Resumo

Windows atualizações lançadas em 10 de agosto de 2021 e posteriores exigirão, por padrão, o privilégio administrativo para instalar drivers. Fizemos essa alteração no comportamento padrão para resolver o risco em todos os dispositivos Windows, incluindo dispositivos que não usam a funcionalidade Point e Print ou print. Para obter mais informações, consulte Point and Print Default Behavior Change e CVE-2021-34481.  

Por padrão, os usuários que não são administradores não poderão mais fazer o seguinte usando Point e Print sem uma elevação de privilégio para o administrador:

  • Instalar novas impressoras usando drivers em um computador ou servidor remoto

  • Atualizar drivers de impressora existentes usando drivers de computador remoto ou servidor

Observação Se você não estiver usando Point e Print, não deverá ser afetado por essa alteração e será protegido por padrão após a instalação das atualizações lançadas em 10 de agosto de 2021 ou posterior.

Importante Os clientes de impressão em seu ambiente devem ter uma atualização lançada em 12 de janeiro de 2021 ou posterior antes de instalar as atualizações lançadas em 14 de setembro de 2021.  Confira q2 em "Perguntas frequentes" abaixo para obter mais informações.

Modificar o comportamento de instalação de driver padrão usando uma chave do Registro

Você pode modificar esse comportamento padrão usando a chave do Registro na tabela abaixo. No entanto, tenha muito cuidado ao usar um valor zero (0) porque fazer isso torna os dispositivos vulneráveis. Se você deve usar o valor do Registro de 0 em seu ambiente, recomendamos usá-lo temporariamente enquanto você ajusta seu ambiente para permitir que Windows dispositivos usem o valor de um (1).   

Local do Registro

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Nome DWord

RestrictDriverInstallationToAdministrators

Dados de valor

Comportamento padrão: Definir esse valor como 1 ou se a chave não estiver definida ou não presente, exigirá o privilégio de administrador para instalar qualquer driver de impressora ao usar Point e Print. Essa chave do Registro substituirá todas as configurações de Política de Grupo restrições de impressão e garantirá que somente os administradores possam instalar drivers de impressora de um servidor de impressão usando Point e Print.

Definir o valor como 0 permite que não administradores instalem drivers assinados e não assinados em um servidor de impressão , mas não substitui as configurações de Política de Grupo de Impressão e Ponto. Consequentemente, as configurações da Política de Grupo de Restrições de Impressão e Ponto podem substituir essa configuração de chave do Registro para impedir que não administradores instalem drivers de impressão assinados e não assinados de um servidor de impressão. Alguns administradores podem definir o valor como 0 para permitir que os não administradores instalem e atualizem drivers depois de adicionar restrições adicionais, incluindo a adição de uma configuração de política que restringe a onde os drivers podem ser instalados.

Importante Não há uma combinação de mitigações equivalente à definição de RestrictDriverInstallationToAdministrators como 1.

Observação As atualizações lançadas em 6 de julho de 2021 ou posteriores têm um padrão de 0 (desabilitado) até a instalação das atualizações lançadas em 10 de agosto de 2021 ou posterior.  As atualizações lançadas em 10 de agosto de 2021 ou posteriores têm um padrão de 1 (habilitado).

Requisitos de reinicialização

Nenhuma reinicialização é necessária ao criar ou modificar esse valor do Registro.

Observação Windows atualizações não definirão ou alterarão a chave do Registro. Você pode definir a chave do Registro antes ou depois de instalar as atualizações lançadas em 10 de agosto de 2021 ou posterior.

Automatizar a adição do valor do Registro RestrictDriverInstallationToAdministrators

Para automatizar a adição do valor do Registro RestrictDriverInstallationToAdministrators, siga estas etapas:

  1. Abra uma janela prompt de comando (cmd.exe) com permissões elevadas.

  2. Digite o seguinte comando e pressione Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Definir RestrictDriverInstallationToAdministrators usando a Política de Grupo

Depois de instalar atualizações lançadas em 12 de outubro de 2021 ou posteriores, você também pode definir RestrictDriverInstallationToAdministrators usando uma Política de Grupo, usando as seguintes instruções:

  1. Abra a ferramenta de editor de política de grupo e acesse Configuração do Computador> Modelos Administrativos > Impressoras. 

