Serveur d'impression

KB5005652—Gérer le nouveau comportement d'installation du pilote par défaut Point and Print (CVE-2021-34481) – Serveur d’impression

Le 18 octobre 2021 - 11 minutes de lecture


Sommaire

Les mises à jour Windows publiées le 10 août 2021 et les versions ultérieures nécessiteront, par défaut, des privilèges d'administrateur pour installer les pilotes. Nous avons apporté cette modification au comportement par défaut pour gérer le risque sur tous les appareils Windows, y compris les appareils qui n'utilisent pas la fonctionnalité Pointer-imprimer ou imprimer. Pour plus d'informations, voir Pointer et imprimer le changement de comportement par défaut et CVE-2021-34481.

Par défaut, les utilisateurs non administrateurs ne pourront plus effectuer les opérations suivantes à l'aide de Pointer et imprimer sans élévation de privilèges d'administrateur :

Noter Si vous n'utilisez pas Point and Print, vous ne devriez pas être affecté par ce changement et serez protégé par défaut après l'installation des mises à jour publiées le 10 août 2021 ou plus tard.

Important Les clients d'impression de votre environnement doivent disposer d'une mise à jour publiée le 12 janvier 2021 ou une version ultérieure avant d'installer les mises à jour publiées le 14 septembre 2021. Veuillez consulter T2 dans « Foire aux questions » ci-dessous pour plus d'informations.

Modifier le comportement d'installation du pilote par défaut à l'aide d'une clé de registre

Vous pouvez modifier ce comportement par défaut à l'aide de la clé de registre dans le tableau ci-dessous. Cependant, soyez très prudent lorsque vous utilisez une valeur de zéro (0) car cela rend les périphériques vulnérables. Si vous devez utiliser la valeur de registre 0 dans votre environnement, nous vous recommandons de l'utiliser temporairement pendant que vous ajustez votre environnement pour permettre aux appareils Windows d'utiliser la valeur un (1).

Emplacement du registre

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint

DNom du mot

Restreindre l'installation du pilote aux administrateurs

Données de valeur

Comportement par défaut : Définir cette valeur sur 1 ou si la clé n'est pas définie ou n'est pas présente, nécessitera des privilèges d'administrateur pour installer n'importe quel pilote d'imprimante lors de l'utilisation de Point and Print. Cette clé de registre remplacera tout Restrictions de pointage et d'impression Paramètres de stratégie de groupe et garantit que seuls les administrateurs peuvent installer des pilotes d'imprimante à partir d'un serveur d'impression à l'aide de Pointer et imprimer.

Définir la valeur sur 0 permet aux non-administrateurs d'installer des pilotes signés et non signés sur un serveur d'impression mais ne remplace pas les paramètres de stratégie de groupe Pointer et imprimer. Par conséquent, les paramètres de stratégie de groupe Restrictions de pointage et d'impression peuvent remplacer ce paramètre de clé de Registre pour empêcher les non-administrateurs d'installer des pilotes d'impression signés et non signés à partir d'un serveur d'impression. Certains administrateurs peuvent définir la valeur sur 0 pour permettre aux non-administrateurs d'installer et de mettre à jour les pilotes après avoir ajouté des restrictions supplémentaires, y compris l'ajout d'un paramètre de stratégie qui limite l'emplacement à partir duquel les pilotes peuvent être installés.

Important Il n'existe aucune combinaison d'atténuations équivalente à la définition de RestrictDriverInstallationToAdministrators sur 1.

Exigences de redémarrage

Aucun redémarrage n'est requis lors de la création ou de la modification de cette valeur de registre.

Noter Les mises à jour Windows ne définiront ni ne modifieront la clé de registre. Vous pouvez définir la clé de registre avant ou après l'installation des mises à jour publiées le 10 août 2021 ou une version ultérieure.

