Zusammenfassung

Windows Am 10. August 2021 und höher veröffentlichten Updates erfordern standardmäßig Administratorrechte, um Treiber installieren zu können. Wir haben diese Änderung im Standardverhalten vorgenommen, um das Risiko auf allen Windows-Geräten zu minimieren, einschließlich Geräten, die keine Punkt- und Druck- oder Druckfunktionen verwenden. Weitere Informationen finden Sie unter Ändern des Standardverhaltens von Point and Print und CVE-2021-34481.  

Standardmäßig können Benutzer ohne Administratorberechtigungen die folgenden Optionen nicht mehr mithilfe von Punkt und Drucken ausführen:

  • Installieren neuer Drucker mithilfe von Treibern auf einem Remotecomputer oder Server

  • Aktualisieren vorhandener Druckertreiber mit Treibern von Remotecomputer oder Server

Hinweis Wenn Sie Point und Printnicht verwenden, sollten Sie von dieser Änderung nicht betroffen sein und sind nach der Installation von Updates, die am 10. August 2021 oder höher veröffentlicht wurden, standardmäßig geschützt.

Wichtig Druckclients in Ihrer Umgebung müssen ein Update haben, das am 12. Januar 2021 oder höher veröffentlicht wurde, bevor die Updates vom 14. September 2021 installiert werden.  Weitere Informationen finden Sie weiter unten unter "Häufig gestellte Fragen" unter Q2.

Ändern des Standardverhaltens der Treiberinstallation mithilfe eines Registrierungsschlüssels

Sie können dieses Standardverhalten mithilfe des Registrierungsschlüssels in der nachstehenden Tabelle ändern. Seien Sie jedoch bei Der Verwendung des Werts null (0) sehr vorsichtig, da die Geräte dadurch angreifbar werden. Wenn Sie in Ihrer Umgebung den Registrierungswert 0 verwenden müssen, empfiehlt es sich, ihn vorübergehend zu verwenden, während Sie Ihre Umgebung so anpassen, dass Windows-Geräte den Wert 1 (1) verwenden können.   

Registrierungsspeicherort

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord name

RestrictDriverInstallationToAdministrators

Wertdaten

Standardverhalten: Wenn Sie diesen Wert auf "1" festlegen oder der Schlüssel nicht definiert ist oder nicht vorhanden ist,benötigen Sie Administratorrechte, um bei Verwendung von Point and Print einen Druckertreiber zu installieren. Dieser Registrierungsschlüssel setzt alle Gruppenrichtlinieneinstellungen für Point und Print Restrictions außer Kraft und stellt sicher, dass nur Administratoren Druckertreiber von einem Druckserver mit Point and Print installieren können.

Wenn Sie den Wert auf 0 festlegen, können Nichtadministratoren signierte und nicht signierte Treiber auf einem Druckserver installieren, aber die Einstellungen für Die Punkt- und Druckgruppenrichtlinie werden nicht überschrieben. Daher können die Gruppenrichtlinieneinstellungen für Punkt- und Druckeinschränkungen diese Registrierungsschlüsseleinstellung außer Kraft setzen, um zu verhindern, dass Nichtadministratoren signierte und nicht signierte Drucktreiber von einem Druckserver installieren. Einige Administratoren legen den Wert möglicherweise auf 0 fest, damit Nicht-Administratoren Treiber installieren und aktualisieren können, nachdem zusätzliche Einschränkungen hinzugefügt wurden, einschließlich des Hinzufügens einer Richtlinieneinstellung, die einschränkt, wo Treiber installiert werden können.

Wichtig Es gibt keine Kombination von Abmilderungen, die dem Festlegen von RestrictDriverInstallationToAdministrators auf 1 entspricht.

Hinweis Updates, die am 6. Juli 2021 oder höher veröffentlicht wurden, haben den Standardwert 0 (deaktiviert), bis die Installation der Updates veröffentlicht wird, die am 10. August 2021 oder höher veröffentlicht wurden.  Updates, die am 10. August 2021 oder höher veröffentlicht wurden, haben den Standardwert 1 (aktiviert).

Neustartanforderungen

Beim Erstellen oder Ändern dieses Registrierungswerts ist kein Neustart erforderlich.

