Yhteenveto

Windows 10. elokuuta 2021 ja sitä uudempien päivityksien asentamiseen vaaditaan oletusarvoisesti järjestelmänvalvojan oikeudet. Tämä oletustoimintamuutos on tehty kaikkien laitteiden Windows mukaan lukien laitteet, jotka eivät käytä Piste- ja Tulostus- tai Tulostus-toimintoja. Lisätietoja on kohdassa Pisteen ja tulostuksen oletusasetusten muuttaminen jaCVE-2021-34481.  

Oletusarvoisesti muut kuin järjestelmänvalvojat käyttäjät eivät voi enää tehdä seuraavaa Point- ja Print-käyttöoikeuksien avulla ilman järjestelmänvalvojan oikeuksia:

  • Uusien tulostimien asentaminen ohjaimia käyttämällä etätietokoneessa tai palvelimessa

  • Aiemmin luotujen tulostinohjainten päivittäminen etätietokoneen tai palvelimen ohjainten avulla

Huomautus Jos et käytä Piste-ja Tulosta-asetuksia, tämä muutos ei koske sinua, ja se suojataan oletusarvoisesti 10. elokuuta 2021 julkaistujen päivitysten asentamisen jälkeen.

Tärkeää Tulostuksessa ympäristössäsi on oltava päivitys, joka on julkaistu 12. tammikuuta 2021 tai uudempi ennen päivitysten asentamista 14. syyskuuta 2021.  Lisätietoja on jäljempänä kohdassa Usein kysytyt kysymykset Q2.

Ohjaimen oletusasennuksen muokkaaminen rekisteriavaimen avulla

Voit muokata tätä oletusasetusta käyttämällä alla olevassa taulukossa olevaa rekisteriavainta. Ole kuitenkin erittäin varovainen, kun käytät nolla-arvoa (0), koska tämä tekee laitteista haavoittuvia. Jos ympäristössä on käytettävä rekisteriarvoa 0, on suositeltavaa käyttää sitä tilapäisesti säätäessäsi ympäristöä niin, että Windows laitteet voivat käyttää yhden arvon (1).   

Rekisterisijainti

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord-nimi

RestrictDriverInstallationToAdministrators

Arvon tiedot

Oletustoiminta: Jos tämän arvon arvo on 1tai avaintaei ole määritetty tai sitä ei ole , järjestelmänvalvojan on asennettava mikä tahansa tulostinohjain Piste- ja Tulosta-näppäimiä käytettäessä. Tämä rekisteriavain ohittaa kaikki Piste- ja Tulostusrajoitukset-ryhmäkäytäntöasetukset ja varmistaa, että vain järjestelmänvalvojat voivat asentaa tulostinohjaimet tulostuspalvelimesta Point- ja Print-näppäimillä.

Jos määrität arvoksi 0, muut kuin järjestelmänvalvojat voivat asentaa allekirjoitettuja ja allekirjoittamattomia ohjaimia tulostuspalvelimeen, mutta eivät ohita Point- ja Print-ryhmäkäytäntöasetuksia. Siksi piste- ja tulostusrajoitusten ryhmäkäytäntöasetukset voivat ohittaa tämän rekisteriavaimen asetuksen, jotta muut kuin järjestelmänvalvojat eivät voi asentaa allekirjoitettuja ja allekirjoittamattomia tulostusohjaimia tulostuspalvelimesta. Jotkin järjestelmänvalvojat voivat määrittää arvoksi 0, jotta muut kuin järjestelmänvalvojat voivat asentaa ja päivittää ohjaimia lisärajoitusten lisäämisen jälkeen, mukaan lukien lisäämällä käytäntöasetuksen, joka rajoittaa ohjaimien asentamista.

Tärkeää Ei ole mitigaatioiden yhdistelmää, joka vastaa RestrictDriverInstallationToAdministrators-asetuksen arvoksi 1.

Huomautus 6. heinäkuuta 2021 julkaistujen päivitysten oletusasetus on 0 (poistettu käytöstä) 10. elokuuta 2021 tai sitä uudempiin päivityksiin asti.  10. elokuuta 2021 julkaistujen tai uudempien päivitysten oletusarvo on 1 (käytössä).

