Shrnutí

Windows vydané 10. srpna 2021 a novějších verzích budou ve výchozím nastavení vyžadovat oprávnění správce k instalaci ovladačů. Udělali jsme tuto změnu ve výchozím chování, aby se vyřešit riziko ve všech Windows zařízeních, včetně zařízení, která funkci Bod a Tisk nebo tisk nepou ujít. Další informace najdete v tématu Změna výchozího chování v bodech a tisku a CVE-2021-34481.  

Ve výchozím nastavení už uživatelé, kteří nejsou správci, nebudou moct používat funkce Bod a tisk bez zvýšení oprávnění pro správce:

  • Instalace nových tiskáren pomocí ovladačů na vzdáleném počítači nebo serveru

  • Aktualizace existujících ovladačů tiskárny pomocí ovladačů ze vzdáleného počítače nebo serveru

Poznámka Pokud bod a tisk používáte,neměla by vás tato změna ovlivnit a po instalaci aktualizací vydaných 10. srpna 2021 nebo novějších bude ve výchozím nastavení chráněna.

Důležité: Tisk klientů ve vašem prostředí musí mít před instalací aktualizací vydané 12. ledna 2021 nebo novější aktualizaci vydanou 14. září 2021.  Další informace najdete níže v části Otázky 2 v části Časté otázky.

Změna výchozího chování instalace ovladače pomocí klíče registru

Toto výchozí chování můžete změnit pomocí klíče registru v následující tabulce. Při použití hodnoty nula (0) ale buďte velmi opatrní, protože tím jsou zařízení zranitelná. Pokud musíte ve svém prostředí použít hodnotu registru 0, doporučujeme ji dočasně použít při úpravě prostředí tak, aby zařízení Windows mohla používat hodnotu jednoho (1).   

Umístění registru

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Název aplikace DWord

RestrictDriverInstallationToAdministrators

Údaj hodnoty

Výchozí chování: Nastavení této hodnoty na 1nebopokud klíč není definovaný nebo není k dispozici , bude vyžadovat oprávnění správce k instalaci libovolného ovladače tiskárny při použití funkce Bod a tisk. Tento klíč registru přepíše všechna omezení pro Zásady skupiny a tisk a zajistí, aby ovladače tiskárny mohli instalovat jenom správci z tiskového serveru pomocí funkce Bod a tisk.

Nastavení hodnoty na 0 umožňuje uživatelům, kteří nejsou správci, instalovat podepsané a nepodepsané ovladače na tiskový server, ale nepřepíše nastavení Zásady skupiny a tisk. V důsledku toho může nastavení omezení Zásady skupiny tisku přepsat toto nastavení klíče registru, aby uživatelé, kteří nejsou správci, neinstalují podepsané a nepodepsané ovladače tisku z tiskového serveru. Někteří správci můžou nastavit hodnotu 0 tak, aby nes správci mohli instalovat a aktualizovat ovladače po přidání dalších omezení, včetně přidání nastavení zásad, které omezuje možnosti instalace ovladačů.

Důležité: Neexistuje žádná kombinace zmírnění, která by byla ekvivalentní nastavení RestrictDriverInstallationToAdministrators na hodnotu 1.

Poznámka Aktualizace vydané 6. července 2021 nebo novější mají výchozí hodnotu 0 (zakázáno) až do instalace aktualizací vydaných 10. srpna 2021 nebo novějších.  Aktualizace vydané 10. srpna 2021 nebo novější mají výchozí hodnotu 1 (povoleno).

Požadavky na restartování

Při vytváření nebo úpravách této hodnoty registru není nutné restartovat počítač.

Poznámka Windows aktualizace nenastaví ani nezmění klíč registru. Klíč registru můžete nastavit před instalací nebo po instalaci aktualizací vydaných 10. srpna 2021 nebo novějších.

Automatizace přidání hodnoty registru RestrictDriverInstallationToAdministrators

Pokud chcete zautomatizování přidání hodnoty registru RestrictDriverInstallationToAdministrators, postupujte takto:

  1. Otevřete okno příkazového řádku (cmd.exe) se zvýšenými oprávněními.

  2. Zadejte následující příkaz a stiskněte Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Nastavení restrictdriverinstallationtoadministrators pomocí Zásady skupiny

Po instalaci aktualizací vydaných 12. října 2021 nebo novějších můžete pomocí nástroje RestrictDriverInstallationToAdministrators nastavit Zásady skupiny pomocí následujících pokynů:

  1. Otevřete nástroj editor zásad skupiny a přejděte na Konfigurace počítače> Šablony pro správu> tiskárny. 

  2. Nastavte nastavení Limity instalace ovladače tisku na Správce na "Povoleno". Tím nastavíte hodnotu registru RestrictDriverInstallationToAdministrators na 1.

