Povzetek

Windows posodobitve, izdane 10. avgusta 2021 in novejše, za namestitev gonilnikov privzeto zahtevajo skrbniške pravice. S to spremembo smo privzeto obravnavali tveganja v vseh Windows, vključno z napravami, ki ne uporabljajo funkcij Point in Print ali Print. Če želite več informacij, glejte Sprememba točkovnega in privzetega delovanja tiskanja in CVE-2021-34481.  

Uporabniki, ki niso skrbniki, privzeto ne bodo mogli več početi tega z uporabo možnosti Point (Točka) in Print (Natisni) brez prisvojenega dovoljenja skrbnika:

  • Namestitev novih tiskalnikov z gonilniki v oddaljeni računalnik ali strežnik

  • Posodobitev obstoječih gonilnikov tiskalnika z gonilniki iz oddaljenega računalnika ali strežnika

Opomba Če ne uporabljate funkcij Point (Točka)in Print (Natisni), ta sprememba ne bo vplivala na vas in bo privzeto zaščitena po namestitvi posodobitev, ki so izdane 10. avgusta 2021 ali novejše.

Pomembno Odjemalci za tiskanje v vašem okolju morajo imeti pred namestitvijo posodobitev, izdano 12. januarja 2021 ali novejšo, izdana 14. septembra 2021.  Več informacij najdete v 2. četrtletju v nadaljevanju »Pogosta vprašanja«.

Spreminjanje privzetega delovanja namestitve gonilnika z registrskem ključem

To privzeto vedenje lahko spremenite z registrskem ključem v spodnji tabeli. Vendar pa bodite zelo previdni, ko uporabljate vrednost nič (0), ker so naprave s tem ranljive. Če morate v okolju uporabiti vrednost registra 0, vam priporočamo, da jo začasno uporabljate, medtem ko prilagajate okolje tako, da Windows naprave lahko uporabljajo vrednost ene (1).   

Mesto registra

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Ime za DWord

RestrictDriverInstallationToAdministrators

Podatki o vrednosti

Privzeto vedenje: Če to vrednost nastavite na 1 ali če ključ ni definiran ali ni na voljo,boste morali zahtevati skrbniško dovoljenje, da namesti morebitne gonilnike tiskalnika, ko uporabljate možnosti Point (Točka) in Print (Natisni). Ta registrski ključ preglasi vse nastavitve pravilnika skupine Za točkovne omejitve in omejitve tiskanja in zagotavlja, da lahko le skrbniki namestijo gonilnike tiskalnika iz tiskalniskega strežnika s točkovno in natisom.

Če vrednost nastavite na 0, lahko ne skrbniki namestijo podpisanih in nepodpisanih gonilnikov v strežnik za tiskanje, ne preglasijo pa nastavitev pravilnika skupine za point in tiskanje. Zato lahko nastavitve pravilnika skupine za točke in omejitve tiskanja preglasijo to nastavitev registrskega ključa, da skrbnikom, ki niso skrbniki, prepreči namestitev podpisanih in nepodpisanih gonilnikov za tiskanje iz strežnika za tiskanje. Nekateri skrbniki bodo morda nastavili vrednost na 0, da bodo lahko skrbniki, ki niso skrbniki, namestili in posodobili gonilnike, ko bodo dodali dodatne omejitve, vključno z dodajanjem nastavitve pravilnika, ki omejuje namestitev gonilnikov.

Pomembno Na voljo ni nobena kombinacija ublažitev posledic, ki je enaka nastavitvi RestrictDriverInstallationToAdministrators na 1.

Zahteve za vnovični zagon

Pri ustvarjanju ali spreminjanju te vrednosti registra vam ni treba znova zagnati računalnika.

Opomba Windows ne boste nastavili ali spremenili registrskega ključa. Registrski ključ lahko nastavite pred namestitvijo posodobitev, ki so izdane 10. avgusta 2021 ali novejše.

Avtomatizacija dodajanja restrictDriverInstallationToAdministrators

Če želite avtomatizirati dodajanje vrednosti registra RestrictDriverInstallationToAdministrators, upoštevajte te korake:

  1. Odprite okno ukaznega poziva (cmd.exe) z povečanimi dovoljenji.

  2. Vnesite ta ukaz in pritisnite tipko Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Namestitev gonilnikov tiskalnika, ko je uveljavljena nova privzeta nastavitev

Če nastavite RestrictDriverInstallationToAdministrators, kot ni definirano ali na 1, odvisno od okolja, morajo uporabniki uporabiti enega od teh načinov za namestitev tiskalnikov:

  • Ko ste pozvani k vnosu poverilnic, ko poskušate namestiti gonilnik tiskalnika, vnesite skrbniško uporabniško ime in geslo.

