Samenvatting
Windows updates die zijn uitgebracht op 10 augustus 2021 en hoger, zijn standaard beheerdersrechten vereist om stuurprogramma's te installeren. We hebben deze wijziging aangebracht in het standaardgedrag om het risico op alle apparaten Windows aan te pakken, inclusief apparaten die geen gebruik maken van de functionaliteit Point en Afdrukken of Afdrukken. Zie Standaardgedragswijziging punt en afdrukken en CVE-2021-34481 voor meer informatie.
Standaard kunnen niet-beheerders het volgende niet meer doen met Point and Print zonder dat beheerders een bevoegdheden hebben:
-
Nieuwe printers installeren met stuurprogramma's op een externe computer of server
-
Bestaande printerstuurprogramma's bijwerken met stuurprogramma's van externe computer of server
Opmerking Als u Punt en Afdrukken niet gebruikt, is deze wijziging niet van invloed op u en wordt deze standaard beveiligd na het installeren van updates die zijn uitgebracht op 10 augustus 2021 of hoger.
Belangrijk Voor het afdrukken van clients in uw omgeving moet een update zijn uitgebracht op 12 januari 2021 of hoger voordat updates worden geïnstalleerd op 14 september 2021. Zie Q2 in 'Veelgestelde vragen' hieronder voor meer informatie.
Het installatiegedrag van het standaard stuurprogramma wijzigen met een registersleutel
U kunt dit standaardgedrag wijzigen met de registersleutel in de onderstaande tabel. Wees echter heel voorzichtig bij het gebruik van een waarde van nul (0), omdat apparaten hierdoor kwetsbaar zijn. Als u de registerwaarde 0 in uw omgeving moet gebruiken, raden we u aan deze tijdelijk te gebruiken terwijl u uw omgeving aanpast zodat Windows-apparaten de waarde van één (1) kunnen gebruiken.
Registerlocatie |
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
DWord-naam |
RestrictDriverInstallationToAdministrators |
Waardegegevens |
Standaardgedrag: Als u deze waarde instelt op 1 of als de sleutel niet is gedefinieerd of niet aanwezig is, hebt u beheerdersrechten nodig om een printerstuurprogramma te installeren wanneer u Point and Print gebruikt. Met deze registersleutel worden alle instellingen voor groepsbeleid voor punt- en afdrukbeperkingen overgenomen en zorgt u ervoor dat alleen beheerders printerstuurprogramma's kunnen installeren vanaf een afdrukserver met Point en Afdrukken. Als u de waarde instelt op 0 , kunnen niet-beheerders ondertekende en niet-ondertekende stuurprogramma's installeren op een afdrukserver, maar worden de instellingen van het groepsbeleid Punt en Afdrukgroep niet overgenomen. Daarom kunnen de groepsbeleidsinstellingen Voor punt- en afdrukbeperkingen deze instelling voor registersleutels overschrijven om te voorkomen dat niet-beheerders ondertekende en niet-ondertekende afdrukty stuurprogramma's installeren vanaf een afdrukserver. Sommige beheerders kunnen de waarde instellen op 0 om niet-beheerders toe te staan stuurprogramma's te installeren en bij te werken na het toevoegen van aanvullende beperkingen, waaronder het toevoegen van een beleidsinstelling waarmee wordt beperkt waar stuurprogramma's vandaan kunnen worden geïnstalleerd. Belangrijk Er is geen combinatie van mitigaties die gelijk is aan het instellen van RestrictDriverInstallationToAdministrators op 1. Opmerking Updates die zijn uitgebracht op 6 juli 2021 of hoger, hebben een standaardwaarde van 0 (uitgeschakeld) tot de installatie van updates die zijn uitgebracht op 10 augustus 2021 of hoger. Updates die zijn uitgebracht op 10 augustus 2021 of hoger, hebben een standaardwaarde van 1 (ingeschakeld). |
Vereisten opnieuw starten |
Er is geen herstart vereist bij het maken of wijzigen van deze registerwaarde. |
Opmerking Windows wordt de registersleutel niet ingesteld of gewijzigd. U kunt de registersleutel instellen voor of na het installeren van updates die zijn uitgebracht op 10 augustus 2021 of hoger.
De toevoeging van RestrictDriverInstallationToAdministrators registerwaarde automatiseren
Als u de toevoeging van de registerwaarde RestrictDriverInstallationToAdministrators wilt automatiseren, gaat u als volgt te werk:
-
Open een opdrachtpromptvenster (cmd.exe) met verhoogde machtigingen.
-
Typ de volgende opdracht en druk op Enter:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
RestrictDriverInstallationToAdministrators instellen met groepsbeleid
Nadat updates zijn geïnstalleerd die zijn uitgebracht op 12 oktober 2021 of hoger, kunt u ook RestrictDriverInstallationToAdministrators instellen met behulp van een groepsbeleid, met de volgende instructies:
-
Open het hulpprogramma voor groepsbeleidseditor en ga naar Computerconfiguratie> beheersjablonen> Printers.