Hinweis Windows werden den Registrierungsschlüssel nicht festgelegt oder geändert. Sie können den Registrierungsschlüssel vor oder nach der Installation von Updates festlegen, die am 10. August 2021 oder höher veröffentlicht wurden.

Automatisieren des Hinzufügens des Registrierungswerts RestrictDriverInstallationToAdministrators

Führen Sie die folgenden Schritte aus, um das Hinzufügen des Registrierungswerts RestrictDriverInstallationToAdministrators zu automatisieren:

  1. Öffnen Sie ein Eingabeaufforderungsfenster (cmd.exe) mit erhöhten Berechtigungen.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Festlegen von RestrictDriverInstallationToAdministrators mithilfe von Gruppenrichtlinien

Nach der Installation von Updates, die am 12. Oktober 2021 oder höher veröffentlicht wurden, können Sie RestrictDriverInstallationToAdministrators auch mithilfe einer Gruppenrichtlinie festlegen, indem Sie die folgenden Anweisungen verwenden:

  1. Öffnen Sie das Gruppenrichtlinien-Editor-Tool, und wechseln Sie zu Computerkonfiguration>administrative Vorlagen>Drucker. 

  2. Legen Sie die Einstellung Limits für druckertreiberinstallation auf Administratoren auf "Aktiviert" festgelegt. Dadurch wird der Registrierungswert RestrictDriverInstallationToAdministrators auf 1 festgelegt.

Installieren von Druckertreibern, wenn die neue Standardeinstellung erzwungen wird

Wenn Sie RestrictDriverInstallationToAdministrators je nach Ihrer Umgebung als nicht definiert oder auf 1 festlegen, müssen die Benutzer Drucker mit einer der folgenden Methoden installieren:

  • Geben Sie einen Administratorbenutzernamen und ein Kennwort an, wenn Sie bei dem Versuch, einen Druckertreiber zu installieren, zur Eingabe von Anmeldeinformationen aufgefordert werden.

  • Fügen Sie die erforderlichen Druckertreiber in das Betriebssystembild ein.

  • Verwenden Sie Microsoft System Center, Microsoft Endpoint Configuration Manager oder ein entsprechendes Tool, um Druckertreiber remote zu installieren.

  • Legen Sie zum Installieren von Druckertreibern vorübergehend RestrictDriverInstallationToAdministrators auf 0 festgelegt.

Hinweis Wenn Sie Druckertreiber nicht installieren können, auch wenn Sie über Administratorrechte verfügen, müssen Sie die Gruppenrichtlinie Nur Paketpunkt verwenden und Drucken deaktivieren.

Empfohlene Einstellungen und Teilbegrenzungen für Umgebungen, die nicht das Standardverhalten verwenden können

Die folgenden Entschärfungen können zur Sicherung aller Umgebungen beitragen, insbesondere, wenn Sie RestrictDriverInstallationToAdministrators auf 0 festlegen müssen. Diese Entschärfungen adressieren die Sicherheitsrisiken in CVE-2021-34481 nicht vollständig.

Wichtig Es gibt keine Kombination von Abmilderungen, die dem Festlegen von RestrictDriverInstallationToAdministrators auf 1 entspricht.

Überprüfen Sie, ob rpcAuthnLevelPrivacyEnabled auf 1 oder nicht definiert ist.

Stellen Sie sicher, dass rpcAuthnLevelPrivacyEnabled auf 1 festgelegt ist oder nicht wie unter Verwalten der Bereitstellung von Änderungen an der RPC-Bindung des Druckers für CVE-2021-1678 (KB4599464)beschrieben ist.

Überprüfen, ob Sicherheitsaufforderungen für Punkt und Drucken aktiviert sind

Überprüfen Sie, ob Sicherheitsaufforderungen für Punkt und Drucken aktiviert sind, wie in KB5005010 beschrieben:Einschränken der Installation neuer Druckertreiber nach dem Anwenden der Updates vom 6. Juli 2021. 

Zulassen, dass Benutzer nur eine Verbindung mit bestimmten Druckservern herstellen, denen Sie vertrauen

Diese Richtlinie (Punkt- und Druckeinschränkungen)gilt für Point- und Print-Drucker, die einen Treiber verwenden, der kein Paket unterstützt, auf dem Server. 