  • V sliko operacijskega sistema vključite potrebne gonilnike tiskalnika.

  • Uporabite Microsoft System Center, Microsoft Endpoint Configuration Manager ali enakovredno orodje za oddaljeno namestitev gonilnikov tiskalnika.

  • Za namestitev gonilnikov tiskalnika začasno nastavite RestrictDriverInstallationToAdministrators na 0.

Opomba Če ne morete namestiti gonilnikov tiskalnika, tudi s skrbniškimi pravicami, morate onemogočiti možnost Uporabi le paketno točko in pravilnik skupine za tiskanje.

Delne ublažitve posledic za okolja, ki ne morejo uporabiti privzetega delovanja

Te ublažitve lahko pomagajo pri zaščiti okolja, če morate nastaviti RestrictDriverInstallationToAdministrators na 0. Te ublažitve posledic ne obravnavajo v celoti ranljivosti CVE-2021-34481.

Pomembno Na voljo ni nobena kombinacija ublažitev posledic, ki je enaka nastavitvi RestrictDriverInstallationToAdministrators na 1.

Preverjanje, ali je RpcAuthnLevelPrivacyEnabled nastavljena na 1 ali ni določena

Preverite, ali je vrednost RpcAuthnLevelPrivacyEnabled nastavljena na 1 ali ni določena tako, kot je opisano v članku Upravljanje uvajanja vezave RPC-ja tiskalnika za CVE-2021-1678 (KB4599464).

Dovoli uporabnikom, da se povežejo le z določenimi strežniki za tiskanje, ki jim zaupate

Ta pravilnik , Omejitve za točkoin tiskanje , velja za tiskalnike s točkovno in natisno, ki uporabljajo gonilnik, ki v strežniku ni seznanjen s paketi. 

Uporabite te korake:

  1. Odprite konzolo za upravljanje pravilnika skupin (GPMC).

  2. V konzolnem drevesu GPMC pojdite na domeno ali organizacijsko enoto (OU), v kateri so shranjeni uporabniški računi, za katere želite spremeniti varnostne nastavitve gonilnika tiskalnika.

  3. Z desno tipko miške kliknite ustrezno domeno ali OU, nato pa kliknite Ustvari predmet pravilnika skupine v tej domeni in ga povežite tukaj.Vnesite ime za nov predmet pravilnika skupine in nato kliknite V redu.

  4. Z desno tipko miške kliknite predmet pravilnika skupine, ki ste ga ustvarili, in nato kliknite Uredi.

  5. V oknu urejevalnika za upravljanje pravilnika skupine kliknite Konfiguracijaračunalnika , pravilniki,skrbniške predlogein nato tiskalniki.

  6. Z desno tipko miške kliknite Omejitve točke in tiskanjain nato kliknite Uredi.

  7. V pogovornem oknu Omejitve točke in tiskanja kliknite Omogočeno.

  8. Potrdite polje Uporabniki lahko le kažejo in tiskajo na te strežnike, če to polje še ni izbrano.

  9. Vnesite popolnoma kvalificirana imena strežnikov. Imena ločite s podpičjem (;).

  10. V polju Pri nameščanju gonilnikov za novo povezavo izberite Pokaži opozorilo in Poziv na skrbniški ravni.

  11. V polju Pri posodabljanju gonilnikov za obstoječo povezavo izberite Pokaži opozorilo in Poziv na skrbniški ravni.

  12. Kliknite V redu.

Dovoli uporabnikom, da se povežejo le z določenimi strežniki package point in Print, ki jim zaupate

S tem pravilnikom, Paketnatočka in Natisni – odobreni strežniki , omejite delovanje odjemalca le tako, da točkovne in natisnete povezave do določenih strežnikov, ki uporabljajo gonilnike, ki poznajo paket.

Uporabite te korake:

  1. V krmilniku domene izberite Začetni meni, izberite Skrbniška orodjain nato Še Upravljanje pravilnika skupine. Lahko pa izberete tudi Začetnimeni , izberete Zaženi, vnesete GPMC.MSCin pritisnete tipko Enter.