Uudelleenkäynnistysvaatimukset

Tätä rekisteriarvoa luotaessa tai muokattaessa ei tarvitse käynnistää uudelleen.

Huomautus Windows ei voi määrittää tai muuttaa rekisteriavainta. Voit määrittää rekisteriavaimen ennen 10. elokuuta 2021 tai sitä uudempien päivityksien asentamista tai sen jälkeen.

RestrictDriverInstallationToAdministrators-rekisteriarvon lisäämisen automatisointi

Voit automatisoida RestrictDriverInstallationToAdministrators-rekisteriarvon lisäämisen seuraavasti:

  1. Avaa komentokehoteikkuna (cmd.exe) järjestelmänvalvojan oikeuksilla.

  2. Kirjoita seuraava komento ja paina sitten Enter-näppäintä:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

RestrictDriverInstallationToAdministrator-asetusten määrittäminen ryhmäkäytännön avulla

Kun olet asentanut 12. lokakuuta 2021 tai uudemman julkaistun päivityksen, voit myös määrittää RestrictDriverInstallationToAdministrators ryhmäkäytännön avulla noudattamalla seuraavia ohjeita:

  1. Avaa ryhmäkäytäntöeditorityökalu ja valitse Tietokonemääritys>hallintamallit>tulostimet. 

  2. Määritä Rajat tulostinohjaimen asennukselle järjestelmänvalvojille -asetukseksi Käytössä. Tämä määrittää RestrictDriverInstallationToAdministrators-rekisteriarvon arvoksi 1.

Tulostinohjaimien asentaminen, kun uusi oletusasetus on käytössä

Jos määrität RestrictDriverInstallationToAdministrators (ei määritetty) tai 1 (ympäristön mukaan), käyttäjien on asennettava tulostimet jomallakin seuraavista tavoista:

  • Anna järjestelmänvalvojan käyttäjänimi ja salasana pyydettäessä tunnistetietoja, kun yrität asentaa tulostinohjainta.

  • Sisällytä tarvittavat tulostinohjaimet käyttöjärjestelmän kuvaan.

  • Asenna tulostinohjaimet etäyhteyden Microsoft Endpoint Configuration Manager Microsoft System Centerin, Microsoft System Centerin tai vastaavan työkalun avulla.

  • Asenna tulostinohjaimet asettamalla RestrictDriverInstallationToAdministrators tilapäisesti arvoksi 0.

Huomautus Jos tulostinohjaimia ei voi asentaa, vaikka sinulla olisi järjestelmänvalvojan oikeudet, sinun on poistettava käytöstä Vain pakkauspiste- ja tulostusryhmäkäytäntö -asetus.

Suositellut asetukset ja osittaiset riskien lieventämiset ympäristöissä, jotka eivät voi käyttää oletustoimintatapaa

Seuraavat riskien lieventämiset voivat auttaa suojaamaan kaikkia ympäristöjä, mutta etenkin, jos RestrictDriverInstallationToAdministrators-asetuksen on oltava 0. Nämä riskien lieventämiset eivät täysin vastaa CVE-2021-34481:n haavoittuvuuksia.

Tärkeää Ei ole mitigaatioiden yhdistelmää, joka vastaa RestrictDriverInstallationToAdministrators-asetuksen arvoksi 1.

Varmista, että RpcAuthnLevelPrivacyEnabled-asetuksena on 1 tai sitä ei ole määritetty

Varmista, että RpcAuthnLevelPrivacyEnabled-asetuksena on 1 tai ei ole määritetty kohdassa Tulostimen RPC-sidontamuutosten hallinta CVE-2021-1678:ssa (KB4599464)kuvatulla tavalla.

Varmista, että Piste- ja Tulosta-toiminto on otettu käyttöön suojauskehotteessa

Varmista, että Piste- ja Tulosta-toiminto on otettu käyttöön suojauskehotteiden avulla artikkelissa KB5005010: Uusien tulostinohjainten asennuksen rajoittaminen 6. heinäkuuta 2021 -päivitysten asentamisen jälkeen. 

Salli käyttäjien muodostaa yhteys vain tiettyihin tulostuspalvelimiin, jotka luotat

Tämä käytäntö ( Piste- ja tulostusrajoitukset )koskee piste- ja tulostustulostimia, jotka käyttävät palvelimessa ei-pakettia tietoisia ohjaimesta. 

