KB5005010: 2021 年 7 月 6 日の更新プログラムの適用後に新しいプリンター ドライバーのインストールを制限する

2021 年 7 月 6 日以降にリリースされたセキュリティ更新プログラムには、CVE-2021-34527 に記載されている、"PrintNightmare" と呼ばれる Windows 印刷スプーラー サービス(spoolsv.exe)のリモートコード実行の脆弱性に対する保護が含まれています。   July 2021 以降の更新プログラムをインストールした後、管理者以外 (プリンター オペレーターなどの代理管理者グループを含む) は、署名付きプリンター ドライバーと署名されていないプリンター ドライバーを印刷サーバーにインストールできません。 既定では、署名付きプリンター ドライバーと署名されていないプリンター ドライバーの両方を印刷サーバーにインストールできるのは管理者のみです。 

CVE-2021-34527 の保護を含む July 2021 アウトオブバンド以降の Windows 更新プログラムをインストールする前に、プリンターオペレーターのセキュリティ グループは、署名付きプリンター ドライバーと署名されていないプリンター ドライバーの両方をプリンター サーバーにインストールできます。 2021 年 7 月の帯域外更新プログラムより、署名付きプリンター ドライバーと署名されていないプリンター ドライバーをプリンター サーバーにインストールするには、管理者の資格情報が必要になります。 必要に応じて、すべてのポイントと印刷の制限グループのポリシー設定をオーバーライドし、管理者だけがプリンター ドライバーを印刷サーバーにインストールするには、RestrictDriverInstallationToAdministrators レジストリ値を 1 に構成します。

現在印刷スプーラー サービスをホストしているデバイスから始め、2021 年 7 月 6 日以降にリリースされた最新の Windows 更新プログラムを、サポートされているすべての Windows クライアントおよびサーバー オペレーティング システムに直ちにインストールすることをお勧めします。 次に、[ポイントと印刷の制限] グループ ポリシー設定の [新しい接続のドライバーをインストールする場合] と [既存の接続のドライバーを更新する場合] を [警告と昇格のプロンプトを表示する] に設定します。

  1. July Out-of-band 以降の更新プログラムをインストールします。

  2. 次の条件に当てはまるか確認します。

  • レジストリ設定: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) または定義されていない (既定の設定)

    • UpdatePromptSettings = 0 (DWORD) または定義されていない (既定の設定)

  • グループ ポリシー: ポイントと印刷の制限グループ ポリシーを構成していない。

両方の条件に当てはまる場合、CVE-2021-34527 に対して脆弱ではなく、それ以上のアクションは必要はありません。 いずれかの条件が true ではない場合は、脆弱です。 ポイントと印刷の制限グループ ポリシーをセキュリティで保護された構成に変更するには、次の手順に従います。

  1. グループ ポリシー エディター ツールを開き、[プリンター] の [管理>コンピューター >移動します 

  2. [ポイントと印刷の制限] グループ ポリシー設定を次のように構成します。

    1. [ポイントと印刷の制限] グループ ポリシーの設定を [有効] に設定します。

    2. "新しい接続用のドライバーをインストールする場合": "警告と昇格のプロンプトを表示します"。

    3. "既存の接続のドライバーを更新する場合": "警告と昇格のプロンプトを表示する"。

代替テキスト

大事な 印刷スプーラー サービスをホストしているすべてのマシンにこのポリシーを適用することを強く推奨します。

再起動の要件: このポリシーの変更では、これらの設定を適用した後に、デバイスまたは印刷スプーラー サービスを再起動する必要は一切発生します。 

3. 次のレジストリ キーを使用して、グループ ポリシーが正しく適用されていることを確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

警告 これらを 0 以外の値に設定すると、CVE-2021-34527 更新プログラムをインストールしたデバイスが脆弱になります。

これらの設定を構成しても、ポイントと印刷の機能は無効になではありません。

4. [省略可能] 管理者だけがプリンター サーバーに印刷ドライバーをインストールできるよう、ポイントと印刷の制限をオーバーライドする 

すべてのポイントと印刷の制限グループ ポリシー設定をオーバーライドし 、RestrictDriverInstallationToAdministrators レジストリ値を 1 に構成することで、管理者だけがプリンター ドライバーを印刷サーバーにインストールできます。

新しいプリンター ドライバーのインストールを制限するには、次のように RestrictDriverInstallationToAdministrators レジストリ値を手動で設定します。

この制限に対するグループ ポリシー設定はありません。

レジストリの場所

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

RestrictDriverInstallationToAdministratorsレジストリ設定は PointAndPrint レジストリの場所に存在しますが、CVE-2021-34527の保護に固有ですが、ポイントと印刷の動作には関係しません。

DWord 名

RestrictDriverInstallationToAdministrators

値データ

値を  0に設定するか、値を未定義のままにすると、管理者以外は署名付きドライバーと署名されていないドライバーを印刷サーバーにインストールできませんが、ポイント と印刷グループ ポリシーの設定は   オーバーライドされません。 これが既定値です。 そのため、[ポイントと印刷の制限] グループ ポリシーの設定はこれをオーバーライドして、管理者以外が署名付き印刷ドライバーと署名されていない印刷ドライバーを印刷サーバーにインストールできます。

この値を  1または 0 以外の値に設定すると、ポイントと印刷の制限グループのすべてのポリシー設定がオーバーライドされ、管理者だけがプリンター ドライバーを印刷サーバーにインストールできます   。  

注: この値が 0 に設定されている場合、レジストリ値は無効になります (既定値または存在しません)。

再起動の要件

このレジストリ値を作成または変更するときに再起動する必要はありません。

RestrictDriverInstallationToAdministratorsレジストリ値の追加を自動化するには、次の手順に従います。

  1. 管理者特権でコマンド プロンプト ウィンドウ (cmd.exe) を開きます。

  2. 次のコマンドを入力し、Enter キーを押します。

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

CVE-2021-34527 の修正プログラムは、共有ネットワーク プリンターの印刷ドライバーに接続してインストールするクライアント デバイスの既定のポイント ドライバーと印刷ドライバーのインストール シナリオに影響しますか?

いいえ。CVE-2021-34527 の修正プログラムは、共有ネットワーク プリンター用の印刷ドライバーに接続してインストールするクライアント デバイスの既定のポイント および印刷ドライバーのインストール シナリオには直接影響しません。 この場合、クライアント デバイスは印刷サーバーに接続し、その信頼されたサーバーからドライバーをダウンロードしてインストールします。 このシナリオは、攻撃者が悪意のあるドライバーを印刷サーバー自体 (ローカルまたはリモート) にインストールしようとしている脆弱なシナリオとは異なります。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

翻訳品質にどの程度満足していますか?

どのような要因がお客様の操作性に影響しましたか?

その他にご意見はありますか?(省略可能)

フィードバックをお送りいただきありがとうございます!

×