Sažetak

Windows ažuriranja objavljena 10. kolovoza 2021. i novija po zadanom će biti potrebna administratorska ovlast za instalaciju upravljačkih programa. Tu smo promjenu promijenili u zadanom ponašanju radi rješavanja rizika na svim Windows uređajima, uključujući uređaje koji ne koriste funkcije Point i Print ili print. Dodatne informacije potražite u članku Promjena zadanog ponašanja u točkama i ispisu i CVE-2021-34481.  

Korisnici koji nisu administratori po zadanom više neće moći učiniti sljedeće pomoću mogućnosti Pokaži i Ispis bez povećanja ovlasti administratoru:

  • Instalacija novih pisača pomoću upravljačkih programa na udaljenom računalu ili poslužitelju

  • Ažuriranje postojećih upravljačkih programa pisača pomoću upravljačkih programa s udaljenog računala ili poslužitelja

Napomena Ako ne koristite Point and Print, ta promjena ne bi trebala utjecati na vas i bit ćete zaštićeni po zadanom nakon instalacije ažuriranja objavljenih 10. kolovoza 2021. ili novije verzije.

Važno Ispis klijenata u okruženju mora imati ažuriranje objavljeno 12. siječnja 2021. ili novije prije instalacije ažuriranja izdanja 14. rujna 2021.  Dodatne informacije potražite u odjeljku Pitanja i odgovori u odjeljku "Najčešća pitanja".

Izmjena zadanog ponašanja instalacije upravljačkog programa pomoću ključa registra

To zadano ponašanje možete izmijeniti pomoću ključa registra u tablici u nastavku. No budite vrlo oprezni prilikom korištenja vrijednosti nula (0) jer zbog toga su uređaji osjetljivi. Ako morate koristiti vrijednost registra 0 u okruženju, preporučujemo da je privremeno koristite dok prilagođavate okruženje da biste Windows uređajima omogućili korištenje vrijednosti jednog (1).   

Mjesto registra

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord name

RestrictDriverInstallationToAdministrators

Podaci o vrijednosti

Zadano ponašanje: Ako tu vrijednost postavite na 1 ili ako ključ nije definiran ili nije prisutan,bit će potrebna administratorska ovlast za instalaciju upravljačkog programa pisača prilikom korištenja programa Point i Print. Taj će ključ registra nadjačati sve postavke pravilnika grupe Point and Print Restrictions i jamčiti da samo administratori mogu instalirati upravljačke programe pisača s poslužitelja za ispis pomoću točke i ispisa.

Postavljanje vrijednosti na 0 omogućuje administratorima koji nisu administratori da instaliraju potpisane i nepotpisane upravljačke programe na poslužitelj za ispis, ali ne nadjačava postavke pravilnika grupe Point i Print. Zbog toga postavke pravilnika grupe Za točke i ispis mogu nadjačati tu postavku ključa registra da ne bi administratori mogli instalirati potpisane i nepotpisane upravljačke programe za ispis s poslužitelja za ispis. Neki administratori mogu postaviti vrijednost na 0 da bi korisnici koji nisu administratori mogli instalirati i ažurirati upravljačke programe nakon dodavanja dodatnih ograničenja, uključujući dodavanje postavke pravilnika koja ograničava instalaciju upravljačkih programa.

Važno Ne postoji kombinacija ublažavanja koja je ekvivalentna postavljanju RestrictDriverInstallationToAdministrators na 1.

Napomena Ažuriranja objavljena 6. srpnja 2021. ili novija imaju zadanu vrijednost 0 (onemogućena) sve dok instalacija ažuriranja ne bude objavljena 10. kolovoza 2021. ili novija.  Ažuriranja objavljena 10. kolovoza 2021. ili novija imaju zadanu vrijednost 1 (omogućeno).

Preduvjeti za ponovno pokretanje

Prilikom stvaranja ili izmjene te vrijednosti registra nije potrebno ponovno pokrenuti.

Napomena Windows ažuriranja neće postaviti ni promijeniti ključ registra. Ključ registra možete postaviti prije ili nakon instalacije ažuriranja objavljenih 10. kolovoza 2021. ili novije verzije.

Automatizacija dodavanja registra RestrictDriverInstallationToAdministrators

Da biste automatizirali dodavanje vrijednosti registra RestrictDriverInstallationToAdministrators, slijedite ove korake:

  1. Otvorite prozor naredbenog retka (cmd.exe) s dodatnim dozvolama.

  2. Upišite sljedeću naredbu, a zatim pritisnite Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Postavljanje restrictDriverInstallationToAdministrators pomoću pravilnika grupe

Nakon instalacije ažuriranja objavljenih 12. listopada 2021. ili novije verzije možete postaviti i RestrictDriverInstallationToAdministrators pomoću pravilnika grupe pomoću sljedećih uputa:

  1. Otvorite alat za uređivanje pravilnika grupe i otvorite Konfiguracija računala > Administrativni predlošci > pisači. 

  2. Postavite postavku Ograničenja instalacije upravljačkog programa za ispis na administratore na "Omogućeno". Time će se vrijednost registra RestrictDriverInstallationToAdministrators postaviti na 1.

