Форум IT-KB

Доброго времени суток Уважаемые коллеги.
На днях заметил, что при подключении с принт сервера \\prnsrv.domain.local при установке драйвера на клиентские машины Windows 10 , система спрашивает "Вы действительно доверяете этому принтеру?" и далее срабатывает UAG для внесения кред администратора. Таких машин уже 7 единиц.
Замечу, что не все принтеры этого требуют, некоторые работают как раньше- при выборе установит, просто устанавливаются в систему и все.
Права на принт сервере никто не менял. Скриншоты приложил.
Служба обновлений WSUS распространяет обновления и устанавливает их на ПК. Последнее большое обновление на клиенте было 12.08.2021, а на сервере 12.06.2021. Может быть из-за обновления?
Клиентские ПК в основном Win10 Pro 20H1 и 1909.
Вопрос: Может кто сталкивался с данным поведением?

Спасибо!

Возможно Вы слышали про PrintNightmare. Подобное поведение начинается на всех устройствах, где был установлен августовский кумулятив, который окончательно закрывает проблему.

После установки обновления дефолтное значение параметра запрещающего установку драйверов принтеров с серверов печати (RestrictDriverInstallationToAdministrators) меняется с 0 на 1, т.е. раньше запрет по дефолту был отключен, сейчас включен.

Выхода два:
1. Через политику (GPP) передать значение параметра RestrictDriverInstallationToAdministrators = 0 временно пока не установите принтеры. Здесь важно понимать, на постоянку оставлять значение в таком виде категорически нельзя.
2. Если ситуации такова, что сами пользователи должны ходить по принт-серверам и ставить себе принтеры, в добавок к пункту 1 можно через реестр задать список легитимных принт-серверов.

В данном случае предпочитаю настраивать именно через реестр (GPP), т.к. RestrictDriverInstallationToAdministrators отсутсвует в шаблонах.

Для этого создадим параметр RestrictDriverInstallationToAdministrators типа DWORD с значением 0 в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Чтобы указать принт-серверы создадим параметр Print-Server01.holding.com типа REG_SZ с пустым значением в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\ListofServers

Если принт-серверов несколько, то создаём столько параметров, сколько нужно:
Print-Server01.holding.com
Print-Server02.holding.com
...
Print-Server10.holding.com

Таким образом, установка принтеров будет разрешена только с указанных принт-серверов, с всех остальных будет всплывать запрос о повышении привилегий.

Перезагрузка после применения параметров не требуется.

Виталий, спасибо.
У нас только один принт-сервер и пользователи очень часто перемещаются по объектам, что в совою очередь вынуждает их подключать себе принтера ближайшие (с объектов). Мы не заморачивались с политиками распространения принтеров пользователям, а просто сделали через GPP ярлычок на рабочем столе, с именем принт-сервера \\prnsrv.domain.local с которого все пользователи подключают себе нужные принтеры сами. И как раз таки на некоторых проблемных ПК (на которых при подключении принтеров требуется повышение прав) есть обновление от 12.08.2021 KB5005033, после удаления которого данная проблема исчезает. Естественно даже если отменить обновление через WSUS, то не факт, что после очередного сентябрьского обновления, проблема возникнет снова.
Но, если этот вопрос по безопасности принтеров MS закрыт раз и навсегда, тогда нет смысла удалять обновления и ждать свежего, как только обходными вариантами по Вашим рекомендациям?

cobion писал(а): ↑02 сен 2021 06:45 Но, если этот вопрос по безопасности принтеров MS закрыт раз и навсегда, тогда нет смысла удалять обновления и ждать свежего, как только обходными вариантами по Вашим рекомендациям?

Это рекомендации MS.
Если у Вас такая мобильность пользователей, то Вам нужно настроить политику, и одобрить августовский патч на установку повторно, и эта проблема Вас не должна более беспокоить.

Виталий, подскажите, так эти политики применяются на ПК или на пользователя, в каком разделе GPO создавать данные ключи реестра?

Всё верно — политика компьютерная.
Лучше поставить тип Update, даже если кто-то изменит значение, политика исправит.

Все работает, спасибо!