Automatiser l'ajout de RestrictDriverInstallationToAdministrators

Pour automatiser l'ajout de la valeur de Registre RestrictDriverInstallationToAdministrators, procédez comme suit :

  1. Ouvrez une fenêtre d'invite de commandes (cmd.exe) avec des autorisations élevées.

  2. Tapez la commande suivante, puis appuyez sur Entrée :

    reg add "HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Installer les pilotes d'impression lorsque le nouveau paramètre par défaut est appliqué

Si vous définissez RestrictDriverInstallationToAdministrators comme non défini ou sur 1, selon votre environnement, les utilisateurs doivent utiliser l'une des méthodes suivantes pour installer les imprimantes :

  • Fournissez un nom d'utilisateur et un mot de passe administrateur lorsque vous êtes invité à fournir des informations d'identification lorsque vous essayez d'installer un pilote d'imprimante.

  • Incluez les pilotes d'imprimante nécessaires dans l'image du système d'exploitation.

  • Utilisez Microsoft System Center, Microsoft Endpoint Configuration Manager ou un outil équivalent pour installer à distance les pilotes d'imprimante.

  • Définissez temporairement RestrictDriverInstallationToAdministrators sur 0 pour installer les pilotes d'imprimante.

Noter Si vous ne pouvez pas installer les pilotes d'imprimante, même avec des privilèges d'administrateur, vous devez désactiver le Utilisez uniquement Package Point and Print Stratégie de groupe.

Atténuations partielles pour les environnements qui ne peuvent pas utiliser le comportement par défaut

Les atténuations suivantes peuvent aider à sécuriser votre environnement si vous devez définir RestrictDriverInstallationToAdministrators sur 0. Ces atténuations ne résolvent pas complètement les vulnérabilités dans CVE-2021-34481.

Important Il n'existe aucune combinaison d'atténuations équivalente à la définition de RestrictDriverInstallationToAdministrators sur 1.

Vérifiez que RpcAuthnLevelPrivacyEnabled est défini sur 1 ou non défini

Vérifiez que RpcAuthnLevelPrivacyEnabled est défini sur 1 ou n'est pas défini comme décrit dans Gérer le déploiement des modifications de liaison RPC d'imprimante pour CVE-2021-1678 (KB4599464).

Autoriser les utilisateurs à se connecter uniquement à des serveurs d'impression spécifiques auxquels vous faites confiance

Cette politique, Restrictions de pointage et d'impression, s'applique aux imprimantes de pointage et d'impression utilisant un pilote non compatible avec les packages sur le serveur.

Utilisez les étapes suivantes :

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC).

  2. Dans l'arborescence de la console GPMC, accédez au domaine ou à l'unité d'organisation (OU) qui stocke les comptes d'utilisateur pour lesquels vous souhaitez modifier les paramètres de sécurité du pilote d'imprimante.

  3. Cliquez avec le bouton droit sur le domaine ou l'unité d'organisation approprié et cliquez sur Créez un GPO dans ce domaine et associez-le ici.Tapez un nom pour le nouvel objet de stratégie de groupe (GPO), puis cliquez sur d'accord.

  4. Cliquez avec le bouton droit sur l'objet de stratégie de groupe que vous avez créé, puis cliquez sur Éditer.

  5. Dans la fenêtre Éditeur de gestion des stratégies de groupe, cliquez sur La configuration d'un ordinateur, Cliquez sur Stratégies, Cliquez sur Modèles d'administration, puis cliquez sur Imprimantes.

  6. Clic-droit Restrictions de pointage et d'impression, puis cliquez sur Éditer.

  7. Dans le Restrictions de pointage et d'impression boîte de dialogue, cliquez sur Activée.

  8. Sélectionnez le Les utilisateurs peuvent uniquement pointer et imprimer vers ces serveurs case à cocher si elle n'est pas déjà sélectionnée.

  9. Entrez les noms de serveur complets. Séparez chaque nom à l'aide d'un point-virgule (;).

  10. Dans le Lors de l'installation des pilotes pour une nouvelle connexion boîte, sélectionnez Afficher l'avertissement et l'invite élevée.

  11. Dans le Lors de la mise à jour des pilotes pour une connexion existante boîte, sélectionnez Afficher l'avertissement et l'invite élevée.

  12. Cliquez sur d'accord.

Autoriser les utilisateurs à se connecter uniquement à des serveurs de pointage et d'impression de packages spécifiques auxquels vous faites confiance

Cette règle, Package Point and Print – Approved servers, limitera le comportement du client pour autoriser uniquement les connexions Point and Print vers des serveurs définis qui utilisent des pilotes compatibles avec les packages.