Verwenden Sie die folgenden Schritte:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).

  2. Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole zu der Domäne oder Organisationseinheit, in der die Benutzerkonten, für die Sie die Sicherheitseinstellungen des Druckertreibers ändern möchten, speichern.

  3. Klicken Sie mit der rechten Maustaste auf die entsprechende Domäne oder Organisationseinheit, klicken Sie auf Gruppenrichtlinienobjekt in dieser Domäne erstellen und dann auf Hier verknüpfen.Geben Sie einen Namen für das neue Gruppenrichtlinienobjekt (Group Policy Object, GPO) ein, und klicken Sie dann auf OK.

  4. Klicken Sie mit der rechten Maustaste auf das erstellte Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.

  5. Klicken Sie im Fenster Gruppenrichtlinienverwaltungs-Editor auf Computerkonfiguration, klicken Sie auf Richtlinien ,klicken Sie auf AdministrativeVorlagen , und klicken Sie dann auf Drucker.

  6. Klicken Sie mit der rechten Maustaste auf Punkt-und Druckeinschränkungen , und klicken Sie dann auf Bearbeiten.

  7. Klicken Sie im Dialogfeld Punkt- und Druckeinschränkungen auf Aktiviert.

  8. Aktivieren Sie das Kontrollkästchen Benutzer können nur auf diese Server zeigen und drucken, wenn es noch nicht aktiviert ist.

  9. Geben Sie die vollqualifizierten Servernamen ein. Trennen Sie die einzelnen Namen durch ein Semikolon (;).

    Hinweis Nach der Installation von Updates, die am 21. September 2021 oder höher veröffentlicht wurden, können Sie diese Gruppenrichtlinie mit einem Punkt oder Punkt (.) konfigurieren. Durch Trennzeichen getrennte IP-Adressen austauschbar mit vollqualifizierten Hostnamen.

  10. Wählen Sie im Feld Beim Installieren von Treibern für eine neue Verbindung die Option Warnung anzeigen und Eingabeaufforderung mit erhöhten Rechten aus.

  11. Wählen Sie im Feld Beim Aktualisieren von Treibern für eine vorhandene Verbindung die Option Warnung anzeigen und Eingabeaufforderung mit erhöhten Rechten aus.

  12. Klicken Sie auf OK.

Zulassen, dass Benutzer nur eine Verbindung mit bestimmten Paketpunkt- und Druckservern herstellen, denen Sie vertrauen

Diese Richtlinie,Package Point und Print - Approved servers, schränkt das Clientverhalten ein, um nur Point- und Print-Verbindungen zu definierten Servern zu erlauben, die paketbewusste Treiber verwenden.

Verwenden Sie die folgenden Schritte:

  1. Wählen Sie auf dem Domänencontroller Start, anschließend Administrative Toolsund dann Gruppenrichtlinienverwaltung aus. Wählen Sie alternativ Startaus, wählen Sie Ausführen aus,geben Sie GPMC.MSC ein,und drücken Sie dann die EINGABETASTE.

  2. Erweitern Sie die Gesamtstruktur, und erweitern Sie dann die Domänen.

  3. Wählen Sie unter Ihrer Domäne die Organisationseinheit aus, in der Sie diese Richtlinie erstellen möchten.

  4. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, wählen Sie dann Gruppenrichtlinienobjekt in dieser Domäne erstellen aus, und verknüpfen Sie es hier.

  5. Geben Sie dem Gruppenrichtlinienobjekt einen Namen, und wählen Sie OK aus.

  6. Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus, um den Gruppenrichtlinien-Verwaltungs-Editor zu öffnen.