  2. De definir a instalação limite do driver de impressão como a configuração Administradores como "Habilitado". Isso definirá o valor do Registro de RestrictDriverInstallationToAdministrators como 1.

Instalar drivers de impressão quando a nova configuração padrão for imposta

Se você definir RestrictDriverInstallationToAdministrators como não definido ou como 1, dependendo do seu ambiente, os usuários devem usar um dos seguintes métodos para instalar impressoras:

  • Forneça um nome de usuário e senha do administrador quando solicitado a fornecer credenciais ao tentar instalar um driver de impressora.

  • Inclua os drivers de impressora necessários na imagem do sistema operacional.

  • Definir temporariamente RestrictDriverInstallationToAdministrators como 0 para instalar drivers de impressora.

Observação Se você não puder instalar drivers de impressora, mesmo com o privilégio de administrador, deverá desabilitar a Política somente usar o Ponto de Pacote e a Política de Grupo de Impressão.

Configurações recomendadas e mitigações parciais para ambientes que não podem usar o comportamento padrão

As mitigações a seguir podem ajudar a proteger todos os ambientes, mas especialmente se você deve definir RestrictDriverInstallationToAdministrators como 0. Essas mitigações não abordam completamente as vulnerabilidades no CVE-2021-34481.

Importante Não há uma combinação de mitigações equivalente à definição de RestrictDriverInstallationToAdministrators como 1.

Verifique se RpcAuthnLevelPrivacyEnabled está definido como 1 ou não definido

Verifique se RpcAuthnLevelPrivacyEnabled está definido como 1 ou não definido como descrito em Managing deployment of Printer RPC binding changes for CVE-2021-1678 (KB4599464).

Verifique se os Prompts de Segurança estão habilitados para Point e Print

Verifique se os Prompts de Segurança estão habilitados para Point e Print conforme descrito em KB5005010: Restrição da instalação de novos drivers de impressora após a aplicação das atualizações de 6 de julho de 2021. 

Permitir que os usuários se conectem apenas a servidores de impressão específicos em que você confia

Esta política, Restrições de Ponto e Impressão, se aplica a impressoras Point e Print usando um driver não ciente de pacote no servidor. 

Use as seguintes etapas:

  1. Abra o Console de Gerenciamento de Política de Grupo (GPMC).

  2. Na árvore de console do GPMC, vá para o domínio ou unidade organizacional (OU) que armazena as contas de usuário para as quais você deseja modificar as configurações de segurança do driver de impressora.

  3. Clique com o botão direito do mouse no domínio ou NA apropriado e clique em Criar um GPO neste domínio e Vincule-o aqui.Digite um nome para o novo Objeto de Política de Grupo (GPO) e clique em OK.

  4. Clique com o botão direito do mouse no GPO que você criou e clique em Editar.

  5. Na janela Editor de Gerenciamento de Política de Grupo, clique em Configuração do Computador, emPolíticas, em Modelos Administrativos e em Impressoras.

  6. Clique com o botão direito do mouse em Pontos e Restrições de Impressão e clique em Editar.

  7. Na caixa de diálogo Restrições de Ponto e Impressão, clique em Habilitado.

  8. Selecione a caixa de seleção Usuários só poderá apontar e imprimir para esses servidores se ele ainda não estiver selecionado.

  9. Insira os nomes de servidor totalmente qualificados. Separe cada nome usando um ponto e vírgula (;).

    Observação Depois de instalar as atualizações lançadas em 21 de setembro de 2021 ou posteriores, você pode configurar essa política de grupo com um ponto ou ponto (.) endereços IP delimitados de forma intercambiável com nomes de host totalmente qualificados.

  10. Na caixa Ao instalar drivers para uma nova conexão, selecione Mostrar aviso e Prompt Elevado.

  11. Na caixa Ao atualizar drivers para uma conexão existente, selecione Mostrar aviso e Prompt Elevado.

  12. Clique em OK.

Permitir que os usuários se conectem apenas a servidores de Ponto de Pacote e Impressão específicos em que você confia

Esta política, Ponto de Pacote e Impressão - Servidores aprovados, restringirá o comportamento do cliente apenas para permitir conexões Point e Print para servidores definidos que usam drivers com conhecimento de pacote.

Use as seguintes etapas:

  1. No controlador de domínio, selecione Iniciar, selecione Ferramentas Administrativas e selecione Gerenciamento de Política de Grupo. Como alternativa, selecione Iniciar, selecione Executar, digite GPMC.MSC e pressione Enter.

