Пароль при установке драйвера

Содержание
  1. Установка устройств в Windows 7 без прав администратора
  2. Запрещаем клиентам искать драйвера на узле Windows Update
  3. Разрешаем обычным пользователям устанавливать драйвера устройств указанных типов
  4. Предварительная загрузка драйверов в хранилище Driver Store в Windows 7
  5. KB5005652 — управление новыми точками и печатью при установке драйвера по умолчанию (CVE-2021-34481)
  6. Сводка
  7. Изменение поведения при установке драйвера по умолчанию с помощью ключа реестра
  8. Автоматизация добавления значения реестра RestrictDriverInstallationToAdministrators
  9. Set RestrictDriverInstallationToAdministrators using Group Policy
  10. Установка драйверов печати при вмении нового параметра по умолчанию
  11. Рекомендуемые параметры и частичные снижения последствий для среды, в которой нельзя использовать поведение по умолчанию
  12. Убедитесь, что для RpcAuthnLevelPrivacyEnabled установлено 1 или не определено
  13. Проверка включения подсказок безопасности для point и print
  14. Разрешить пользователям подключаться только к определенным серверам печати, которые вы доверяете
  15. Разрешить пользователям подключаться только к определенным точкам пакета и серверам печати, которые вы доверяете
  16. Вопросы и ответы

Установка устройств в Windows 7 без прав администратора

Одним из актуальных вопросов использования Windows 7 в корпоративной среде – предоставление мобильным пользователям прав на установку локальных устройств без назначения им прав локального администратора. В предыдущих версиях Windows (NT 4, Windows 2000 и XP) в большинстве случаев данный вопрос решался просто: мобильным пользователям предоставляли права локального администратора (или Power User), лишь потому что в командировке им может понадобиться установить и подключить внешнее устройство. Если несколько лет назад права на установку локальных устройств были нужны преимущественно для подключения локальных принтеров, то сейчас список таких внешних устройств существенно расширился, теперь необходимо не забывать о поддержке мобильных телефонов, гарнитурах, камерах и т.д.

Microsoft добавила ряд новшеств в свои последние ОС (Windows Vista и Windows 7), которые реализуют возможности централизованного корпоративного управления установкой локальных устройств. В данной статье я попытаюсь объяснить, что же происходит, когда к клиенту Windows 7 подключается новое внешнее устройство и каким образом на этот процесс можно влиять с помощью настроек групповых политик.

В Windows XP рядовой пользователь мог установить новое устройство, только в том случае, если данное устройство поддерживается одним из стандартных драйверов Windows, входящих в комплект установки, или же если драйвер для этого устройства доступен через службу обновлений Windows Update. В Windows XP количество устройств, поддерживаемых такими предустановленными драйверами по сравнению с Windows 7 было существенно ограничено. Службу, позволяющую обновлять драйвера устройств через Windows Update, Microsoft запустила в 2005 году, а как вы помните через год уже была выпущена Windows Vista, поэтому многие производители аппаратного обеспечения, похоже, решили не тратить средства на обеспечение возможности обновления драйверов своих устройств для Windows XP через Центр обновлений Windows. И именно по этим причинам, чтобы предоставить мобильному пользователю права на установку нового оборудования, корпоративным администраторам приходилось давать пользователям права локальных администраторов на их ноутбуках.

Вместе с выходом Windows Vista процедура установки новых драйверов несколько изменилась. В предыдущих версиях Windows драйвера устройств могли храниться в различных каталогах, теперь же в Windows Vista и последующих версиях Windows, появилось понятие «Хранилище драйверов» (Driver Store), которое является доверенным местоположением для хранения всех встроенных драйверов и пакетов драйверов сторонних разработчиков. Теперь в Windows можно установить только драйвер, хранящийся в этом хранилище Driver Store. Процесс доставки драйвера в Driver Store называется “staging” (поставка). Хорошая новость заключается в том, что любой драйвер, который имеется в хранилище драйверов, может быть установлен любым пользователем без прав локального администратора.

Давайте представим что же происходит, когда пользователь пытается подключить новое устройство к клиенту на Windows 7. По умолчанию Windows 7 пытается найти подходящий драйвер на Windows Update, и если искомый драйвер будет найден, автоматически скачает и поместит его в локальное хранилище Driver Store, т.е. перед установкой будет осуществлен процесс поставки драйвера (staging). В том случае, если подходящего драйвера не будет найдено, Windows продолжит поиск подходящего драйвера в локальном хранилище. Если подходящий драйвер будет найден, Windows установит его. Если драйвер вновь не будет обнаружен, система продолжит поиск по пути, указанному в значении ключа реестра DevicePath, это может быть локальный диск, например C:\Drivers или сетевая папка. Если и там драйвер не будет найден, Windows сообщит о том, что подходящего драйвер не было найдено.

