Imposibil de implementat imprimante prin Configurarea utilizatorului GPO după ce actualizarea Windows KB5005033 a fost instalată ("Aveți încredere în această imprimantă?" Problemă)

Recent (2021-08-10) KB5005033 Actualizarea Windows aduce de fapt această problemă inapoi la viata prin forțând doar administratorii pentru a instala drivere de imprimantă (și, prin urmare, nu permiteți distribuirea imprimantei prin Configurare utilizator GPO), citat:

...Actualizează cerința implicită de privilegii de instalare, astfel încât dvs trebuie să fie administrator pentru a instala drivere atunci când utilizați Point și Imprimare...

Dintr-o dată, utilizatorii noștri primesc aceste ferestre pop-up (doar pe computerele cu actualizarea KB5005033 instalată):

Pentru ca acesta să funcționeze din nou (implantarea imprimantelor partajate în domeniul Windows prin GPO User Configuration...

Există câteva cerințe preliminare în primul rând Configurare computer - Politici - Șabloane administrative - Imprimante (obișnuiam să le avem deja activate cu mult timp în urmă):

1. Restricții de punctare și imprimare:

• trebuie sa fie ACTIVAT
• Nu afișați avertismente sau indicații de elevație trebuie setat pentru ambele Când instalați drivere pentru o nouă conexiune și Când actualizați driverele pentru o conexiune existentă. The Introduceți nume de server complet calificate, separate prin punct și virgulă trebuie să fie completate cu servere de nume proprii (de ex. myPrintserver.mydomain.com;myOtherprintServer.mydomain.com)

2. Punctarea pachetului și imprimarea - Servere aprobate:

• este ACTIVAT
• conține o listă cu aceleași servere ca mai sus

Soluția reală* pentru KB5005033 problema:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators este setat sa 0 pe mașinile afectate - se poate face cu ușurință și prin GPO:

* Aceasta este o soluție, nu o remediere, deoarece aceasta face serverele dvs. de imprimare vulnerabile din nou (care este ceea ce KB5005033 încearcă să „repare” în primul rând) - dar trebuie să tipărim, nu...?

Știe oricine cum să remedieze acest lucru corect? (fără a face imprimantele vulnerabile)

Mulțumesc mult.

Probleme similare:

• Cum pot să scap de caseta de mesaj „Ai încredere în această imprimantă” și să adaug imprimanta mea prin GPO?

Microsoft publicat un rezumat al diverselor soluții pe care le putem folosi pentru a gestiona noul comportament.

Specific:

Instalați driverele de imprimare când noua setare implicită este aplicată

Dacă setați RestrictDriverInstallationToAdministrators ca nedefinit sau la 1, în funcție de mediul dvs., utilizatorii trebuie să utilizeze unul dintre următoarele metode de instalare a imprimantelor:

• Furnizați un nume de utilizator și o parolă de administrator când vi se solicită acreditările atunci când încercați să instalați un driver de imprimantă.

• Includeți driverele de imprimantă necesare în imaginea sistemului de operare.

• Utilizați Microsoft System Center, Microsoft Endpoint Configuration Manager sau un instrument echivalent pentru a instala de la distanță driverele de imprimantă.

• Setați temporar RestrictDriverInstallationToAdministrators la 0 pentru a instala driverele de imprimantă.

[...]
Important Nu există nicio combinație de atenuări care să fie echivalentă cu setarea RestrictDriverInstallationToAdministrators la 1.
[...]

Vă recomand să implementați driverele de imprimantă pe computerele dvs., apoi să eliminați toate politicile de grup de punctare și imprimare și politicile de grup de tipărire și punct de pachete implementate, deoarece acestea nu mai sunt necesare și nu setați Restricționați instalarea driverului la administratori valoarea de registry deoarece aceasta va permite o vulnerabilitate pe clienții/serverele dvs.

Nu uitați că fiecare dispozitiv Windows pe care este activat Print Spooler este vulnerabil dacă setați Restricționați instalarea driverului la administratori valoarea de registry la 0, nu este vorba doar despre serverele de imprimare, computerele clienților și alte servere Windows sunt și ele afectate!

Rețineți că există o altă vulnerabilitate în Print Spooler în acest moment, patch-ul este încă în așteptare: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

Dezactivarea spoolerului de imprimare ori de câte ori este posibil este o regulă generală bună...

Am găsit două soluții posibile, ambele nu provoacă nicio solicitare privind drepturile UAC/admin:

1. Schimba cu Configurarea computerului desfășurare în schimb (CC -> Pr -> Panou de control -> Imprimante -> Nou -> TCP/IP). Rețineți că driver de imprimantă Tip 3 este necesară pe printserver pentru a funcționa. Printserver este folosit numai pentru a implementa imprimanta, după aceea, mașinile afectate pot imprima independent pe serverul de imprimare (de exemplu, atunci când sunt oprite sau indisponibile).

2. Reinstalați imprimanta pe serverul de imprimare cu Sofer de tip 4 și continuați să utilizați Configurarea utilizatorului implementare (dacă este disponibil driverul de tip 4). eu folosesc printmanagement.msc consolă. Cum am făcut-o? Mai întâi, ați eliminat toate driverele vechi de pe imprimantă astfel:

Apoi conectați imprimanta direct (nu prin cutia noastră de imprimantă Repotec TCP/IP) prin USB și lăsați MS Windows să instaleze driverele în sine - a instalat driverul „Class”, tip 4:

IMPORTANT! Hack-uri de registru ca Restricționați instalarea driverului la administratori NU sunt necesare, la fel ca Politicile de grup de indicare și imprimare și Punctarea pachetului și Politicile de grup de tipărire - nici nu sunt necesare, daca le-ati aplicat vreodata, urmati Ghidul oficial de atenuare al Microsoft. De asemenea, dacă ați fi eliminat actualizarea KB5005033 ca o soluție, instalează-l și protejează-te.

Noroc!