安装 Windows 更新 KB5005033 后无法通过 GPO 用户配置部署打印机(“您信任这台打印机吗?”问题)

tag-icon tag-icon active-directory group-policy windows-update printing shared-printers
安装 Windows 更新 KB5005033 后无法通过 GPO 用户配置部署打印机(“您信任这台打印机吗?”问题)

最近 (2021-08-10)KB5005033Windows 更新实际上带来了这个问题重获新生仅强制管理员安装打印机驱动程序(因此不允许通过用户配置政府采购组织 (GPO)引用

...更新默认安装权限要求,以便您在使用“指向和打印”时必须是管理员才能安装驱动程序...

突然,我们的用户收到这些弹出窗口(仅在安装了 KB5005033 更新的计算机上):

您信任这台打印机吗?问题

为了使其(通过用户配置 GPO 在 Windows 域中部署共享打印机)再次工作...

首先有一些先决条件Computer Configuration - Policies - Administrative Templates - Printers(我们很久以前就已经启用了这些条件):

  1. Point and Print Restrictions
  • 必须是ENABLED
  • Do not show warning or elevation promptWhen installing drivers for a new connection和都必须设置When updating drivers for an existing connectionEnter fully qualified server names separated by semicolons必须填写正确的名称服务器(例如myPrintserver.mydomain.com;myOtherprintServer.mydomain.com
  1. Package Point and print - Approved servers
  • ENABLED
  • 包含与上述相同的服务器列表

GPO 先决条件

实际的解决方法*KB5005033问题:

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators在受影响的机器上设置为0- 也可以通过 GPO 轻松完成:

绕过 KB5005033 的解决方法

* 这是一个解决方法,而不是修复,因为它使你的打印服务器再次受到攻击(这正是 KB5005033 首先试图“修复”的) - 但我们确实需要打印,对吧……?

有人知道如何正确修复这个问题?(不会让打印服务器受到攻击)

多谢。

相关问题:

答案1

微软发布我们可以用来管理新行为的各种解决方案的总结。

具体来说:

强制执行新默认设置时安装打印驱动程序

如果将 RestrictDriverInstallationToAdministrators 设置为未定义或 1,则根据您的环境,用户必须使用以下方法之一来安装打印机:

  • 尝试安装打印机驱动程序时,如果系统提示输入凭据,请提供管理员用户名和密码。

  • 在操作系统映像中包含必要的打​​印机驱动程序。

  • 使用 Microsoft System Center、Microsoft Endpoint Configuration Manager 或同等工具远程安装打印机驱动程序。

  • 临时将 RestrictDriverInstallationToAdministrators 设置为 0 以安装打印机驱动程序。

[...]
重要的没有任何缓解措施组合等同于将 RestrictDriverInstallationToAdministrators 设置为 1。
[...]

我建议您将打印机驱动程序部署到您的计算机,然后删除所有已部署的指向和打印组策略以及打包指向和打印组策略(因为它们不再需要),并且不要设置RestrictDriverInstallationToAdministrators注册表值,因为这会导致您的客户端/服务器出现漏洞。

不要忘记,如果将RestrictDriverInstallationToAdministrators注册表值设置为0,则启用了打印后台处理程序的每个 Windows 设备都容易受到攻击,这不仅涉及打印服务器,客户端计算机和其他 Windows 服务器也会受到影响!

请注意,打印后台处理程序中目前还有另一个漏洞,补丁仍未发布: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

尽可能禁用打印后台处理程序是一个很好的经验法则......

答案2

我发现了两种可能的解决方案,它们都不会引发任何 UAC / 管理员权限提示:

  1. 切换到计算机配置部署(CC -> Pr -> 控制面板 -> 打印机 -> 新建 -> TCP/IP)。请注意打印机驱动程序类型 3是必须的打印服务器才能正常工作。打印服务器仅用于部署打印机,之后受影响的机器能够独立于打印服务器进行打印(例如,当关闭或不可用时)。

  2. 在打印服务器上重新安装打印机4 类驱动程序并继续使用用户配置部署(如果有 Type 4 驱动程序)。我使用printmanagement.msc控制台。我怎么做的?首先,删除打印机的所有旧驱动程序,如下所示: 在此处输入图片描述

然后通过 USB 直接插入打印机(而不是通过我们的 Repotec TCP/IP 打印服务器盒)并让 MS Windows 自行安装驱动程序 - 它安装了“Class”驱动程序,类型 4:

在此处输入图片描述

重要的!不需要注册表黑客RestrictDriverInstallationToAdministrators,以及指向并打印组策略打包指向并打印组策略- 也不需要,如果你曾经应用过,请按照微软官方缓解指南。此外,如果你删除了更新KB5005033作为一种解决方法,安装它并受到保护。

祝你好运!

相关内容