Không thể triển khai máy in qua Cấu hình người dùng GPO sau khi cài đặt bản cập nhật Windows KB5005033 (vấn đề "Bạn có tin tưởng máy in này không?")

Gần đây (2021-08-10) KB5005033 Bản cập nhật Windows thực sự mang lại vấn đề này sống lại bằng chỉ buộc quản trị viên để cài đặt trình điều khiển máy in (và do đó, không cho phép phân phối máy in qua Cấu hình người dùng GPO), Trích dẫn:

...Cập nhật yêu cầu đặc quyền cài đặt mặc định để bạn phải là quản trị viên để cài đặt trình điều khiển khi sử dụng Point và In...

Đột nhiên, người dùng của chúng tôi nhận được các cửa sổ bật lên này (chỉ trên máy tính đã cài đặt bản cập nhật KB5005033):

Để làm cho nó (triển khai các máy in được chia sẻ trong miền Windows thông qua GPO Cấu hình Người dùng) hoạt động trở lại...

Có một số điều kiện tiên quyết đầu tiên trong Cấu hình máy tính - Chính sách - Mẫu quản trị - Máy in (chúng tôi đã từng kích hoạt những thứ này từ lâu rồi):

1. Hạn chế điểm và in:

• cần phải ĐÃ BẬT
• Không hiển thị lời nhắc cảnh báo hoặc độ cao phải được đặt cho cả hai Khi cài đặt trình điều khiển cho một kết nối mới và Khi cập nhật trình điều khiển cho một kết nối hiện có. Các Nhập tên máy chủ đủ điều kiện được phân tách bằng dấu chấm phẩy phải được điền bằng máy chủ định danh thích hợp (ví dụ: myPrintserver.mydomain.com;myOtherprintServer.mydomain.com)

2. Gói Điểm và in - Máy chủ được phê duyệt:

• Là ĐÃ BẬT
• chứa danh sách các máy chủ giống như trên

Cách giải quyết thực tế* cho KB5005033 số báo:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators được đặt thành 0 trên các máy bị ảnh hưởng - cũng có thể được thực hiện dễ dàng thông qua GPO:

* Đây là một giải pháp thay thế, không phải là một sửa chữa, bởi vì nó làm cho máy in của bạn dễ bị tấn công trở lại (đó là điều mà KB5005033 cố gắng "sửa chữa" ngay từ đầu) - nhưng chúng tôi cần phải in, đúng không...?

Bất cứ ai cũng biết làm thế nào để sửa lỗi này đúng cách? (không làm cho máy in dễ bị tấn công)

Cảm ơn rất nhiều.

Các vấn đề liên quan:

• Làm cách nào tôi có thể thoát khỏi hộp thông báo "Bạn có tin tưởng máy in này không" và thêm máy in của mình qua GPO?

Microsoft được phát hành một bản tóm tắt các giải pháp khác nhau mà chúng tôi có thể sử dụng để quản lý hành vi mới.

Đặc biệt:

Cài đặt trình điều khiển in khi cài đặt mặc định mới được thực thi

Nếu bạn đặt RestrictDriverInstallationToAdministrators là không được xác định hoặc 1, tùy thuộc vào môi trường của bạn, người dùng phải sử dụng một trong các các phương pháp sau để cài đặt máy in:

• Cung cấp tên người dùng và mật khẩu quản trị viên khi được nhắc nhập thông tin xác thực khi cố gắng cài đặt trình điều khiển máy in.

• Bao gồm các trình điều khiển máy in cần thiết trong hình ảnh hệ điều hành.

• Sử dụng Trung tâm Hệ thống Microsoft, Trình quản lý Cấu hình Điểm cuối của Microsoft hoặc một công cụ tương đương để cài đặt trình điều khiển máy in từ xa.

• Đặt tạm thời RestrictDriverInstallationToAdministrators thành 0 để cài đặt trình điều khiển máy in.

[...]
Quan trọng Không có sự kết hợp của các biện pháp giảm thiểu tương đương với việc đặt RestrictDriverInstallationToAdministrators thành 1.
[...]

Tôi khuyên bạn nên triển khai trình điều khiển máy in cho máy tính của mình, sau đó, xóa tất cả Chính sách Nhóm Điểm và In cũng như Chính sách Nhóm Điểm và Nhóm In đã triển khai, vì chúng không còn cần thiết nữa và không đặt Hạn chếDriverInstallationToAdministrators giá trị đăng ký vì điều này sẽ tạo ra lỗ hổng trên máy khách/máy chủ của bạn.

Đừng quên rằng mỗi thiết bị Windows có bật Bộ đệm máy in đều dễ bị tấn công nếu bạn đặt Hạn chếDriverInstallationToAdministrators giá trị đăng ký để 0, nó không chỉ ảnh hưởng đến Máy chủ In, máy khách và các máy chủ Windows khác cũng bị ảnh hưởng!

Xin lưu ý rằng hiện tại có một lỗ hổng khác trong Bộ đệm máy in, bản vá vẫn đang chờ xử lý: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

Vô hiệu hóa Bộ đệm máy in bất cứ khi nào có thể là một nguyên tắc nhỏ...

Tôi đã tìm ra hai giải pháp khả thi, cả hai đều không gây ra bất kỳ lời nhắc nào về quyền quản trị viên/UAC:

1. Chuyển sang cấu hình máy tính triển khai thay thế (CC -> Pr -> Bảng điều khiển -> Máy in -> Mới -> TCP/IP). Lưu ý rằng Trình điều khiển máy in loại 3 bắt buộc trên printserver để hoạt động. Máy chủ in chỉ được sử dụng để triển khai máy in, sau đó, các máy bị ảnh hưởng có thể in độc lập trên máy chủ in (ví dụ: khi tắt hoặc không khả dụng).

2. Cài đặt lại máy in trên printserver với trình điều khiển loại 4 và tiếp tục sử dụng Cấu hình người dùng triển khai (nếu có trình điều khiển Loại 4). tôi sử dụng quản lý in.msc bảng điều khiển. Làm thế nào tôi đã làm nó? Đầu tiên, gỡ bỏ tất cả các trình điều khiển cũ cho máy in như sau:

Sau đó, cắm trực tiếp máy in (không qua hộp máy in Repotec TCP/IP của chúng tôi) qua USB và để MS Windows tự cài đặt trình điều khiển - nó đã cài đặt trình điều khiển "Class", Loại 4:

QUAN TRỌNG! Sổ đăng ký hack như Hạn chếDriverInstallationToAdministrators KHÔNG cần thiết, cũng như Chính sách Nhóm Điểm và In và Chính sách nhóm in và điểm gói - cũng không cần thiết, nếu bạn đã từng áp dụng chúng, hãy làm theo hướng dẫn Hướng dẫn giảm thiểu chính thức của Microsoft. Ngoài ra, nếu bạn đã gỡ bỏ bản cập nhật KB5005033 như một giải pháp thay thế, cài đặt nó và được bảo vệ.

Chúc may mắn!