Instalace ovladačů tisku při vynucení nového výchozího nastavení

Pokud nastavíte RestrictDriverInstallationToAdministrators jako nedefinované nebo 1, v závislosti na vašem prostředí, musí uživatelé k instalaci tiskáren použít jednu z následujících metod:

  • Po zobrazení výzvy k zadání přihlašovacích údajů při pokusu o instalaci ovladače tiskárny zadejte uživatelské jméno a heslo správce.

  • Do bitové kopie operačního systému pište potřebné ovladače tiskárny.

  • K vzdálené instalaci ovladačů tiskárny System Center, Microsoft Endpoint Configuration Manager nebo ekvivalentní nástroj Microsoftu.

  • Dočasně nastavte RestrictDriverInstallationToAdministrators na 0 a nainstalujte ovladače tiskárny.

Poznámka Pokud nemůžete nainstalovat ovladače tiskárny, a to ani s oprávněním správce, musíte zakázat možnost Použít pouze bod balíčku a tisk Zásady skupiny.

Doporučená nastavení a částečná omezení rizik pro prostředí, která nemohou používat výchozí chování

Následující omezení můžou pomoct zabezpečit všechna prostředí, ale hlavně v případě, že musíte nastavit RestrictDriverInstallationToAdministrators na hodnotu 0. Tyto skutečnosti snižující závažnost rizika zcela nesly chyby zabezpečení v aplikaci CVE-2021-34481.

Důležité: Neexistuje žádná kombinace zmírnění, která by byla ekvivalentní nastavení RestrictDriverInstallationToAdministrators na hodnotu 1.

Ověřte, jestli je vlastnost RpcAuthnLevelPrivacyEnabled nastavená na hodnotu 1 nebo není definovaná.

Ověřte, že rpcauthnlevelprivacyenabled je nastavená na hodnotu 1 nebo není definovaná podle pokynů v tématu Správa nasazení změn vazby rpc tiskárny pro CHYBU ZABEZPEČENÍ -2021-1678 (KB4599464).

Ověření, jestli jsou pro funkce Bod a tisk povolené výzvy zabezpečení

Ověřte, jestli jsou pro funkce Bod a tisk povolené výzvy zabezpečení, jak je popsáno v článku KB5005010:Omezení instalace nových ovladačů tiskárny po použití aktualizací z 6. července 2021 . 

Povolení uživatelům připojit se jenom k určitým tiskovým serverům, které důvěřujete

Tato zásada, Omezení pro boda tisk, platí pro tiskárny s funkcemi Bod a Tisk používající ovladač, který není v balíčku na serveru. 

Použijte následující postup:

  1. Otevřete konzolu Zásady skupiny Management Console (GPMC).

  2. Ve stromové struktuře konzoly GPMC přejděte na doménu nebo organizační jednotku (OU), ve které jsou uloženy uživatelské účty, u kterých chcete změnit nastavení zabezpečení ovladače tiskárny.

  3. Klikněte pravým tlačítkem myši na příslušnou doménu nebo OU a potom klikněte na Vytvořit objekt zásad skupiny v této doméně a propojit ji sem.Zadejte název nového objektu Zásady skupiny (GPO) a klikněte na OK.

  4. Klikněte pravým tlačítkem myši na objekt zásad skupiny, který jste vytvořili, a potom klikněte na Upravit.

  5. V okně Zásady skupiny Management Editor klikněte na Konfigurace počítače, klikněte na Zásady,klikněte na Šablony pro správua potom na Tiskárny.

  6. Klikněte pravým tlačítkem myši na položku Omezení pro bod a tisk apotom klikněte na příkaz Upravit.

  7. V dialogovém okně Omezení pro bod a tisk klikněte na Povoleno.

  8. Zaškrtněte políčko Uživatelé mohou na tyto servery umisovat a tisknout jenom v případě, že ještě není zaškrtnuté.

  9. Zadejte plně kvalifikované názvy serverů. Každý název oddělte středníkem (;).

    Poznámka Po instalaci aktualizací vydaných 21. září 2021 nebo novějších můžete tuto zásadu skupiny nakonfigurovat tečkou nebo tečkou (.) IP adresy s oddělovači jsou vzájemně zaměnitelné s plně kvalifikovanými názvy hostitelů.

  10. V poli Při instalaci ovladačů pro nové připojení vyberte Zobrazit upozornění a Výzva se zvýšenými oprávněními.

  11. V poli Při aktualizaci ovladačů pro existující připojení vyberte Zobrazit upozornění a Výzva se zvýšenými oprávněními.

  12. Klikněte na OK.

Povolení uživatelům připojit se jenom ke konkrétním serverům Package Point a Print, které důvěřujete

Tato zásada, Bod balíčkua Tisk – schválené servery , omezí chování klienta tak, aby povolovali připojení Typu Bod a Tisk jenom na definované servery, které používají ovladače podporující balíček.