-
Stel de instelling Limieten voor het afdrukken van stuurprogramma's in op Beheerders op 'Ingeschakeld'. Hiermee wordt de registerwaarde van RestrictDriverInstallationToAdministrators ingesteld op 1.
Afdrukt stuurprogramma's installeren wanneer de nieuwe standaardinstelling wordt afgedwongen
Als u RestrictDriverInstallationToAdministrators hebt ingesteld als niet gedefinieerd of op 1, moeten gebruikers, afhankelijk van uw omgeving, een van de volgende methoden gebruiken om printers te installeren:
-
Geef een beheerders gebruikersnaam en wachtwoord op wanneer u wordt gevraagd om referenties bij het installeren van een printerstuurprogramma.
-
Neem de benodigde printerstuurprogramma's op in de besturingssysteemafbeelding.
-
Stel RestrictDriverInstallationToAdministrators tijdelijk in op 0 om printerstuurprogramma's te installeren.
Opmerking Als u printerstuurprogramma's niet kunt installeren, zelfs met beheerdersrechten, moet u het alleen-gebruikspakketpunt en groepsbeleid afdrukken uitschakelen.
Aanbevolen instellingen en gedeeltelijke mitigaties voor omgevingen die het standaardgedrag niet kunnen gebruiken
De volgende oplossingen kunnen helpen bij het beveiligen van alle omgevingen, maar vooral als u RestrictDriverInstallationToAdministrators moet instellen op 0. Deze oplossingen zijn niet volledig gericht op de beveiligingsproblemen in CVE-2021-34481.
Belangrijk Er is geen combinatie van mitigaties die gelijk is aan het instellen van RestrictDriverInstallationToAdministrators op 1.
Controleren of RpcAuthnLevelPrivacyEnabled is ingesteld op 1 of niet gedefinieerd
Controleer of RpcAuthnLevelPrivacyEnabled is ingesteld op 1 of niet is gedefinieerd zoals beschreven in Het beheren van de implementatie van printer RPC-bindingswijzigingen voor CVE-2021-1678 (KB4599464).
Controleren of beveiligingsprompts zijn ingeschakeld voor Punt en Afdrukken
Controleer of beveiligingsprompts zijn ingeschakeld voor Punt en Afdrukken, zoals beschreven in KB5005010: De installatie van nieuwe printerstuurprogramma's beperken na het toepassen van de updates van 6 juli 2021.
Gebruikers toestaan alleen verbinding te maken met specifieke afdrukservers die u vertrouwt
Dit beleid, Point and Print Restrictions, is van toepassing op Printers aan wijzen en afdrukken met behulp van een stuurprogramma dat niet op een pakket is gebaseerd op de server.
Gebruik de volgende stappen:
-
Open de groepsbeleidsbeheerconsole (GPMC).
-
Ga in de GPMC-consolestructuur naar het domein of de organisatie-eenheid (OU) waarin de gebruikersaccounts worden opgebruikt waarvoor u de beveiligingsinstellingen voor printerstuurprogramma's wilt wijzigen.
-
Klik met de rechtermuisknop op het juiste domein of OU en klik op Een GPO maken in dit domein en koppel het hier.Typ een naam voor het nieuwe groepsbeleidsobject (GPO) en klik vervolgens op OK.
-
Klik met de rechtermuisknop op het GPO dat u hebt gemaakt en klik vervolgens op Bewerken.
-
Klik in het venster Editor voor groepsbeleidsbeheer op Computerconfiguratie, klik op Beleid, klik op Beheersjablonen en klik vervolgens op Printers.
-
Klik met de rechtermuisknop op Punt- en afdrukbeperkingen en klik vervolgens op Bewerken.
-
Klik in het dialoogvenster Beperkingen voor aanwijzers en afdrukken op Ingeschakeld.
-
Schakel het selectievakje Gebruikers kunnen alleen deze servers aan wijzen en afdrukken in als deze nog niet is geselecteerd.
-
Voer de volledig gekwalificeerde servernamen in. Scheid elke naam met behulp van een puntkomma (;).
Opmerking Nadat updates zijn geïnstalleerd die zijn uitgebracht op 21 september 2021 of hoger, kunt u dit groepsbeleid configureren met een punt (.) IP-adressen met scheidingstekens door elkaar met volledig gekwalificeerde hostnamen.
-
Selecteer in het vak Stuurprogramma's installeren voor een nieuwe verbinding de optie Waarschuwing en verhoogde prompt weergeven.
-
Selecteer in het vak Stuurprogramma's bijwerken voor een bestaande verbinding de optie Waarschuwing en verhoogde prompt weergeven.
-
Klik op OK.
Gebruikers toestaan alleen verbinding te maken met specifieke Package Point- en Print-servers die u vertrouwt
Dit beleid, Package Point and Print - Approved servers, beperkt het gedrag van de client om alleen Point- en Print-verbindingen toe te staan aan gedefinieerde servers die gebruikmaken van stuurprogramma's die gebruikmaken van pakketbewuste stuurprogramma's.