Описанный выше процесс должен помочь большинству домашних пользователей и пользователям небольших компании решить проблему установки локальных устройств без наличия прав локального администратора. Однако в сетях крупных организаций появится ряд проблем:

  • Многие компании хотят четко понимать и контролировать то, что устанавливается на их компьютерах. И даже если рассматривать содержимое узла Microsoft Windows Update как доверенное, во многих компаниях политика безопасности запрещает доступ на внешние ресурсы напрямую (в том числе и на Windows Update Server).
  • Насколько мне известно, невозможно разделить процесс поиска на узле обновлений Microsoft обновлений безопасности Windows Security и драйверов устройств, следовательно, если организация использует свой локальный сервер WSUS, то клиенты будут искать драйвера на внешнем сервере Windows Update Server, и он же будет использоваться для скачивания обновлений Windows. Т.е. использование локального WSUS теряет свой смысл. (Если я не прав, поправьте меня).
  • Если компания применяет очень жесткую политику по использованию конкретных устройств, то системные администраторы должны обеспечивать актуальность драйверов в локальном хранилище Driver Store на всех клиентах компании.
Читайте также:  Драйверы для toshiba satellite l850 b4k

Но, не смотря на описанные проблемы, существует целый ряд обходных решений. И, как и многие другие настройки Windows, управление установкой драйверов устройств можно управлять при помощи групповой политики.

Настройки эти находятся в следующем разделе групповой политики: Computer Configuration \ Administrative Templates \ System \ Device Installation. Параметр в разделе User Configuration \ Administrative Templates \ System \Driver Installation будут игнорироваться, так как он не применим кWindows 7.

Запрещаем клиентам искать драйвера на узле Windows Update

Чтобы запретить клиентам Windows 7 искать драйвера на узле Windows Update, активируйте групповую политику “Specify search order for device driver source locations” и настройте ее — “Do not search Windows Update”.

Разрешаем обычным пользователям устанавливать драйвера устройств указанных типов

Параметр групповой политики с именем “Allow installation of devices using drivers that match these device setup classes” (находится в ветке Configuration \ Administrative Templates \ System \ Device Installation \ Device Installation Restrictions IT Administrators) позволяет разрешить обычным пользователям загружать и устанавливать драйвера устройств указанных классов. Это означает, что если IT департамент не в состоянии уследить за пакетами драйверов для принтеров, которые используют пользователи компании, можно разрешить установку драйверов принтеров всем пользователям сети, установку драйвером для других классов устройств же можно запретить.

Предварительная загрузка драйверов в хранилище Driver Store в Windows 7

Для ряда широко распространенных внешних устройств администратор может заранее поместить драйвера в хранилище на все системы мобильных пользователей компании. Сделать это можно следующим образом:

  • Распространить драйвера вместе со стандартным корпоративным образом ОС
  • Установить драйвера после установки системы клиента – postinstall (MDT, SCCM, WSUS)
  • Распространение драйверов по требованию, в виде пакета программ

Я не буду подобно расписывать реализацию каждого их этих сценариев, но попробуем разобраться с типовой ситуацией, с которой администратор может столкнуться на практике.

Практически любой пользователь хочет иметь возможность синхронизации своего календаря с мобильным устройством, и если это устройство работает под управлением Windows Mobile, для подключения этого устройства к компьютеру с Windows 7 обязательно будет нужен Windows Mobile Device Center.

Если вы точно не знаете, какой драйвер нужен, позвольте системе самой найти и установить нужный драйвер с узла Windows Update. После окончания установки перейдите в каталог C:\Windows\System32\Driverstore и найдите свеже созданную папку.

Теперь вы может просто скопировать это каталог и распространить его по локальным хранилищам драйверов на корпоративные ПК. Другой метод – скачать пакет с драйвером непосредственно (как это сделать описано здесь http://support.microsoft.com/kb/323166) с узла Windows Update Catalogue.

Вы скачаете примерно следующий файл: X86-ar_bg_zh-tw_cs_da_de_el_en_es_fi_fr_…v_th_tr_sl_et_lv_lt_zh-cn_pt_ja-nec-20060042_b5eca0da489018bbc1930e42252b1034f739af15.cab. Далее этот CAB необходимо распаковать.

Далее я покажу, каким образом можно добавить скачанный драйвер в хранилище драйверов Driver Store Windows 7.

Чтобы добавить драйвер в хранилище, можно воспользоваться утилитой pnputil.exe, набрав примерно следующую команду:

Для тех, кому интересно, что на самом деле происходит при данной процедуре, познакомьтесь с журналом c:\Windows\INF\setupapi.dev.log.