  2. Expanda a floresta e expanda os domínios.

  3. Em seu domínio, selecione a UO onde você deseja criar essa política.

  4. Clique com o botão direito do mouse na UO e selecione Criar um GPO neste domínio e vincule-o aqui.

  5. Dê um nome ao GPO e selecione OK.

  6. Clique com o botão direito do mouse no Objeto de Política de Grupo recém-criado e selecione Editar para abrir o Editor de Gerenciamento de Política de Grupo.

  7. No Editor de Gerenciamento de Política de Grupo, expanda as seguintes pastas:

    1. Configuração do Computador

    2. Políticas

    3. Modelos Administrativos

    4. Polícias locais do computador

    5. Impressoras

  8. Habilitar Ponto de Pacote e Impressão - Servidores aprovados e selecione o botão Mostrar...

  9. Insira os nomes de servidor totalmente qualificados. Separe cada nome usando um ponto e vírgula (;).

    Observação Depois de instalar as atualizações lançadas em 21 de setembro de 2021 ou posteriores, você pode configurar essa política de grupo com um ponto ou ponto (.) endereços IP delimitados de forma intercambiável com nomes de host totalmente qualificados.

Perguntas frequentes

P1: Sempre que tento imprimir, recebo um prompt dizendo: "Você confia nessa impressora" e exige credenciais de administrador para continuar.  Isso é esperado?

A1:Ser solicitado para cada trabalho de impressão não é esperado. A maioria dos ambientes ou dispositivos que experimentam esse problema será resolvida instalando atualizações lançadas em 12 de outubro de 2021 ou posteriores.  Essas atualizações abordam um problema relacionado a servidores de impressão e clientes de impressão que não estão no mesmo fuso horário. 

Se você ainda estiver tendo esse problema após instalar as atualizações lançadas em 12 de outubro de 2021 ou posteriores, talvez seja necessário entrar em contato com o fabricante da impressora para ver se há drivers atualizados.  Esse problema também pode ocorrer quando um driver de impressão no cliente de impressão e no servidor de impressão usa o mesmo nome de arquivo, mas o servidor tem uma versão mais recente do arquivo de driver. Quando o cliente de impressão se conecta ao servidor de impressão, ele encontra um arquivo de driver mais recente e é solicitado a atualizar os drivers no cliente de impressão. No entanto, o arquivo no pacote oferecido para instalação não inclui a versão mais recente do arquivo de driver. 

Os arquivos que estão sendo comparados são os drivers dentro da pasta de spool, geralmente em C:\Windows\System32\spool\drivers\x64\3 no cliente de impressão e no servidor de impressão.  O pacote de driver que está sendo oferecido para instalação geralmente estará em C:\Windows\System32\spool\drivers\x64\PCC no servidor de impressão.  Depois que os arquivos na pasta \3 são comparados entre dispositivos, se eles não corresponderem, o pacote no PCC será instalado.  Se os arquivos na pasta \3 do servidor de impressão não são do mesmo driver de impressora que o PCC oferece ao cliente, o cliente de impressão comparará os arquivos e encontrará a incompatibilidade sempre que for impresso. 

Para atenuar esse problema, verifique se você está usando os drivers mais recentes para todos os dispositivos de impressão.  Sempre que possível, use a mesma versão do driver de impressão no cliente de impressão e no servidor de impressão. Se a atualização de drivers em seu ambiente não resolver o problema, entre em contato com o suporte para o fabricante da impressora (OEM).

P2: instalei as atualizações lançadas em 14 de setembro de 2021 e alguns Windows dispositivos não podem ser impressos em impressoras de rede.  Há uma ordem que preciso para instalar atualizações em clientes de impressão e servidores de impressão?

A2: Antes de instalar as atualizações lançadas em 14 de setembro de 2021 ou posteriores em servidores de impressão, os clientes de impressão devem ter instalado atualizações lançadas em 12 de janeiro de 2021 ou posteriores. Windows dispositivos não serão impressos se não instalarem uma atualização lançada em 12 de janeiro de 2021 ou posterior. 

Observação Você não precisa instalar atualizações anteriores e pode instalar qualquer atualização após 12 de janeiro de 2021 em clientes de impressão.  Recomendamos que você instale a atualização cumulativa mais recente em clientes e servidores.

Recursos

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.