打印机指向和打印限制 GPO 不起作用

打印机指向和打印限制 GPO 不起作用

为了修复“打印噩梦”,我禁用了安装打印驱动程序所需的管理员权限(这很有效)。这实际上与将自己暴露于“打印噩梦”漏洞相同。这就是为什么我想将某些打印服务器列入“白名单”,以便部分缓解漏洞。

为此,我尝试启用 GPO:
计算机配置\策略\管理模板\打印机\指向和打印限制“。

此 GPO 配置如下:

  • 用户只能指向这些服务器并进行打印:已启用

  • 输入完全限定的服务器名称(以分号分隔):测试.[域].int

  • 用户只能指向并打印到他们林中的机器:已禁用

  • 安全提示:

    • 为新连接安装驱动程序时:不显示警告或提升提示
    • 更新现有连接的驱动程序时:不显示警告或提升提示

但问题是,我的客户端仍然能够打印到我们的打印服务器,尽管它没有 FQDN测试.[域].int。因此,我不确定我设置测试 GPO 的方式是否真的将任何东西列入白名单,从而让我们暴露于 Print Nightmare 漏洞。

我还尝试使用 test.[DOMAIN].int 启用 GPO“Package Point and Print - Approved server”,但无济于事。

我需要帮助来了解我需要做哪些不同的事情才能使白名单发挥作用。我一直在关注有关该主题的这篇 MS 文章:KB5005652—管理新的指向和打印默认驱动程序安装行为(CVE-2021-34481)

相关内容