Теперь, когда драйвер устройства помещен (pre-staged) в хранилище драйверов Windows 7, мы можем зайти под обычным пользователем и подключить наше мобильное устройство (в данном примере это Samsung Omnia GT8000 с Windows Mobile 6.5).

И опять подробный лог того, что происходит в setupapi.dev.log.

Итак драйвер уже помещен в каталог драйверов системы и после первого подключения устройства к компьютеру он установится и будет доступным к использованию.

Источник

KB5005652 — управление новыми точками и печатью при установке драйвера по умолчанию (CVE-2021-34481)

Сводка

Windows обновлений, выпущенных 10 августа 2021 г. и более поздних версий, для установки драйверов по умолчанию потребуются права администратора. Мы внося это изменение в поведение по умолчанию для устранения рисков на всех Windows, включая устройства, которые не используют функции Point и Print или Print. Дополнительные сведения см. в пунктах Изменение поведения по умолчанию и CVE-2021–34481.

По умолчанию пользователи без прав администратора больше не могут делать следующее с помощью точки и печати:

Установка новых принтеров с помощью драйверов на удаленном компьютере или сервере

Обновление существующих драйверов принтера с помощью драйверов с удаленного компьютера или сервера

Примечание Если вы не используете Point и Print, это изменение не защитит вас от изменений и будет по умолчанию защищено после установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии.

Важно Перед установкой обновлений, выпущенных 14 сентября 2021 г., клиентам печати в вашей среде необходимо установить обновление от 12 января 2021 г. или более поздней версии. Дополнительные сведения см. в вопросе «Вопросы и ответы» кв. 2 ниже.

Читайте также:  Если нет диска с драйверами сетевого адаптера

Изменение поведения при установке драйвера по умолчанию с помощью ключа реестра

Это поведение по умолчанию можно изменить с помощью параметра реестра, приведенного в таблице ниже. Однако будьте осторожны при использовании нуля (0), так как это делает устройства уязвимыми. Если в вашей среде необходимо использовать значение реестра 0, мы рекомендуем использовать его временно во время настройки среды, чтобы позволить устройствам Windows использовать значение 1 (1).

Данные о значениях

Поведение по умолчанию: Если задайте для этого значения значение 1 или ключ не определен или нет ,потребуется права администратора для установки любого драйвера принтера при использовании Point и Print. Этот ключ реестра переопределит все параметры групповой политики Point и Print Restrictions и гарантирует, что только администраторы смогут устанавливать драйверы принтера с печатного сервера с помощью point и Print.

Установка значения 0 позволяет не администраторам устанавливать подписанные и неподписаные драйверы на сервер печати, но не переопределять параметры групповой политики Point и Print. Следовательно, параметры групповой политики Point и Print Restrictions могут переопределять этот параметр реестра, чтобы запретить администраторам устанавливать с печатного сервера подписанные и неподписаные драйверы печати. Некоторые администраторы могут установить значение 0, чтобы разрешить не администраторам устанавливать и обновлять драйверы после добавления дополнительных ограничений, включая добавление параметра политики, ограничивающего возможность установки драйверов.

Важно Сочетания последствий, эквивалентных установке ограниченияDriverInstallationToAdministrators равным 1, не существует.

Примечание Для обновлений, выпущенных 6 июля 2021 г. и более поздних версий, по умолчанию задано значение 0 (отключено) до установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии. Обновления, выпущенные 10 августа 2021 г. или более поздние версии, по умолчанию имеют значение 1 (включено).

Требования к перезапуску

При создании или изменении этого значения реестра перезапуск не требуется.

Примечание Windows обновления не будут устанавливать или изменять реестр. Вы можете настроить реестр до или после установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии.

Автоматизация добавления значения реестра RestrictDriverInstallationToAdministrators

Чтобы автоматизировать добавление значения реестра RestrictDriverInstallationToAdministrators, выполните следующие действия:

Открытие окна команднойcmd.exe с повышенными разрешениями.

Введите следующую команду и нажмите ввод:

reg add «HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint» /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Set RestrictDriverInstallationToAdministrators using Group Policy

После установки обновлений, выпущенных 12 октября 2021 г. или более поздней версии, вы также можете настроить ограничителиDriverInstallationToAdministrators с помощью групповой политики, выполнив следующие инструкции:

Откройте редактор групповой политики и перейдите в меню Конфигурация компьютера> административных шаблонов> Принтеры.

Установите для параметра Ограничения при установке драйвера печати параметр Администраторы на «Включено». При этом для реестра RestrictDriverInstallationToAdministrators будет установлено значение 1.

