Suvestinė

Windows, išleisti 2021 m. rugpjūčio 10 d. ir naujesnėse versijose, pagal numatytuosius nustatymus reikės administratoriaus teisių įdiegti tvarkykles. Mes atlikome šį numatytojo veikimo pakeitimą, kad atsvertų riziką visuose Windows įrenginiuose, įskaitant įrenginius, kurie nenaudos taškų ir spausdinimo arba spausdinimo funkcijų. Daugiau informacijos ieškokite Taškų ir spausdinimo numatytųjų veikimo parametrų keitimas ir CVE-2021-34481.  

Pagal numatytuosius nustatymus ne administratoriaus vartotojai nebegalės atlikti toliau nurodytų veiksmų naudodami taškų ir spausdinimo funkciją be didesnių teisių administratoriui:

  • Naujų spausdintuvų diegimas naudojant tvarkykles nuotoliniame kompiuteryje arba serveryje

  • Esamų spausdintuvo tvarkyklių naujinimas naudojant nuotolinio kompiuterio arba serverio tvarkykles

Pastaba Jei nenaudojate taškų ir spausdinimo ,šis pakeitimas neturėtų turėti įtakos ir bus apsaugotas pagal numatytuosius parametrus įdiegus naujinimus, išleistus 2021 m. rugpjūčio 10 d. arba naujesnę versiją.

Svarbu Spausdinimo klientai jūsų aplinkoje turi turėti naujinimą, išleistą 2021 m. sausio 12 d. arba naujesnę versiją prieš diegiant naujinimų leidimą, 2021 m. rugsėjo 14 d.  Daugiau informacijos žr. 2 K skyriuje "Dažnai užduodami klausimai".

Numatytojo tvarkyklės diegimo veikimo modifikavimas naudojant registro raktą

Šį numatytąjį veikimą galite modifikuoti naudodami toliau pateiktoje lentelėje esantį registro raktą. Tačiau būkite labai atsargūs naudodami nulinę reikšmę (0), nes taip įrenginiai tampa pažeidžiamais. Jei turite naudoti registro reikšmę 0 savo aplinkoje, rekomenduojame ją laikinai naudoti, kai pakoreguojate aplinką, kad "Windows" įrenginiai galėtų naudoti vieno reikšmę (1).   

Registro vieta

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord pavadinimas

RestrictDriverInstallationToAdministrators

Reikšmės duomenys

Numatytasis veikimas: Nustačius šią reikšmę į 1 arba jei raktas nėra apibrėžtas arba jo nėra ,reikės administratoriaus teisių įdiegti bet kurią spausdintuvo tvarkyklę naudojant tašką ir spausdinimui. Šis registro raktas perrašys visus grupės strategijos parametrus Point and Print Restrictions ir užtikrins, kad tik administratoriai gali įdiegti spausdintuvo tvarkykles iš spausdinimo serverio naudodami taškų ir spausdinimo funkciją.

Nustačius reikšmę į 0, ne administratoriai gali įdiegti pasirašytas ir nepasirašytas tvarkykles į spausdinimo serverį, bet neperrašo taškų ir spausdinimo grupės strategijos parametrų. Todėl grupės strategijos parametrai Point and Print Restrictions gali perrašyti šį registro rakto parametrą, kad ne administratoriai neįdiegtų pasirašytų ir nepasirašytų spausdinimo tvarkyklių iš spausdinimo serverio. Kai kurie administratoriai gali nustatyti reikšmę 0, kad ne administratoriai galėtų įdiegti ir atnaujinti tvarkykles įtraukę papildomų apribojimų, įskaitant strategijos parametro, kuriuo ribojama, iš kur galima įdiegti tvarkykles, įtraukimą.

Svarbu Nėra jokių mažinimo priemonių derinio, atitinkančio parametrą RestrictDriverInstallationToAdministrators 1.

Reikalavimai paleisti iš naujo

Kuriant arba modifikuojant šią registro reikšmę nereikia paleisti iš naujo.

Pastaba Windows naujinimai nebus nustatyti arba pakeisti registro rakto. Registro raktą galite nustatyti prieš diegdami naujinimus, išleistus 2021 m. rugpjūčio 10 d. arba vėliau.