Instalacija upravljačkih programa za ispis kada se nametne nova zadana postavka

Ako postavite RestrictDriverInstallationToAdministrators kao što nije definirano ili na 1, ovisno o vašem okruženju, korisnici moraju koristiti jedan od sljedećih načina instalacije pisača:

  • Prilikom pokušaja instalacije upravljačkog programa pisača navedite administratorski korisničko ime i lozinku kada se od vas zatraži da unesete vjerodajnice.

  • U sliku operacijskog sustava uvrsti potrebne upravljačke programe pisača.

  • Koristite Microsoft System Center, Microsoft Endpoint Configuration Manager ili ekvivalentan alat da biste daljinski instalirali upravljačke programe pisača.

  • Privremeno postavite RestrictDriverInstallationToAdministrators na 0 da biste instalirali upravljačke programe pisača.

Napomena Ako ne možete instalirati upravljačke programe pisača, čak ni uz administratorsku ovlast, morate onemogućiti pravilnik grupe Samo koristi točku paketa i Ispis.

Preporučene postavke i djelomična ublažavanja za okruženja koja ne mogu koristiti zadano ponašanje

Sljedeća ublažavanja mogu pomoći u zaštiti svih okruženja, ali osobito ako morate postaviti RestrictDriverInstallationToAdministrators na 0. Ta se ublažavanja ne rješavaju u potpunosti slabe točke u programu CVE-2021-34481.

Važno Ne postoji kombinacija ublažavanja koja je ekvivalentna postavljanju RestrictDriverInstallationToAdministrators na 1.

Provjerite je li RpcAuthnLevelPrivacyEnabled postavljen na 1 ili nije definiran

Provjerite je li RpcAuthnLevelPrivacyEnabled postavljen na 1 ili nije definiran na način opisan u članku Upravljanje implementacijom promjena Uveza RPC pisača za CVE-2021-1678 (KB4599464).

Provjera jesu li sigurnosni upiti omogućeni za točke i ispis

Provjerite jesu li sigurnosni upiti omogućeni za točke i ispis kao što je opisano u članku KB5005010:Ograničavanje instalacije novih upravljačkih programa pisača nakon primjene ažuriranja 6. srpnja 2021. 

Dopuštanje korisnicima povezivanje samo s određenim poslužiteljima za ispis kojima vjerujete

Ta se pravila, ograničenja za točke iispis primjenjuju na pisače Point and Print pomoću upravljačkog programa koji nije upoznat s paketom na poslužitelju. 

Slijedite sljedeće korake:

  1. Otvorite konzolu za upravljanje pravilnikom grupe (GPMC).

  2. U stablu GPMC konzole otvorite domenu ili organizacijsku jedinicu (OU) u kojoj se pohranjuju korisnički računi za koje želite izmijeniti sigurnosne postavke upravljačkog programa pisača.

  3. Desnom tipkom miša kliknite odgovarajuću domenu ili OU pa kliknite Stvori GPO u ovoj domeni, a zatim je povežite ovdje.Upišite naziv novog objekta pravilnika grupe (GPO), a zatim kliknite U redu.

  4. Desnom tipkom miša kliknite GPO koji ste stvorili, a zatim kliknite Uređivanje.

  5. U prozoru uređivača upravljanja pravilnikom grupe kliknite Konfiguracija računala, kliknite Pravila, zatim Administrativni predlošci, a zatim Pisači.

  6. Desnom tipkom miša kliknite Ograničenja točke i ispisa, a zatim kliknite Uređivanje.

  7. U dijaloškom okviru Ograničenja za točke i ispis kliknite Omogućeno.

  8. Potvrdite okvir Korisnici mogu upu e-poštu na te poslužitelje ispisati samo ako još nije potvrđen.

  9. Unesite potpuno kvalificirane nazive poslužitelja. Svaki naziv odvojite točkom sa zarezom (;).

    Napomena Kada instalirate ažuriranja objavljena 21. rujna 2021. ili novija, taj pravilnik grupe možete konfigurirati točkama ili točkama (.) razgraničenih IP adresa naizmjenično s potpuno kvalificiranim nazivima glavnog računala.

  10. U okviru Prilikom instalacije upravljačkih programa za novu vezu odaberite Prikaži upozorenje i Povišeni upit.

  11. U okviru Prilikom ažuriranja upravljačkih programa za postojeću vezu odaberite Pokaži upozorenje i Povišeni upit.

  12. Kliknite U redu.

Dopuštanje korisnicima povezivanje samo s određenim poslužiteljima za točke paketa i ispis kojima vjerujete

Ovim će se pravilnikom, točkamapaketa i ispisom – odobrenim poslužiteljima ograničiti ponašanje klijenta da bi se omogućile veze s točkama i ispisom samo na definirane poslužitelje koji koriste upravljačke programe svjesne paketa.

