摘要

Windows 2021 年 8 月 10 日及更高版本发布的更新默认情况下需要管理权限来安装驱动程序。 我们在默认行为中进行了此更改,以解决Windows设备(包括不使用点和打印或打印功能的设备)的风险。 有关详细信息,请参阅点和打印默认行为更改CVE-2021-34481。 

默认情况下,如果不向管理员提升权限,非管理员用户将不再能够使用点和打印执行以下操作:

  • 在远程计算机或服务器上使用驱动程序安装新打印机

  • 使用远程计算机或服务器的驱动程序更新现有打印机驱动程序

注意 如果不使用 "点"和"打印",则不应受此更改影响,在安装 2021 年 8 月 10 日或更高版本发布的更新后,默认情况下会受到保护。

使用注册表项修改默认驱动程序安装行为

可以使用下表中的注册表项修改此默认行为。 但是,使用值为 0 或 0 时 (十) ,因为这样做会使设备易受攻击。 如果必须在环境中使用注册表值 0,我们建议在调整环境时暂时使用它,以允许 Windows 设备使用 1 (1) 。

注册表位置

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

DWord 名称

RestrictDriverInstallationToAdministrators

值数据

默认行为: 将此值设置为 1空白,或者如果未定义或不存在密钥,则使用点和打印时,需要管理员权限才能安装任何打印机驱动程序。 此注册表项 将覆盖所有 "点"和"打印限制"组策略设置,并确保只有管理员可以使用"点"和"打印"从打印服务器安装打印机驱动程序。

将值设置为0允许非管理员将已签名和未签名的驱动程序安装到打印服务器,但不覆盖"点"和"打印组策略"设置。 因此,点和打印限制组策略设置可以覆盖此注册表项设置,以防止非管理员从打印服务器安装已签名和未签名的打印驱动程序。

重启要求

创建或修改此注册表值时不需要重启。

注意 Windows不会设置或更改注册表项。 可以在安装 2021 年 8 月 10 日或更高版本发布的更新之前或之后设置注册表项。

自动添加 RestrictDriverInstallationToAdministrators

若要自动添加 RestrictDriverInstallationToAdministrators 注册表值,请执行以下步骤:

  1. 打开"命令提示符"窗口 (cmd.exe) 提升的权限。

  2. 键入以下命令,然后按 Enter:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

强制实施新的默认设置时安装打印驱动程序

如果将 RestrictDriverInstallationToAdministrators 设置为未定义或设置为 1,则用户必须使用以下方法之一安装打印机,具体取决于环境:

  • 尝试安装打印机驱动程序时,当系统提示输入凭据时,请提供管理员用户名和密码。

  • 在 OS 映像中包括所需的打印机驱动程序。

  • 使用 Microsoft System Center、Microsoft Endpoint Configuration Manager 或等效工具远程安装打印机驱动程序。

  • 暂时将 RestrictDriverInstallationToAdministrators 设置为 0 以安装打印机驱动程序。

注意 如果即使具有管理员权限,也无法安装打印机驱动程序,则必须禁用"仅使用程序包点"和" 打印组" 策略。

针对无法使用默认行为的环境的部分缓解措施

如果必须将 RestrictDriverInstallationToAdministrators 设置为 0,以下缓解措施可帮助保护环境。 这些缓解措施并未完全解决 CVE-2021-34481中的漏洞。

重要 没有相当于将 RestrictDriverInstallationToAdministrators 设置为 1 的缓解措施组合。

允许用户仅连接到你信任的特定打印服务器

使用以下步骤:

  1. 打开组策略管理控制台 (GPMC) 。

  2. 在 GPMC 控制台树中,转到存储要修改打印机驱动程序安全设置 (OU) 的域或组织单位。

  3. 右键单击相应的域或 OU,单击 "在此域中创建 GPO",并在此处链接它。键入新组策略对象的名称 (GPO) 然后单击"确定"。

  4. 右键单击创建的 GPO,然后单击"编辑"。

  5. 在"组策略管理编辑器"窗口中,单击"计算机配置",单击"策略",单击"管理模板",然后单击"打印机"。

  6. 右键单击"点和打印限制",然后单击"编辑"。

  7. 在"点和打印限制"对话框中,单击"已启用"。

  8. 选中" 用户只能指向这些 服务器并打印到这些服务器"复选框(如果尚未选中)。

  9. 输入完全限定的服务器名称。 使用分号分隔每个名称; (;) 。

  10. 在"安装新连接驱动程序时"框中,选择"显示警告"和"提升的提示"。

  11. 在"更新现有连接驱动程序时"框中,选择"显示警告"和"提升的提示"。

  12. 单击确定

允许用户仅连接到你信任的特定包点和打印服务器

使用以下步骤:

  1. 在域控制器上,选择"开始",选择"管理工具",然后选择"组策略管理"。 或者,选择" 开始",选择 "运行",键入 GPMC.MSC,然后按 Enter。

  2. 展开林,然后展开域。

  3. 在域下,选择要创建此策略的 OU。

  4. 右键单击 OU,然后选择" 在此域中创建 GPO",并在此处链接它

  5. 为 GPO 命名,然后选择"确定"。

  6. 右键单击新建的组策略对象,然后选择" 编辑" 打开组策略管理编辑器。

  7. 在组策略管理编辑器中,展开以下文件夹:

    1. 计算机配置

    2. 策略

    3. 管理模板

    4. 本地计算机方案

    5. “打印机”

  8. 启用 包点和打印 - 已批准的服务器 ,然后选择"显示 ..." 按钮。

  9. 输入完全限定的服务器名称。 使用分号分隔每个名称; (;) 。

资源

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对翻译质量的满意程度如何?

哪些因素影响了你的体验?

是否还有其他反馈?(可选)

谢谢您的反馈意见!

×