"RestrictDriverInstallationToAdministrators" pridėjimo automatizavimas

Norėdami automatizuoti registro reikšmės RestrictDriverInstallationToAdministrators pridėjimą, atlikite šiuos veiksmus:

  1. Atidarykite komandinės eilutės langą (cmd.exe) su didesnėmis teisėmis.

  2. Įveskite šią komandą ir paspauskite "Enter":

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Spausdinimo tvarkyklių diegimas, kai vykdomas naujas numatytasis parametras

Jei nustatote RestrictDriverInstallationToAdministrators kaip neapsiribotą arba 1, atsižvelgiant į jūsų aplinką, vartotojai turi naudoti vieną iš toliau nurodytų spausdintuvų diegimo būdų:

  • Pateikite administratoriaus vartotojo vardą ir slaptažodį, kai būsite paraginti įvesti kredencialus bandant įdiegti spausdintuvo tvarkyklę.

  • Įtraukite reikiamas spausdintuvo tvarkykles į OS vaizdą.

  • Norėdami nuotoliniu būdu įdiegti spausdintuvo tvarkykles, naudokite "Microsoft System Center", "Microsoft Endpoint Configuration Manager" arba atitinkamą įrankį.

  • Laikinai nustatykite RestrictDriverInstallationToAdministrators 0, kad įdiegtumėte spausdintuvo tvarkykles.

Pastaba Jei negalite įdiegti spausdintuvo tvarkyklių, net jei turite administratoriaus teises, turite išjungti tik paketo taško ir spausdinimo grupės strategiją.

Dalinis aplinkos, kurios negali naudoti numatytojo veikimo, mažinimas

Toliau nurodyti mažinimas gali padėti apsaugoti aplinką, jei turite nustatyti RestrictDriverInstallationToAdministrators 0. Šios švelninimo priemonės ne visiškai pašalina CVE-2021-34481 pažeidžiamumą.

Svarbu Nėra jokių mažinimo priemonių derinio, atitinkančio parametrą RestrictDriverInstallationToAdministrators 1.

Patikrinkite, ar RpcAuthnLevelPrivacyEnabled nustatyta į 1 arba nėra apibrėžta

Patikrinkite, ar RpcAuthnLevelPrivacyEnabled nustatyta kaip 1 arba nėra apibrėžta kaip aprašyta "Printer RPC" susiejimo keitimų valdymas CVE-2021-1678 (KB4599464).

Leisti vartotojams prisijungti tik prie konkrečių spausdinimo serverių, kuriuos pasitikite

Ši strategija, Taškų ir spausdinimoapribojimai taikoma taškų ir spausdinimo spausdintuvams, kurie serveryje naudoja ne paketo tvarkyklę. 

Atlikite šiuos veiksmus:

  1. Atidarykite grupės strategijos valdymo konsolę (GPMC).

  2. GPMC konsolės medyje eikite į domeną arba organizacijos vienetą (OU), kuriame saugomos vartotojų paskyros, kurių spausdintuvo tvarkyklės saugos parametrus norite modifikuoti.

  3. Dešiniuoju pelės mygtuku spustelėkite atitinkamą domeną arba OU ir spustelėkite Kurti GPO šiame domene, tada susiekite jį čia.Įveskite naujo grupės strategijos objekto (GPO) pavadinimą, tada spustelėkite Gerai.

  4. Dešiniuoju pelės mygtuku spustelėkite sukurtą GPO, tada spustelėkite Redaguoti.

  5. Lange Grupės strategijos valdymo rengyklė spustelėkite Kompiuterio konfigūracija, strategijos ,administravimo šablonai, tada spustelėkite Spausdintuvai.

  6. Dešiniuoju pelės mygtuku spustelėkite Taškų ir spausdinimoapribojimai , tada spustelėkite Redaguoti.

  7. Dialogo lange Taškų ir spausdinimo apribojimai spustelėkite Įgalinta.

  8. Pažymėkite žymės langelį Vartotojai gali nurodyti ir spausdinti tik į šiuos serverius, jei jis dar neparinktas.

  9. Įveskite visiškai apibrėžtus serverio vardus. Atskirkite kiekvieną pavadinimą kabliataškiu (;).

  10. Lauke Diegiant naujo ryšio tvarkykles pasirinkite Rodyti įspėjimą ir Pakelti raginimą.

  11. Lauke Naujinant esamo ryšio tvarkykles pasirinkite Rodyti įspėjimą ir Pakelti raginimą.

  12. Spustelėkite Gerai.

Leisti vartotojams prisijungti tik prie konkrečių paketų taškų ir spausdinimo serverių, kuriuos pasitikite

Ši strategija, "Package Point" ir "Print" –patvirtinti serveriai apribos kliento veikimą, kad būtų galima tik leisti taškų ir spausdinimo ryšius su apibrėžtais serveriais, kurie naudoja paketo tvarkykles.

Atlikite šiuos veiksmus:

  1. Domeno valdiklyje pasirinkite Pradžia, pasirinkite Administravimo įrankiai, tada pasirinkite Grupės strategijos valdymas. Arba pasirinkite Pradžia, pasirinkite Vykdyti, įveskite GPMC.MSC, tada paspauskite "Enter".