Slijedite sljedeće korake:

  1. Na kontroleru domene odaberite Start , zatimAdministrativni alati, a zatim Upravljanje pravilnikom grupe. Možete i odabrati Start , odaberitePokreni, upišite GPMC.MSC, a zatim pritisnite Enter.

  2. Proširite šumu, a zatim proširite domene.

  3. U odjeljku domene odaberite OU u kojem želite stvoriti taj pravilnik.

  4. Desnom tipkom miša kliknite OU, a zatim odaberite Stvori GPO u ovoj domeni i povežite ga ovdje.

  5. Dajte GPO naziv, a zatim odaberite U redu.

  6. Desnom tipkom miša kliknite novostvoreni objekt pravilnika grupe, a zatim odaberite Uređivanje da biste otvorili uređivač upravljanja pravilnikom grupe.

  7. U uređivaču upravljanja pravilnikom grupe proširite sljedeće mape:

    1. Konfiguracija računala

    2. Pravila

    3. Administrativni predlošci

    4. Lokalne računalne policije

    5. Pisači

  8. Omogući točku paketa i ispis – odobreni poslužitelji i odaberite gumb Prikaži... .

  9. Unesite potpuno kvalificirane nazive poslužitelja. Svaki naziv odvojite točkom sa zarezom (;).

    Napomena Kada instalirate ažuriranja objavljena 21. rujna 2021. ili novija, taj pravilnik grupe možete konfigurirati točkama ili točkama (.) razgraničenih IP adresa naizmjenično s potpuno kvalificiranim nazivima glavnog računala.

Najčešća pitanja

P1: svaki put kada pokušam ispisati, primit ću upit u koji se kaže: "Vjerujete li ovom pisaču" i potrebne su administratorske vjerodajnice za nastavak.  Očekuje li se to?

O1: ne očekuje se upit za svaki zadatak ispisa. Većina okruženja ili uređaja na kojima se taj problem pojavi riješit će se instaliranjem ažuriranja objavljenih 12. listopada 2021. ili novije verzije.  Ta se ažuriranja odnose na problem koji se odnosi na poslužitelje za ispis i ispis klijenata koji nisu u istoj vremenskoj zoni. 

Ako i dalje imate taj problem nakon instalacije ažuriranja objavljenih 12. listopada 2021. ili novije verzije, možda ćete se morati obratiti proizvođaču pisača radi ažuriranih upravljačkih programa.  Taj se problem može pojaviti i kada upravljački program za ispis na klijentu za ispis i poslužitelj za ispis koriste isti naziv datoteke, ali poslužitelj ima noviju verziju datoteke upravljačkog programa. Kada se klijent za ispis poveže s poslužiteljem za ispis, pronaći će noviju datoteku upravljačkog programa i od njega će se zatražiti da ažurira upravljačke programe na klijentu za ispis. No datoteka u paketu koji se nudi za instalaciju ne obuhvaća noviju verziju datoteke upravljačkog programa. 

Datoteke koje se uspoređuju upravljački su programi unutar mape za usmjerivač, obično u sustavu C:\Windows\System32\spool\drivers\x64\3 na klijentu za ispis i na poslužitelju za ispis.  Paket upravljačkih programa koji se nudi za instalaciju obično će biti u sustavu C:\Windows\System32\spool\drivers\x64\PCC na poslužitelju za ispis.  Kada se datoteke u mapi \3 uspoređuju s uređajima, ako se ne podudaraju, instalira se paket u PCC-u.  Ako datoteke u mapi \3 poslužitelja za ispis nisu iz istog upravljačkog programa pisača koji PCC nudi klijentu, klijent za ispis usporedit će datoteke i pronaći neusklađenost svaki put kada se ispisuje. 

Da biste ublažili taj problem, provjerite koristite li najnovije upravljačke programe za sve uređaje za ispis.  Kada je to moguće, koristite istu verziju upravljačkog programa za ispis na klijentu za ispis i poslužitelju za ispis. Ako ažuriranje upravljačkih programa u vašem okruženju ne riješi problem, obratite se podršci proizvođaču pisača (OEM-u).

P2: Instalirao sam ažuriranja objavljena 14. rujna 2021., a neki Windows ne mogu ispisivati na mrežne pisače.  Postoji li narudžba za instalaciju ažuriranja na klijente za ispis i poslužitelje za ispis?

O2: Prije instalacije ažuriranja objavljenih 14. rujna 2021. ili novije verzije na poslužiteljima za ispis, klijenti za ispis moraju imati instalirana ažuriranja objavljena 12. siječnja 2021. ili novija. Windows neće ispisivati ako nisu instalirali ažuriranje objavljeno 12. siječnja 2021. ili novije. 

Napomena Ne morate instalirati ranija ažuriranja i instalirati bilo koje ažuriranje nakon 12. siječnja 2021. na ispis klijenata.  Preporučujemo da na klijente i poslužitelje instalirate najnovije kumulativno ažuriranje.

Resursi

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Koliko ste zadovoljni kvalitetom prijevoda?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×