Gebruik de volgende stappen:
-
Selecteer op de domeincontroller Start, selecteer Beheerhulpmiddelen en selecteer vervolgens Groepsbeleidsbeheer. U kunt ook Start selecteren, Uitvoeren selecteren, GPMC.MSC typen en vervolgens op Enter drukken.
-
Vouw het bos uit en vouw vervolgens de domeinen uit.
-
Selecteer onder uw domein de OU waar u dit beleid wilt maken.
-
Klik met de rechtermuisknop op de OU en selecteer vervolgens Een GPO maken in dit domein en koppel deze hier.
-
Geef het GPO een naam en selecteer OK.
-
Klik met de rechtermuisknop op het nieuw gemaakte groepsbeleidsobject en selecteer bewerken om de Editor voor groepsbeleidsbeheer te openen.
-
Vouw in de Editor voor groepsbeleidsbeheer de volgende mappen uit:
-
Computerconfiguratie
-
Beleid
-
Beheersjablonen
-
Lokale computer polices
-
Printers
-
-
Schakel Pakketpunt en Afdrukken in- goedgekeurde servers in en selecteer de knop Weergeven...
-
Voer de volledig gekwalificeerde servernamen in. Scheid elke naam met behulp van een puntkomma (;).
Opmerking Nadat updates zijn geïnstalleerd die zijn uitgebracht op 21 september 2021 of hoger, kunt u dit groepsbeleid configureren met een punt (.) IP-adressen met scheidingstekens door elkaar met volledig gekwalificeerde hostnamen.
Veelgestelde vragen
Q1: Telkens wanneer ik probeer af te drukken, krijg ik een prompt met de melding 'Vertrouwt u deze printer', en moeten beheerdersreferenties worden voortgezet. Wordt dit verwacht?
A1:Er wordt niet gevraagd om elke afdrukklus. De meeste omgevingen of apparaten met dit probleem worden opgelost door updates te installeren die zijn uitgebracht op 12 oktober 2021 of hoger. Met deze updates wordt een probleem opgelost met betrekking tot afdrukservers en afdruk clients die zich niet in dezelfde tijdzone bevindt.
Als u dit probleem nog steeds hebt na het installeren van updates die zijn uitgebracht op 12 oktober 2021 of hoger, moet u mogelijk contact opnemen met de printerfabrikant voor bijgewerkte stuurprogramma's. Dit probleem kan zich ook voordoen wanneer een afdrukt stuurprogramma op de afdrukclient en de afdrukserver dezelfde bestandsnaam gebruiken, maar de server een nieuwere versie van het stuurprogrammabestand heeft. Wanneer de afdrukclient verbinding maakt met de afdrukserver, wordt er een nieuw stuurprogrammabestand gevonden en wordt gevraagd de stuurprogramma's op de afdrukclient bij te werken. Het bestand in het pakket dat wordt aangeboden voor installatie, bevat echter niet de nieuwere versie van het stuurprogrammabestand.
De bestanden die worden vergeleken, zijn de stuurprogramma's in de map spool, meestal in C:\Windows\System32\spool\drivers\x64\3 op zowel de afdrukclient als de afdrukserver. Het stuurprogrammapakket dat voor de installatie wordt aangeboden, is meestal in C:\Windows\System32\spool\drivers\x64\PCC op de afdrukserver. Nadat de bestanden in de map \3 tussen apparaten zijn vergeleken, wordt het pakket in PCC geïnstalleerd als ze niet overeenkomen. Als de bestanden in de map \3 van de afdrukserver niet afkomstig zijn van hetzelfde printerstuurprogramma dat PCC aan de client aanbiedt, worden de bestanden door de afdrukclient vergeleken en wordt elke keer dat deze wordt afgedrukt, de verkeerde overeenkomende gegevens gevonden.
Als u dit probleem wilt beperken, controleert u of u de nieuwste stuurprogramma's gebruikt voor al uw afdrukapparaten. Gebruik waar mogelijk dezelfde versie van het afdrukt stuurprogramma op de afdrukclient en de afdrukserver. Als het probleem niet wordt opgelost door stuurprogramma's in uw omgeving bij te werken, neemt u contact op met de ondersteuning van uw printerfabrikant (OEM).
Q2: Ik heb updates geïnstalleerd die zijn uitgebracht op 14 september 2021 en sommige Windows apparaten kunnen niet worden afgedrukt op netwerkprinters. Is er een order die ik nodig heb om updates te installeren op afdruk clients en afdrukservers?
A2: Voordat updates worden geïnstalleerd die zijn uitgebracht op 14 september 2021 of hoger op afdrukservers, moeten afdruk clients updates hebben geïnstalleerd die zijn uitgebracht op 12 januari 2021 of hoger. Windows apparaten worden niet afgedrukt als ze geen update hebben geïnstalleerd die is uitgebracht op 12 januari 2021 of hoger.
Opmerking U hoeft geen eerdere updates te installeren en u kunt elke update na 12 januari 2021 installeren op het afdrukken van clients. U wordt aangeraden de meest recente cumulatieve update te installeren op zowel clients als servers.