенный или 1 в зависимости от вашей среды, пользователям необходимо использовать один из следующих способов установки принтеров:
-
При запросе учетных данных при попытке установки драйвера принтера вводить имя пользователя и пароль администратора.
-
Включив необходимые драйверы принтера в изображение ОС.
-
Чтобы установить драйверы принтера, временно задайте для ограниченияDriverInstallationToAdministrators 0.
Примечание Если вам не удается установить драйверы принтера даже с учетом прав администратора, необходимо отключить групповую политику "Использовать только точку упаковки" и "Печать ".
Рекомендуемые параметры и частичные снижения снижения последствий для среды, в которой поведение по умолчанию не используется
Следующие ограничения помогают защитить все среды, но особенно если необходимо установить для ограниченияDriverInstallationToAdministrators 0. Эти меры не полностью уявляют уязвимости в CVE-2021–34481.
Важно Сочетания последствий, эквивалентных установке ограниченияDriverInstallationToAdministrators, равным 1, не имеются.
Убедитесь, что для RpcAuthnLevelPrivacyEnabled установлено 1 или не определено
Убедитесь, что для RpcAuthnLevelPrivacyEnabled установлено 1 или не определено, как описано в описании изменения привязки принтера RPC для CVE-2021–1678 (KB4599464).
Проверка включения подсказок безопасности для point и print
Убедитесь, что для point и Print включены запросы безопасности, как описано в KB5005010: ограничение установки новых драйверов принтера после применения обновлений от 6 июля 2021 г.
Разрешить пользователям подключаться только к определенным серверам печати, которые вы доверяете
Эта политика "Ограничения на печать" применяется к принтерам Point и Print, использующим непакетный драйвер на сервере.
С помощью следующих действий:
-
Откройте консоль управления групповыми политиками (GPMC).
-
В дереве консоли GPMC перейдите к домену или подразделению, в котором хранится учетная запись пользователя, для которой вы хотите изменить параметры безопасности драйвера принтера.
-
Щелкните правой кнопкой мыши соответствующий домен или ОО и выберите создать В этом домене GPO и связать его здесь.Введите имя нового объекта групповой политики и нажмите кнопку ОК.
-
Щелкните созданную GPO правой кнопкой мыши и выберите изменить.
-
В окне редактора управления групповыми политиками щелкните Конфигурация компьютера, выберите Политики, щелкните Административные шаблоны и выберитеПринтеры.
-
Щелкните правой кнопкой мыши пункт Ограничения на печать и выберите изменить.
-
В диалоговом оке Ограничения на печать и точках нажмите кнопку Включено.
-
Если он еще не выбран , выберите пункт Пользователи могут указать и распечатать на этих серверах.
-
Введите полное имя сервера. Имена можно разделять с помощью 10-часовой ;).
Примечание После установки обновлений, выпущенных 21 сентября 2021 г. или более поздней версии, вы можете настроить групповую политику точкой или точкой (.) IP-адреса с делегированием взаимозаменяемы с полностью заоптифицированными именами хостов.
-
В окне При установке драйверов для нового подключения выберите Показывать предупреждение и Запрос с повышенными уровнями.
-
В поле При обновлении драйверов для существующего подключения выберите Показывать предупреждение и запрос с повышенными уровнями.
-
Нажмите кнопку ОК.
Разрешить пользователям подключаться только к определенным точкам пакета и серверам печати, которые вы доверяете
Эта политика (Точка упаковки и Печать — утвержденные серверы) ограничивает поведение клиента, разрешая только соединения Point и Print для определенных серверов, которые используют драйверы с пакетом.
С помощью следующих действий:
-
На контроллере домена выберите Начните, выберите Администрирование, а затем — Управление групповой политикой. Кроме того, можно нажать кнопкуНачните, выбрать выполнить, ввести GPMC.MSC и нажать ввод.
-
Раз развернуть лес, а затем — домены.
-
Под своим доменом выберите ОО, в котором вы хотите создать эту политику.
-
Щелкните его правой кнопкой мыши, выберите Создать GPO в этом домене и привяжете его сюда.
-
Придай имя GPO, а затем выберите ОК.
-
Щелкните правой кнопкой мыши созданный объект групповой политики и выберите Изменить, чтобы открыть редактор управления групповыми политиками.
-
В редакторе управления групповыми политиками разложите следующие папки:
-
Конфигурация компьютера
-
Политики
-
Административные шаблоны
-
Локальные компьютерные системы
-
"Принтеры"
-
-
В включить точку упаковки и печать — утвержденные серверы и выберите кнопку Показать ....
-
Введите полное имя сервера. Имена можно разделять с помощью 10-часовой ;).
Примечание После установки обновлений, выпущенных 21 сентября 2021 г. или более поздней версии, вы можете настроить групповую политику точкой или точкой (.) IP-адреса с делегированием взаимозаменяемы с полностью заоптифицированными именами хостов.
Вопросы и ответы
Вопрос1. При каждой попытке печати я получаю запрос "Доверяете ли вы этому принтеру", и для продолжения работы с этим принтером требуются учетные данные администратора. Это ожидаемое?
A1:Запрос на каждое задание печати не ожидается. Большинство сред или устройств, в которых эта проблема устранена, будут устранены путем установки обновлений, выпущенных 12 октября 2021 г. или более поздней версии. В этих обновлениях решается проблема, связанная с печатью серверов и клиентов печати, которые не находится в одном часовом поясе.
Если после установки обновлений, выпущенных 12 октября 2021 г. или более поздней версии, эта проблема по-прежнему не у вас, обратитесь к производителю принтера за обновленными драйверами. Эта проблема также может возникать, если драйвер печати в клиенте печати и на сервере печати используют то же имя файла, но на сервере есть более новая версия файла драйвера. Когда клиент печати подключается к серверу печати, он находит более новый файл драйвера и получает запрос на обновление драйверов в клиенте печати. Однако файл в пакете, который предлагается для установки, не включает более новую версию файла драйвера.
Сравниваемые файлы — это драйверы в папке "Spool", обычно в папке C:\Windows\System32\spool\drivers\x64\3 в клиенте печати и на печатном сервере. Пакет драйвера, предлагаемый для установки, обычно находится в C:\Windows\System32\spool\drivers\x64\PCC на сервере печати. После того как файлы в папке \3 сравниваются между устройствами, если они не совпадают, пакет в PCC устанавливается. Если файлы в папке \3 на сервере печати не имеют того же драйвера принтера, что и PCC , клиент печати сравнивает файлы и находит несоответствия при каждой печати.
Чтобы устранить эту проблему, убедитесь, что используете последние драйверы для всех ваших устройств печати. По возможности используйте ту же версию драйвера печати в клиенте печати и на сервере печати. Если обновление драйверов в вашей среде не решает проблему, обратитесь в службу поддержки изготовителя принтера (OEM).
Вопрос 2. Установлены обновления, выпущенные 14 сентября 2021 г., и некоторые Windows не могут печатать на сетевых принтерах. Требуется ли заказ на установку обновлений на почтовых клиентах и почтовых серверах?
A2. Перед установкой обновлений, выпущенных 14 сентября 2021 г. или более поздней версии, на почтовых серверах должны быть установлены обновления, выпущенные 12 января 2021 г. или более поздней версии. Windows устройства не будут печататься, если на них не установлено обновление, выпущенное 12 января 2021 г. или более поздней версии.
Примечание Вам не нужно устанавливать более ранние обновления и вы можете установить любое обновление после 12 января 2021 г. на клиентах печати. Мы рекомендуем установить последнее накопительное обновление как на клиентах, так и на серверах.