KB5005010: Einschränken der Installation neuer Druckertreiber nach Anwendung der Updates vom 6. Juli 2021

Zusammenfassung

Sicherheitsupdates, die am und nach dem 6. Juli 2021 veröffentlicht wurden, enthalten Schutz vor einem Sicherheitsrisiko für die Ausführung von Remotecode im Windows Print Spooler-Dienst (spoolsv.exe), der in  CVE-2021-34527dokumentiert ist. Nach der Installation der Updates im Juli 2021 und höher können Nichtadministratoren, einschließlich delegierter Administratorgruppen wie Druckeroperatoren, keine signierten und nicht signierten Druckertreiber auf einem Druckserver installieren. Standardmäßig können nur Administratoren sowohl signierte als auch nicht signierte Druckertreiber auf einem Druckserver installieren. 

Hinweis Vor der Installation der Out-of-Band-Updates aus Juli 2021 und höher Windows,die Schutzeinstellungen für CVE-2021-34527 enthalten, konnte die Sicherheitsgruppe der Druckeroperatoren sowohl signierte als auch nicht signierte Druckertreiber auf einem Druckerserver installieren. Ab dem Out-of-Band-Update vom Juli 2021 sind Administratoranmeldeinformationen erforderlich, um signierte und nicht signierte Druckertreiber auf einem Druckerserver zu installieren. Wenn Sie optional alle Gruppenrichtlinieneinstellungen für Punkt- und Druckeinschränkungen außer Kraft setzen und sicherstellen möchten, dass nur Administratoren Druckertreiber auf einem Druckserver installieren können, konfigurieren Sie den Registrierungswert RestrictDriverInstallationToAdministrators auf 1.

Es wird empfohlen, sofort die neuesten Windows-Updates zu installieren, die am oder nach dem 6. Juli 2021 für alle unterstützten Windows-Client- und Serverbetriebssysteme veröffentlicht wurden. Dies beginnt bei Geräten, die derzeit den Spoolerdienst für Drucken hosten. Legen Sie als Nächstes in der Gruppenrichtlinieneinstellung Punkt- und Druckeinschränkungen die Einstellungen "Beim Installieren von Treibern für eine neue Verbindung" und "Beim Aktualisieren von Treibern für eine vorhandene Verbindung" auf "Warnung und Höhenaufforderung anzeigen" ein.

Auflösung

  1. Installieren Sie die Updates "Juli Out-of-Band" und spätere Updates.

  2. Überprüfen Sie, ob die folgenden Bedingungen zutreffen:

  • Registrierungseintrag Einstellungen: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht definiert (Standardeinstellung)

    • UpdatePromptSettings = 0 (DWORD) oder nicht definiert (Standardeinstellung)

  • Gruppenrichtlinie: Sie haben die Gruppenrichtlinie für Punkt- und Druckeinschränkungen nicht konfiguriert.

Wenn beide Bedingungen zutreffen, sind Sie nicht anfällig für CVE-2021-34527, und es sind keine weiteren Maßnahmen erforderlich. Wenn eine der Bedingungen nicht erfüllt ist, sind Sie anfällig. Führen Sie die folgenden Schritte aus, um die Gruppenrichtlinie für Punkt- und Druckeinschränkungen in eine sichere Konfiguration zu ändern.

  1. Öffnen Sie das Gruppenrichtlinien-Editor-Tool, und wechseln Sie zu >administrative Vorlagen >Drucker. 

  2. Konfigurieren Sie die Gruppenrichtlinieneinstellung für Punkt- und Druckeinschränkungen wie folgt:

    1. Legen Sie die Gruppenrichtlinie für Punkt- und Druckeinschränkungen auf "Aktiviert" festgelegt.

    2. "Beim Installieren von Treibern für eine neue Verbindung": "Warnung und Höhenaufforderung anzeigen".

    3. "Beim Aktualisieren von Treibern für eine vorhandene Verbindung": "Warnung und Höhenaufforderung anzeigen".

Alternativer Text

Wichtig Es wird dringend empfohlen, diese Richtlinie auf alle Computer anzuwenden, die den Druckspoolerdienst hosten.