  7. Erweitern Sie im Gruppenrichtlinien-Verwaltungs-Editor die folgenden Ordner:

    1. Computerkonfiguration

    2. Richtlinien

    3. Administrative Vorlagen

    4. Lokale Computerpoligen

    5. „Drucker“

  8. Aktivieren Sie "Package Point" und "Print - Approved servers", und wählen Sie die Schaltfläche Anzeigen aus.

  9. Geben Sie die vollqualifizierten Servernamen ein. Trennen Sie die einzelnen Namen durch ein Semikolon (;).

    Hinweis Nach der Installation von Updates, die am 21. September 2021 oder höher veröffentlicht wurden, können Sie diese Gruppenrichtlinie mit einem Punkt oder Punkt (.) konfigurieren. Durch Trennzeichen getrennte IP-Adressen austauschbar mit vollqualifizierten Hostnamen.

Häufig gestellte Fragen

F1: Bei jedem Versuch, zu drucken, wird die Eingabeaufforderung "Vertrauen Sie diesem Drucker" angezeigt, und es sind Administratoranmeldeinformationen erforderlich, um den Druck fortsetzen zu können.  Wird das erwartet?

A1: Es wird nicht erwartet, dass Sie zu jedem Druckauftrag aufgefordert werden. Die meisten Umgebungen oder Geräte, in denen dieses Problem vor sich geht, werden durch die Installation von Updates behoben, die am 12. Oktober 2021 oder höher veröffentlicht wurden.  Diese Updates beheben ein Problem im Zusammenhang mit Druckservern und Druckclients, die sich nicht in derselben Zeitzone befinden. 

Wenn dieses Problem nach der Installation von Updates, die am 12. Oktober 2021 oder höher veröffentlicht wurden, weiterhin vor sich hat, müssen Sie sich möglicherweise an den Hersteller Ihres Druckers wenden, um aktualisierte Treiber zu erhalten.  Dieses Problem kann auch auftreten, wenn ein Druckertreiber auf dem Druckclient und der Druckserver denselben Dateinamen verwenden, der Server aber über eine neuere Version der Treiberdatei verfügt. Wenn der Druckclient eine Verbindung mit dem Druckserver herstellt, findet er eine neuere Treiberdatei und wird aufgefordert, die Treiber auf dem Druckclient zu aktualisieren. Die Datei in dem zur Installation angebotenen Paket enthält jedoch nicht die neuere Treiberdateiversion. 

Bei den zu vergleichende Dateien handelt es sich um die Treiber im Ordner "Spool", normalerweise unter "C:\Windows\System32\spool\drivers\x64\3" sowohl auf dem Druckclient als auch auf dem Druckserver.  Das zur Installation angebotene Treiberpaket ist normalerweise auf dem Druckserver unter C:\Windows\System32\spool\drivers\x64\PCC zu finden.  Nachdem die Dateien im Ordner "\3" zwischen Geräten verglichen wurden und nicht übereinstimmen, wird das Paket in PCC installiert.  Wenn die Dateien im Ordner "\3" des Druckservers nicht von dem druckertreibern sind, den PCC für den Client bietet, vergleicht der Druckclient die Dateien und findet die Konflikte bei jedem Druck. 

Um dieses Problem zu verringern, stellen Sie sicher, dass Sie die neuesten Treiber für alle Ihre Druckgeräte verwenden.  Verwenden Sie nach Möglichkeit auf dem Druckclient und Druckserver dieselbe Version des Druckertreibers. Wenn das Problem durch Aktualisieren von Treibern in Ihrer Umgebung nicht behoben werden kann, wenden Sie sich an den Support Ihres Druckerherstellers (OEM).

F2: Ich habe die am 14. September 2021 veröffentlichten Updates installiert, und einige Windows können nicht auf Netzwerkdruckern gedruckt werden.  Gibt es eine Bestellung, in der ich Updates auf Druckclients und Druckservern installieren muss?

A2: Vor der Installation von Updates, die am 14. September 2021 oder höher auf Druckservern veröffentlicht wurden, müssen Druckclients die am 12. Januar 2021 oder höher veröffentlichten Updates installiert haben. Windows-Geräte werden nicht gedruckt, wenn sie kein update installiert haben, das am 12. Januar 2021 oder höher veröffentlicht wurde. 

Hinweis Sie müssen keine früheren Updates installieren und können nach dem 12. Januar 2021 ein beliebiges Update auf Druckclients installieren.  Wir empfehlen, das neueste kumulative Update sowohl auf Clients als auch auf Servern zu installieren.

Ressourcen

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Übersetzungsqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×