Použijte následující postup:

  1. Na řadiči domény vyberte Start, vyberte Nástroje pro správua pak vyberte Zásady skupiny Správa. Případně vyberte Start, vyberte Spustit,zadejte GPMC.MSCa stiskněte Enter.

  2. Rozbalte doménovou strukturu a potom rozbalte domény.

  3. Pod vaší doménou vyberte OU, ve které chcete tuto zásadu vytvořit.

  4. Klikněte pravým tlačítkem myši na OU a pak vyberte Vytvořit objekt zásad skupiny v této doméně a propoojte ho tady.

  5. Pojmete objekt zásad skupiny a pak vyberte OK.

  6. Klikněte pravým tlačítkem myši na nově vytvořený objekt Zásady skupiny a pak vyberte Upravit a otevřete editor správy Zásady skupiny správy.

  7. V editoru Zásady skupiny správy rozbalte následující složky:

    1. Konfigurace počítače

    2. Zásady

    3. Šablony pro správu

    4. Local Computer Polices

    5. Tiskárny

  8. Povolte bod balíčku a tisk – schválené servery a vyberte tlačítko Zobrazit...

  9. Zadejte plně kvalifikované názvy serverů. Každý název oddělte středníkem (;).

    Poznámka Po instalaci aktualizací vydaných 21. září 2021 nebo novějších můžete tuto zásadu skupiny nakonfigurovat tečkou nebo tečkou (.) IP adresy s oddělovači jsou vzájemně zaměnitelné s plně kvalifikovanými názvy hostitelů.

Nejčastější dotazy

Otázka č. 1: Pokaždé, když se pokusím tisknout, se mi zobrazí výzva s upozorněním, že důvěřujete této tiskárně, a k pokračování je potřeba mít přihlašovací údaje správce.  Očekává se to?

A1: Zobrazení výzvy pro každou tiskovou úlohu se neočekává. Většina prostředí nebo zařízení, na kterých se tento problém vyskytnou, se vyřeší instalací aktualizací vydaných 12. října 2021 nebo novějších.  Tyto aktualizace řeší problém týkající se tiskových serverů a tiskových klientů, kteří nejsou ve stejném časovém pásmu. 

Pokud máte tento problém i po instalaci aktualizací vydaných 12. října 2021 nebo novějších, budete možná muset kontaktovat výrobce tiskárny a vyhledat aktualizované ovladače.  K tomuto problému může dojít také v případě, že ovladač tisku na tiskovém klientovi a tiskový server používá stejný název souboru, ale server má novější verzi souboru ovladače. Když se tiskový klient připojí k tiskovému serveru, najde novější soubor ovladače a zobrazí se výzva k aktualizaci ovladačů v tiskovém klientovi. Soubor v balíčku, který je nabízen k instalaci, ale neobsahuje novější verzi souboru ovladače. 

Porovnávané soubory jsou ovladače ve složce zařazování, obvykle ve složce C:\Windows\System32\spool\drivers\x64\3 na tiskovém i tiskovém serveru.  Balíček ovladače, který se nabízí k instalaci, bude obvykle v C:\Windows\System32\spool\drivers\x64\PCC na tiskovém serveru.  Po porovnání souborů ve složce \3 mezi zařízeními se balíček v počítači PCC nainstaluje, pokud se neshodují.  Pokud soubory ve složce \3 tiskového serveru nejsou ze stejného ovladače tiskárny, který počítač PCC nabízí klientovi, porovná tiskový klient soubory a najde neshodu při každém tisku. 

Pokud chcete tento problém zmírnit, ověřte, že používáte nejnovější ovladače pro všechna tisková zařízení.  Pokud je to možné, použijte stejnou verzi ovladače tisku na tiskovém klientovi a tiskovém serveru. Pokud aktualizace ovladačů ve vašem prostředí problém nevyřeší, obraťte se na podporu výrobce tiskárny (OEM).

Otázka 2: Nainstaloval(a) jsem aktualizace vydané 14. září 2021 a některá Windows zařízení nemohou tisknout na síťové tiskárny.  Je potřeba nainstalovat aktualizace na tiskové klienty a tiskové servery?

A2: Před instalací aktualizací vydaných 14. září 2021 nebo novějších na tiskových serverech musí mít tiskové klienty nainstalované aktualizace vydané 12. ledna 2021 nebo novější. Windows zařízení se nevytiskne, pokud nenainstaluje aktualizaci vydanou 12. ledna 2021 nebo novější. 

Poznámka Starší aktualizace není nutné instalovat a po 12. lednu 2021 je možné nainstalovat na tiskové klienty.  Doporučujeme nainstalovat nejnovější kumulativní aktualizaci na klienty i servery.

Zdroje informací

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou překladu?
Co ovlivnilo váš názor?

Děkujeme za váš názor!

×