Toimi seuraavasti:

  1. Avaa ryhmäkäytäntöjen hallintakonsoli (GPMC).

  2. Siirry GPMC-konsolipuussa toimialueeseen tai organisaatioyksikköön (OU), johon tallennetaan käyttäjätilit, joiden tulostinohjaimen suojausasetuksia haluat muokata.

  3. Napsauta sopivaa toimialuetta tai OU:tä hiiren kakkospainikkeella ja valitse Luo tähän toimialueeseen GPO ja linkitä se tähän.Kirjoita uuden ryhmäkäytäntöobjektin nimi ja valitse OK.

  4. Napsauta luomaasi tietokäytäntöobjektia hiiren kakkospainikkeella ja valitse Muokkaa.

  5. Valitse Ryhmäkäytäntöjen hallintaeditori -ikkunassa Tietokoneen määritykset, Valitse Käytännöt, Hallintamallitja sitten Tulostimet.

  6. Napsauta hiiren kakkospainikkeella Kohtaa ja tulostusrajoituksiaja valitse sitten Muokkaa.

  7. Valitse Piste- ja tulostusrajoitukset -valintaikkunassa Käytössä.

  8. Valitse Käyttäjät voivat osoittaa ja tulostaa vain näihin palvelimiin -valintaruutu, jos se ei ole jo valittuna.

  9. Kirjoita palvelimen täydellinen nimi. Erota nimet toisistaan puolipisteellä (;).

    Huomautus Kun olet asentanut 21. syyskuuta 2021 tai sitä uudemman julkaistun päivityksen, voit määrittää tämän ryhmäkäytännön pisteellä tai pisteellä (.) erotinmerkkejä eroteltuja IP-osoitteita, jotka ovat keskenään täysin hyväksyttyjä isäntänimiä.

  10. Valitse Asennettaessa uuden yhteyden ohjaimia -ruudussaNäytä varoitus ja Järjestelmänvalvojan kehote.

  11. Valitse Olemassa olevan yhteyden ohjaimia päivitettäessä -ruudussa Näytä varoitus ja Järjestelmänvalvojan oikeuksin -kehote.

  12. Valitse OK.

Salli käyttäjien muodostaa yhteys vain tiettyihin luotamiisi pakettipiste- ja tulostuspalvelimiin

Tämä käytäntö Pakkaaja jaTulosta – Hyväksytyt palvelimet rajoittavat asiakkaan toiminnan sallimaan vain Point- ja Print-yhteydet määritetyille palvelimille, jotka käyttävät pakettia ohjaimia.

Toimi seuraavasti:

  1. Valitse toimialueen ohjauskoneessa Aloitus, valitse Valvontatyökalutja valitse sitten Ryhmäkäytännön hallinta. Vaihtoehtoisesti voit valitaKäynnistä , valita Suorita, kirjoittaa GPMC.MSCja paina sitten Enter-näppäintä.

  2. Laajenna toimialuepuupuu ja laajenna sitten toimialueet.

  3. Valitse toimialueestasi OU, johon haluat luoda tämän käytännön.

  4. Napsauta OU-kohtaa hiiren kakkospainikkeella, valitse Luo GPO tähän toimialueeseen ja linkitä se tähän.

  5. Anna GPO:lle nimi ja valitse sitten OK.

  6. Napsauta luomaa ryhmäkäytäntöobjektia hiiren kakkospainikkeella ja avaa sitten ryhmäkäytäntöjen hallintaeditori valitsemalla Muokkaa.

  7. Laajenna ryhmäkäytäntöjen hallintaeditorissa seuraavat kansiot:

    1. Tietokoneen määritykset

    2. Käytännöt

    3. Hallintamallit

    4. Paikalliset tietokoneyksiköt

    5. Tulostimet

  8. Ota pakettipiste ja tulostus käyttöön – Hyväksytyt palvelimet ja valitse Näytä...-painike.

  9. Kirjoita palvelimen täydellinen nimi. Erota nimet toisistaan puolipisteellä (;).

    Huomautus Kun olet asentanut 21. syyskuuta 2021 tai sitä uudemman julkaistun päivityksen, voit määrittää tämän ryhmäkäytännön pisteellä tai pisteellä (.) erotinmerkkejä eroteltuja IP-osoitteita, jotka ovat keskenään täysin hyväksyttyjä isäntänimiä.