Utilisez les étapes suivantes :

  1. Sur le contrôleur de domaine, sélectionnez Début, sélectionnez Outils administratifs, puis sélectionnez Gestion des politiques de groupe. Sinon, sélectionnez Début, sélectionnez Courir, taper GPMC.MSC, puis appuyez sur Entrée.

  2. Développez la forêt, puis développez les domaines.

  3. Sous votre domaine, sélectionnez l'unité d'organisation dans laquelle vous souhaitez créer cette stratégie.

  4. Cliquez avec le bouton droit sur l'unité d'organisation, puis sélectionnez Créez un GPO dans ce domaine et liez-le ici.

  5. Donnez un nom à l'objet de stratégie de groupe, puis sélectionnez d'accord.

  6. Cliquez avec le bouton droit sur l'objet de stratégie de groupe nouvellement créé, puis sélectionnez Éditer pour ouvrir l'éditeur de gestion des stratégies de groupe.

  7. Dans l'éditeur de gestion des stratégies de groupe, développez les dossiers suivants :

    1. La configuration d'un ordinateur

    2. Stratégies

    3. Modèles d'administration

    4. Politiques informatiques locales

    5. Imprimantes

  8. Permettre Pointage et impression de colis – Serveurs approuvés et sélectionnez le Spectacle… bouton.

  9. Entrez les noms de serveur complets. Séparez chaque nom à l'aide d'un point-virgule (;).

Questions fréquemment posées

Q1 : Chaque fois que j'essaie d'imprimer, je reçois une invite indiquant : "Faites-vous confiance à cette imprimante ?", et des informations d'identification d'administrateur sont nécessaires pour continuer. Est-ce prévu ?

A1 : être invité à effectuer chaque travail d'impression n'est pas attendu. Cela se produit lorsqu'un pilote d'impression sur le client d'impression et le serveur d'impression utilisent le même nom de fichier, mais que le serveur dispose d'une version plus récente du fichier de pilote. Lorsque le client d'impression se connecte au serveur d'impression, il trouve un fichier de pilote plus récent et est invité à mettre à jour les pilotes sur le client d'impression. Cependant, le fichier dans le package qu'il est proposé pour l'installation n'inclut pas la nouvelle version du fichier de pilote.

Les fichiers comparés sont les pilotes dans le dossier spool, généralement dans C:WindowsSystem32spooldriversx643 sur le client d'impression et le serveur d'impression. Le package de pilotes proposé pour l'installation sera généralement dans C:WindowsSystem32spooldriversx64PCC sur le serveur d'impression. Après les fichiers dans le 3 dossier sont comparés entre les appareils, s'ils ne correspondent pas, le package dans PCC est installé. Si les fichiers du serveur d'impression 3 dossier ne proviennent pas du même pilote d'imprimante que PCC offres au client, le client d'impression comparera les fichiers et trouvera la non-concordance à chaque impression.

Pour atténuer ce problème, vérifiez que vous utilisez les derniers pilotes pour tous vos périphériques d'impression. Dans la mesure du possible, utilisez la même version du pilote d'impression sur le client d'impression et le serveur d'impression. Si la mise à jour des pilotes dans votre environnement ne résout pas le problème, contactez l'assistance du fabricant de votre imprimante (OEM).

Q2 : J'ai installé les mises à jour publiées le 14 septembre 2021 et certains appareils Windows ne peuvent pas imprimer sur des imprimantes réseau. Y a-t-il une commande dont j'ai besoin pour installer les mises à jour sur les clients d'impression et les serveurs d'impression ?

R2 : Avant d'installer les mises à jour publiées le 14 septembre 2021 ou une version ultérieure sur les serveurs d'impression, les clients d'impression doivent avoir installé les mises à jour publiées le 12 janvier 2021 ou une version ultérieure. Les appareils Windows n'imprimeront pas s'ils n'ont pas installé de mise à jour publiée le 12 janvier 2021 ou une version ultérieure.

Noter Vous n'avez pas besoin d'installer les mises à jour antérieures et pouvez installer n'importe quelle mise à jour après le 12 janvier 2021 sur les clients d'impression. Nous vous recommandons d'installer la dernière mise à jour cumulative sur les clients et les serveurs.

Ressources

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.