  2. Razširite gozd in nato razširite domene.

  3. Pod domeno izberite OU, kjer želite ustvariti ta pravilnik.

  4. Z desno tipko miške kliknite OU, nato pa izberite Ustvari predmet pravilnika skupine v tej domeni in ga povežite tukaj.

  5. Poimen vnesite ime predmeta pravilnika skupine in izberite V redu.

  6. Z desno tipko miške kliknite novo ustvarjeni predmet pravilnika skupine in nato izberite Uredi, da odprete urejevalnik za upravljanje pravilnika skupine.

  7. V urejevalniku za upravljanje pravilnika skupin razširite te mape:

    1. Konfiguracija računalnika

    2. Pravilniki

    3. Skrbniške predloge

    4. Local Computer Polices

    5. Tiskalniki

  8. Omogoči paketno točko in tiskanje – odobreni strežniki ter izberite gumb Pokaži ....

  9. Vnesite popolnoma kvalificirana imena strežnikov. Imena ločite s podpičjem (;).

Pogosta vprašanja

V1: Vsakič, ko poskusim tiskati, se prikaže poziv »Ali zaupate temu tiskalniku« in za nadaljevanje zahteva skrbniške poverilnice.  Ali je to pričakovano?

A1: Poziv za vsak tiskalni posel ni pričakovan.  Do tega pride, ko gonilnik za tiskanje v odjemalcu za tiskanje in strežniku za tiskanje uporablja isto ime datoteke, vendar ima strežnik novejšo različico datoteke gonilnika. Ko odjemalec za tiskanje vzpostavi povezavo s strežnikom za tiskanje, najde novejšo datoteko gonilnika in je pozvan k posodobitvi gonilnikov v odjemalcu za tiskanje. Vendar datoteka v paketu, ki je na voljo za namestitev, ne vključuje novejše različice datoteke gonilnika. 

Primerjane datoteke so gonilniki v mapi tiskanja v ozadju, običajno v mapi C:\Windows\System32\spool\drivers\x64\3 v odjemalcu za tiskanje in strežniku za tiskanje.  Paket gonilnika, ki je na voljo za namestitev, je običajno v C:\Windows\System32\spool\drivers\x64\PCC v tiskalni strežniku.  Ko so datoteke v mapi \3 med napravami primerjane, če se ne ujemajo, je nameščen paket v PCC.  Če datotek v mapi \3 strežnika za tiskanje ni iz istega gonilnika tiskalnika, ki ga PCC ponuja odjemalcu, odjemalec za tiskanje primerja datoteke in najde nesomerje vsakič, ko natisne datoteke. 

Če želite ublažiti to težavo, preverite, ali uporabljate najnovejše gonilnike za vse svoje naprave za tiskanje.  Kjer je mogoče, uporabite isto različico gonilnika tiskanja v odjemalcu za tiskanje in strežniku za tiskanje. Če s posodobitvijo gonilnikov v vašem okolju ne odpravite težave, se obrnite na podporo proizvajalca tiskalnika (OEM).

V2: Namestil sem posodobitve, izdane 14. septembra 2021, nekatere Windows pa ne morejo tiskati z omrežnimi tiskalniki.  Ali je na voljo naročilo, ki ga moram namestiti v odjemalce za tiskanje in strežnike za tiskanje?

A2: Pred namestitvijo posodobitev, ki so bile izdane 14. septembra 2021 ali novejše različice v tiskalniskih strežnikih, morajo imeti odjemalci za tiskanje nameščene posodobitve, izdane 12. januarja 2021 ali novejše. Windows naprave ne bodo natisnjene, če niso namestile posodobitve, izdane 12. januarja 2021 ali novejše. 

Opomba Ni vam treba namestiti starejših posodobitev in po 12. januarju 2021 ni mogoče namestiti posodobitev za odjemalce za tiskanje.  Priporočamo, da namestite najnovejšo zbirno posodobitev tako v odjemalce kot v strežnike.

Viri

Ali potrebujete dodatno pomoč?

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridruži se Microsoftu programa Insider

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo prevoda?

Kaj je vplivalo na vašo izkušnjo?

Ali imate še kakšne povratne informacije? (Izbirno)

Zahvaljujemo se vam za povratne informacije.

×