Usein kysytyt kysymykset

Kysymys 1: Aina kun yritän tulostaa, näyttöön tulee kehote, jossa sanotaan"Luotatko tähän tulostimeen", ja se edellyttää järjestelmänvalvojan tunnistetietoja, jotta voit jatkaa.  Onko tämä odotettua?

A1: Jokaista tulostustyötä ei odoteta. Suurin osa ympäristöistä tai laitteista, joissa tämä ongelma ilmenee, ratkeaa asentamalla päivitykset, jotka on julkaistu 12. lokakuuta 2021 tai sitä uudemmalla versiolla.  Nämä päivitykset liittyvät tulostuspalvelimiin ja tulostusasiakkaisiin, jotka eivät ole samalla aikavyöhykkeellä. 

Jos ongelma ilmenee edelleen 12. lokakuuta 2021 tai sitä uudempien päivityksien asentamisen jälkeen, sinun on ehkä otettava yhteyttä tulostimen valmistajaan, jotta saat päivitetyt ohjaimet.  Tämä ongelma voi ilmetä myös silloin, kun tulostinohjain ja tulostuspalvelin käyttävät samaa tiedostonimeä, mutta palvelimella on ohjaintiedoston uudempi versio. Kun tulostussovellus muodostaa yhteyden tulostuspalvelimeen, se löytää uuden ohjaintiedoston ja kehottaa päivittämään tulostinsovelluksen ohjaimet. Pakettiin sisältyvät tiedostot eivät kuitenkaan sisällä uudempia ohjaintiedostoversiota. 

Verrattavat tiedostot ovat taustatulostuskansion ohjaimia, jotka ovat yleensä kansiossa C:\Windows\System32\spool\drivers\x64\3 sekä tulostussovelluksessa että tulostuspalvelimessa.  Asennettavaksi tarjottu ohjainpaketti on yleensä tulostuspalvelimen C:\Windows\System32\spool\drivers\x64\PCC-tiedostossa.  Kun \3-kansion tiedostoja verrataan laitteiden välillä, pcc-paketti asennetaan, jos ne eivät täsmää.  Jos tulostuspalvelimen \3-kansiossa sijaitsevat tiedostot eivät ole samalta tulostinohjaimelta, jonka PCC tarjoaa asiakkaalle, tulostussovellus vertaa tiedostoja ja löytää yhteensopimavirheen joka kerta, kun se tulostetaan. 

Voit lieventää tätä ongelmaa tarkistamalla, että käytät uusimpia ohjaimia kaikissa tulostuslaitteillasi.  Käytä mahdollisuuksien mukaan samaa tulostinohjaimen versiota tulostusohjelmassa ja tulostuspalvelimessa. Jos ympäristön ohjainten päivittäminen ei ratkaise ongelmaa, ota yhteyttä tulostimen valmistajan (OEM) tukeen.

K2: Asensin 14. syyskuuta 2021 julkaistut päivitykset ja jotkin Windows eivät voi tulostaa verkkotulostinta.  Onko minun asennettava päivityksiä tulostusasiakkaisiin ja tulostuspalvelimiin?

A2: Ennen 14. syyskuuta 2021 julkaistujen päivitysten asentamista tulostuspalvelimissa tulostusasiakkaissa on oltava asennettuna päivitykset, jotka on julkaistu 12. tammikuuta 2021 tai uudempi versio. Windows-laitteita ei tulosteta, jos niihin ei ole asennettu päivitystä, joka on julkaistu 12. tammikuuta 2021 tai sitä uudempi versio. 

Huomautus Sinun ei tarvitse asentaa aiempia päivityksiä ja asentaa mitään päivitystä 12.1.2021 jälkeen tulostusasiakkaisiin.  Suosittelemme asentamaan uusimman kumulatiivisen päivityksen sekä asiakkaisiin että palvelimiin.

Resurssit

Tarvitsetko lisäohjeita?

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Microsoft Insider-käyttäjille

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?

Kiitos palautteestasi.

×