Anforderungen für einen Neustart: Diese Richtlinienänderung erfordert keinen Neustart des Geräts oder des Spoolerdiensts nach dem Anwenden dieser Einstellungen. 

3. Verwenden Sie die folgenden Registrierungsschlüssel, um zu bestätigen, dass die Gruppenrichtlinie ordnungsgemäß angewendet wurde:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Warnung Wenn Sie diese Werte auf Werte ohne Null festlegen, werden die Geräte, auf denen Sie das CVE-2021-34527-Update installiert haben, anfällig.

Hinweis Durch das Konfigurieren dieser Einstellungen wird die Funktion Punkt und Drucken nicht deaktiviert.

4. [Optional] Außerkraftsetzungspunkt und Druckeinschränkungen, damit nur Administratoren Drucktreiber auf Druckerservern installieren können 

Sie haben die Möglichkeit, alle Gruppenrichtlinieneinstellungen für Punkt- und Druckeinschränkungen außer Kraft zu setzen und sicherzustellen, dass nur Administratoren Druckertreiber auf einem Druckserver installieren können, indem Sie den Registrierungswert RestrictDriverInstallationToAdministrators auf 1 konfigurieren.

Um die Installation neuer Druckertreiber einzuschränken, legen Sie den Registrierungswert RestrictDriverInstallationToAdministrators manuell wie folgt ein:

Hinweis Für diese Einschränkung gibt es keine Gruppenrichtlinieneinstellung.

Registrierungsspeicherort

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

HinweisDie Registrierungseinstellung RestrictDriverInstallationToAdministrators befindet sich unter dem Registrierungsspeicherort PointAndPrint, ist aber speziell für Schutz für CVE-2021-34527, aber nicht in Bezug auf Punkt und Druckverhalten.

DWord name

RestrictDriverInstallationToAdministrators

Wertdaten

Wenn Sie den Wert auf 0 festlegen oder den Wert nicht definiert lassen, werden  Nichtadministratoren daran hindert, signierte und nicht signierte Treiber auf einem Druckserver zu installieren, setzt aber die Einstellungen für Point and Print Group Policy nicht außer   Kraft. Dies ist der Standardwert. Daher kann die Gruppenrichtlinieneinstellung Punkt- und Druckeinschränkungen diese Einstellung außer Kraft setzen, damit Nichtadministratoren signierte und nicht signierte Drucktreiber auf einem Druckserver installieren können.

Wenn dieser Wert auf 1 oder einen Wert außerhalb der Null festgelegt wird, werden alle Gruppenrichtlinieneinstellungen für Punkt- und Druckeinschränkungen außer Kraft gesetzt, und es wird sichergestellt, dass nur Administratoren Druckertreiber auf einem    Druckserver installieren können.  

Hinweis: Wenn dieser Wert auf 0festgelegt ist, ist der Registrierungswert deaktiviert (Standard oder nicht vorhanden).

Neustartanforderungen

Beim Erstellen oder Ändern dieses Registrierungswerts ist kein Neustart erforderlich.

Führen Sie die folgenden Schritte aus, um das Hinzufügen des Registrierungswerts RestrictDriverInstallationToAdministrators zu automatisieren:

  1. Öffnen Sie ein Eingabeaufforderungsfenster (cmd.exe) mit erhöhten Berechtigungen.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Weitere Informationen

Haben die Korrekturen für CVE-2021-34527 Auswirkungen auf das Standardinstallationsszenario für Punkt- und Drucktreiber bei einem Clientgerät, das eine Verbindung mit einem Drucker für einen freigegebenen Netzwerkdrucker herstellen und einen Drucker installiert?

Nein, die Fixes für CVE-2021-34527 wirken sich nicht direkt auf das Standardinstallationsszenario des Point and Print-Treibers für ein Clientgerät aus, das eine Verbindung mit einem Drucker in einem freigegebenen Netzwerk herstellen und den Drucker installiert. In diesem Fall stellt ein Clientgerät eine Verbindung mit einem Druckserver sicher und lädt die Treiber von diesem vertrauenswürdigen Server herunter und installiert sie. Dieses Szenario ist anders als das anfällige Szenario, in dem ein Angreifer versucht, einen böswilligen Treiber auf dem Druckserver selbst zu installieren, entweder lokal oder remote.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

×