Riassunto

Gli aggiornamenti della sicurezza rilasciati il 6 luglio 2021 contengono protezioni per una vulnerabilità di esecuzione di codice in modalità remota nel servizio Spooler di stampa di Windows (spoolsv.exe) noto come   "PrintNightmare", documentato in CVE-2021-34527. Dopo l'installazione degli aggiornamenti di luglio 2021 e versioni successive, gli utenti non amministratori, inclusi i gruppi di amministratori delegati come gli operatori di stampanti, non possono installare driver della stampante firmati e non firmati in un server di stampa. Per impostazione predefinita, solo gli amministratori possono installare i driver della stampante firmati e non firmati in un server di stampa. 

Nota Prima di installare gli aggiornamenti fuori banda di luglio 2021 e successivi Windows contenenti protezioni per CVE-2021-34527, il gruppo di sicurezza degli operatori di stampanti poteva installare in un server di stampa sia driver della stampante firmati che non firmati. A partire dall'aggiornamento fuori banda di luglio 2021, per installare i driver della stampante firmati e non firmati in un server di stampa saranno necessarie le credenziali di amministratore. Facoltativamente, per ignorare tutte le impostazioni dei Criteri di gruppo Restrizioni punti e stampa e assicurarsi che solo gli amministratori possano installare i driver della stampante in un server di stampa, configurare il valore del Registro di sistema RestrictDriverInstallationToAdministrators su 1.

È consigliabile installare immediatamente gli aggiornamenti di Windows più recenti rilasciati il 6 luglio 2021 in tutti i sistemi operativi client e server Windows supportati, a partire dai dispositivi che attualmente ospitano il servizio spooler di stampa. Impostare quindi le opzioni "Quando si installano i driver per una nuova connessione" e "Quando si aggiornano i driver per una connessione esistente" nell'impostazione criteri di gruppo Restrizioni punti e stampa su "Mostra avviso e richiesta di elevazione".

Risoluzione

  1. Installare gli aggiornamenti fuori banda di luglio 2021 o versioni successive.

  2. Verificare se le condizioni seguenti sono vere:

  • Registro di Impostazioni: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) o non definito (impostazione predefinita)

    • UpdatePromptSettings = 0 (DWORD) o non definito (impostazione predefinita)

  • Criteri di gruppo: i Criteri di gruppo Restrizioni punti e stampa non sono stati configurati.

Se entrambe le condizioni sono vere, non si è esposti a CVE-2021-34527 e non sono necessarie altre azioni. Se una delle due condizioni non è vera, si è vulnerabili. Seguire la procedura seguente per modificare i Criteri di gruppo Restrizioni punti e stampa in una configurazione sicura.

  1. Aprire lo strumento Editor Criteri di gruppo e passare a Configurazione computer > modelli amministrativi > stampanti. 

  2. Configurare l'impostazione di Criteri di gruppo Restrizioni punti e stampa nel modo seguente:

    1. Impostare l'impostazione di Criteri di gruppo Restrizioni punti e stampa su "Abilitato".

    2. "Quando si installano i driver per una nuova connessione": "Mostra avviso e richiesta di elevazione".

    3. "Quando si aggiornano i driver per una connessione esistente": "Mostra avviso e richiesta di elevazione".

testo alternativo

Importante È consigliabile applicare questo criterio a tutti i computer che ospitano il servizio spooler di stampa.

Requisiti di riavvio: Questa modifica dei criteri non richiede il riavvio del dispositivo o del servizio spooler di stampa dopo l'applicazione di queste impostazioni. 

3. Usare le chiavi del Registro di sistema seguenti per verificare che i Criteri di gruppo siano stati applicati correttamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Avviso Impostando questi valori su valori diversi da zero, i dispositivi in cui è stato installato l'aggiornamento CVE-2021-34527 sono vulnerabili.

Nota La configurazione di queste impostazioni non disabilita la caratteristica Punti e stampa.

4. [Facoltativo] Ignorare le restrizioni relative al punto e alla stampa in modo che solo gli amministratori possano installare i driver di stampa nei server di stampa 

È possibile ignorare tutte le impostazioni di Criteri di gruppo Restrizioni punti e stampa e assicurarsi che solo gli amministratori possano installare i driver della stampante in un server di stampa configurando il valore del Registro di sistema RestrictDriverInstallationToAdministrators su 1.

Per limitare l'installazione di nuovi driver della stampante, impostare manualmente il valore del Registro di sistema RestrictDriverInstallationToAdministrators nel modo seguente:

Nota Non esiste alcuna impostazione di Criteri di gruppo per questa restrizione.

Posizione del Registro di sistema

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NotaL'impostazione del Registro di sistema RestrictDriverInstallationToAdministrators si trova nel percorso del Registro di sistema PointAndPrint, ma è specifica delle protezioni per CVE-2021-34527, ma non è correlata al comportamento di puntamento e stampa.

Nome DWord

RestrictDriverInstallationToAdministrators

Dati valore

Impostando il valore su 0 o lasciando il valore indefinito, gli utenti non amministratori possono installare driver firmati e non firmati in un server di stampa, ma non sovrascrivono le impostazioni di Criteri di gruppo punto e    stampa. Questo è il valore predefinito. Di conseguenza, l'impostazione di Criteri di gruppo Restrizioni punti e stampa può ignorare questa impostazione per consentire agli utenti non amministratori di installare driver di stampa firmati e non firmati in un server di stampa.

Se si imposta questo valore su 1 o su un valore diverso da zero, tutte le impostazioni dei Criteri di gruppo Limitazioni punti e stampa verranno sovrascritte e solo gli amministratori potranno installare i driver della stampante in un    server di stampa.  

Nota: Se questo valore è impostato su 0,il valore del Registro di sistema è disabilitato (impostazione predefinita o non presente).

Requisiti di riavvio

Non è necessario riavviare il sistema quando si crea o si modifica questo valore del Registro di sistema.

Per automatizzare l'aggiunta del valore del Registro di sistema RestrictDriverInstallationToAdministrators, seguire questa procedura:

  1. Aprire una finestra del prompt dei comandi (cmd.exe) con autorizzazioni elevate.

  2. Digitare il comando seguente e quindi premere INVIO:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Altre informazioni

Le correzioni per CVE-2021-34527 influiscono sull'impostazione predefinita dello scenario di installazione dei driver di puntamento e stampa per un dispositivo client che si connette e installa un driver di stampa per una stampante di rete condivisa?

No, le correzioni per CVE-2021-34527 non influiscono direttamente sugli scenari di installazione dei driver di punto e di stampa predefiniti per un dispositivo client che si connette e installa un driver di stampa per una stampante di rete condivisa. In questo caso, un dispositivo client si connette a un server di stampa e scarica e installa i driver da tale server attendibile. Questo scenario è diverso dallo scenario vulnerabile in cui un utente malintenzionato sta tentando di installare un driver dannoso nel server di stampa stesso, in locale o in remoto.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Quanto ti soddisfa la qualità della traduzione?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×