  2. Išplėskite mišką ir išplėskite domenus.

  3. Dalyje domenas pasirinkite OU, kur norite sukurti šią strategiją.

  4. Dešiniuoju pelės mygtuku spustelėkite OU, tada pasirinkite Kurti GPO šiame domene ir susiekite jį čia.

  5. Suteikite GPO pavadinimą, tada pasirinkite Gerai.

  6. Dešiniuoju pelės mygtuku spustelėkite naujai sukurtą grupės strategijos objektą, tada pasirinkite Redaguoti, kad atidarytumėte grupės strategijos valdymo rengyklę.

  7. Grupės strategijos valdymo rengyklėje išplėskite šiuos aplankus:

    1. Kompiuterio konfigūracija

    2. Strategijos

    3. Administravimo šablonai

    4. Vietinio kompiuterio policijos

    5. Spausdintuvai

  8. Įgalinti paketo tašką ir spausdinti – patvirtinti serveriai ir pasirinkite mygtuką Rodyti...

  9. Įveskite visiškai apibrėžtus serverio vardus. Atskirkite kiekvieną pavadinimą kabliataškiu (;).

Dažnai užduodami klausimai

1 k. Kiekvieną kartą bandau spausdinti, gaunu raginimą" "Ar pasitikite šiuo spausdintuvu", ir norint tęsti, reikia administratoriaus kredencialų.  Ar tai turėtų būti?

A1: Nesitikima, kad būsite paraginti atlikti kiekvieną spausdinimo užduotį.  Taip atsitinka, kai spausdinimo tvarkyklė spausdinimo kliente ir spausdinimo serveryje naudoja tą patį failo vardą, tačiau serveryje yra naujesnė tvarkyklės failo versija. Kai spausdinimo klientas prisijungia prie spausdinimo serverio, jis randa naujesnį tvarkyklės failą ir paraginamas atnaujinti tvarkykles spausdinimo kliente. Tačiau pakete, kurį siūloma įdiegti, nėra naujesnės tvarkyklės failo versijos. 

Lyginami failai yra tvarkyklės, kurios yra kaupos aplanke, paprastai C:\Windows\System32\spool\drivers\x64\3 tiek spausdinimo kliente, tiek spausdinimo serveryje.  Tvarkyklės paketas, siūlomas diegti, paprastai bus C:\Windows\System32\spool\drivers\x64\PCC spausdinimo serveryje.  Kai aplanke \3 esantys failai palyginami tarp įrenginių, jei jie nesutampa, įdiegiamas paketas PCC.  Jei spausdinimo serverio \3 aplanke esantys failai nėra iš tos pačios spausdintuvo tvarkyklės, kurią PCC siūlo klientui, spausdinimo klientas palygins failus ir ras neatitikimą kaskart jį spausdinant. 

Norėdami sušvelninti šią problemą, patikrinkite, ar naudojate naujausias tvarkykles visuose spausdinimo įrenginiuose.  Jei įmanoma, naudokite tą pačią spausdinimo tvarkyklės versiją spausdinimo kliente ir spausdinimo serveryje. Jei atnaujinus tvarkykles jūsų aplinkoje problema neišsprendžiama, kreipkitės į spausdintuvo gamintojo (OĮG) palaikymo tarnybą.

2 K: įdiegiau naujinimus, išleistus 2021 m. rugsėjo 14 d., o kai Windows įrenginiai negali spausdinti tinklo spausdintuvais.  Ar yra užsakymas, kad turėčiau įdiegti naujinimus spausdinimo klientams ir spausdinimo serveriuose?

A2: Prieš diegiant naujinimus, išleistus 2021 m. rugsėjo 14 d. arba naujesnę versiją spausdinimo serveriuose, spausdinimo klientams turi būti įdiegti naujinimai, išleisti 2021 m. sausio 12 d. arba naujesnėse versijose. Windows įrenginiai nebus spausdinami, jei jie neįdiegs naujinimo, išleisto 2021 m. sausio 12 d. arba naujesnėse versijose. 

Pastaba Jums nereikia įdiegti ankstesnių naujinimų ir po 2021 m. sausio 12 d. galite įdiegti bet kokį naujinimą spausdinimo klientams.  Rekomenduojame įdiegti naujausią kaupiamąjį naujinimą tiek klientams, tiek serveriuose.

Ištekliai

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Ar esate patenkinti vertimo kokybe?

Kas turėjo įtakos jūsų patirčiai?

Turite daugiau atsiliepimų? (Pasirinktinai)

Dėkojame už jūsų atsiliepimus!

×