Невозможно развернуть принтеры с помощью конфигурации пользователя GPO после установки обновления Windows KB5005033 (проблема «Доверяете ли вы этому принтеру?»)

Недавний (2021-08-10) КБ5005033 Обновление Windows на самом деле приносит Эта проблема вернуться к жизни через принуждение только к админам установить драйверы принтера (и, таким образом, запретить распространение принтеров через Конфигурация пользователя объект групповой политики), цитировать:

... Обновляет требования к привилегиям установки по умолчанию, чтобы вы должен быть администратором для установки драйверов при использовании Point and Распечатать...

Внезапно наши пользователи получают эти всплывающие окна (только на компьютерах с установленным обновлением KB5005033):

Чтобы заставить его (развертывание общих принтеров в домене Windows через объект групповой политики конфигурации пользователя) снова работать...

Сначала есть некоторые предпосылки Конфигурация компьютера - Политики - Административные шаблоны - Принтеры (у нас они уже давно включены):

1. Указывайте и печатайте ограничения:

• должно быть ВКЛЮЧЕНО
• Не показывать предупреждение или запрос на повышение прав должен быть установлен для обоих При установке драйверов для нового подключения и При обновлении драйверов для существующего соединения. Введите полные имена серверов, разделенные точкой с запятой. должны быть заполнены правильными серверами имен (например, мойпринтсервер.мойдомен.com;мойдругойпринтсервер.мойдомен.com)

2. Пакет Point and print — утвержденные серверы:

• является ВКЛЮЧЕНО
• содержит список тех же серверов, что и выше

Фактический обходной путь * для КБ5005033 проблема:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators установлен на 0 на затронутых машинах — это можно легко сделать и через GPO:

* Это обходной путь, а не исправление, потому что делает ваши серверы печати снова уязвимыми (это то, что KB5005033 пытается «исправить» в первую очередь) - но нам нужно печатать, верно...?

Кто-нибудь знает, как это исправить правильно? (без уязвимости серверов принтеров)

Большое спасибо.

Связанные вопросы:

• Как я могу избавиться от окна сообщения «Доверяете ли вы этому принтеру» и добавить свой принтер через GPO?

Майкрософт опубликовано краткое изложение различных решений, которые мы можем использовать для управления новым поведением.

Конкретно:

Установите драйверы печати после применения нового параметра по умолчанию.

Если вы установите RestrictDriverInstallationToAdministrators как неопределенный или до 1, в зависимости от вашей среды, пользователи должны использовать один из следующие способы установки принтеров:

• Укажите имя пользователя и пароль администратора при запросе учетных данных при попытке установить драйвер принтера.

• Включите необходимые драйверы принтера в образ ОС.

• Используйте Microsoft System Center, Microsoft Endpoint Configuration Manager или аналогичный инструмент для удаленной установки драйверов принтера.

• Временно задайте для параметра RestrictDriverInstallationToAdministrators значение 0, чтобы установить драйверы принтера.

[...]
Важный Не существует комбинации мер по снижению риска, эквивалентной установке RestrictDriverInstallationToAdministrators на 1.
[...]

Я рекомендую вам развернуть драйверы принтеров на ваших компьютерах, а затем удалить все развернутые групповые политики Point and Print и пакетные групповые политики Point and Print, так как они больше не требуются, и не устанавливать RestrictDriverInstallationToAdministrators значение реестра, потому что это допустит уязвимость на ваших клиентах/серверах.

Не забывайте, что каждое устройство Windows, на котором включен диспетчер очереди печати, уязвимо, если вы установите RestrictDriverInstallationToAdministrators значение реестра для 0, это касается не только серверов печати, но и клиентских компьютеров и других серверов Windows!

Имейте в виду, что на данный момент в диспетчере очереди печати есть еще одна уязвимость, исправление все еще ожидается: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

Отключение диспетчера очереди печати везде, где это возможно, является хорошим практическим правилом...

Я обнаружил два возможных решения, оба из которых не вызывают никаких запросов прав администратора/UAC:

1. Переключить на Конфигурация компьютера развертывание вместо этого (CC -> Pr -> Панель управления -> Принтеры -> Создать -> TCP/IP). Обратите внимание, что драйвер принтера Тип 3 требуется на сервере печати для работы. Сервер печати используется только для развертывания принтера, после чего затронутые машины могут печатать независимо от сервера печати (например, когда он выключен или недоступен).

2. Переустановите принтер на сервере печати с Драйвер типа 4 и продолжайте использовать конфигурацию пользователя развертывание (при наличии драйвера типа 4). я использую Управление печатью.msc приставка. Как я это сделал? Сначала удалил все старые драйвера на принтер вот так:

Затем подключили принтер напрямую (не через наш сервер печати Repotec TCP/IP) через USB и позволили MS Windows самостоятельно установить драйверы — он установил драйвер «Class», тип 4:

ВАЖНЫЙ! Взломы реестра, такие как RestrictDriverInstallationToAdministrators НЕ нужны, как и Групповые политики «укажи и напечатай» и Пакет групповых политик Point and Print - тоже не нужны, если они у вас когда-либо применялись, следуйте Официальное руководство Microsoft по смягчению последствий. Кроме того, если вы удалили обновление КБ5005033 как обходной путь, установите его и получите защиту.

Удачи!