Установка драйверов печати при вмении нового параметра по умолчанию

Если для ограниченияDriverInstallationToAdministrators задавается неопределенный или 1 (в зависимости от среды), для установки принтеров необходимо использовать один из следующих способов:

При запросе учетных данных при попытке установки драйвера принтера вводить имя пользователя и пароль администратора.

Включив необходимые драйверы принтера в изображение ОС.

Используйте Microsoft System Center, Microsoft Endpoint Configuration Manager или эквивалентное средство для удаленной установки драйверов принтера.

Чтобы установить драйверы принтера, временно задайте для ограниченияDriverInstallationToAdministrators 0.

Примечание Если вам не удается установить драйверы принтера даже с учетом прав администратора, необходимо отключить групповую политику «Использовать только точку упаковки» и «Печать».

Рекомендуемые параметры и частичные снижения последствий для среды, в которой нельзя использовать поведение по умолчанию

Следующие ограничения помогают защитить все среды, но особенно если необходимо установить для ограниченияDriverInstallationToAdministrators 0. Эти меры не полностью уявляют уязвимости в CVE-2021–34481.

Важно Сочетания последствий, эквивалентных установке ограниченияDriverInstallationToAdministrators равным 1, не существует.

Убедитесь, что для RpcAuthnLevelPrivacyEnabled установлено 1 или не определено

Убедитесь, что для RpcAuthnLevelPrivacyEnabled установлено 1 или не определено, как описано в описании изменения привязки принтера RPC для CVE-2021–1678 (KB4599464).

Проверка включения подсказок безопасности для point и print

Убедитесь, что для point и Print включены запросы безопасности, как описано в KB5005010:ограничение установки новых драйверов принтера после применения обновлений от 6 июля 2021 г.

Разрешить пользователям подключаться только к определенным серверам печати, которые вы доверяете

Эта политика «Ограниченияна печать» применяется к принтерам Point и Print с использованием непакетного драйвера на сервере.

С помощью следующих действий:

Откройте консоль управления групповыми политиками (GPMC).

В дереве консоли GPMC перейдите к домену или подразделению, в котором хранится учетная запись пользователя, для которой вы хотите изменить параметры безопасности драйвера принтера.

Щелкните правой кнопкой мыши соответствующий домен или ОО и выберите создать GPOв этом домене и связать его здесь .Введите имя нового объекта групповой политики и нажмите кнопку ОК.

Щелкните созданную GPO правой кнопкой мыши и выберите изменить.

В окне редактора управления групповыми политиками щелкните Конфигурациякомпьютера , выберите Политики ,щелкните Административные шаблоныи выберите Принтеры.

Читайте также:  Набор микрофонов realtek high definition audio драйвер

Щелкните правой кнопкой мыши пункт Ограничения на печатьи выберите изменить .

В диалоговом оке Ограничения на печать и точках нажмите кнопку Включено.

Если этот пункт еще не выбран, выберите пункт Пользователи могут напечатать данные на этих серверах.

Введите полное имя сервера. Имена разделяют их с помощью 10-;).

Примечание После установки обновлений, выпущенных 21 сентября 2021 г. или более поздней версии, вы можете настроить групповую политику точкой или точкой (.) IP-адреса с делегами взаимозаменяемы с полноценными именами хостов.

В окне При установке драйверов для нового подключения выберите Показывать предупреждение и Запрос с повышенными уровнями.

В окне При обновлении драйверов для существующего подключения выберите Показывать предупреждение и запрос с повышенными уровнями.

Нажмите кнопку ОК.

Разрешить пользователям подключаться только к определенным точкам пакета и серверам печати, которые вы доверяете

Эта политика «Точкапакета» и «Печать — утвержденные серверы» ограничивают поведение клиента только разрешением подключений Point и Print только для определенных серверов, которые используют драйверы с пакетом.

С помощью следующих действий:

На контроллере домена выберите Начните, выберите Администрирование Средства, а затем выберите Управление групповой политикой. Кроме того, можно нажать кнопку Начните, выбрать выполнить, ввести GPMC.MSCи нажать ввод.

Раз развернуть лес, а затем — домены.

Под своим доменом выберите ОО, в котором вы хотите создать эту политику.

Щелкните его правой кнопкой мыши, выберите создать GPO в этом домене и привяжете его сюда.

Придай имя GPO, а затем выберите ОК.

Щелкните правой кнопкой мыши созданный объект групповой политики и выберите Изменить, чтобы открыть редактор управления групповыми политиками.

В редакторе управления групповыми политиками разложите следующие папки:

Локальные компьютерные системы

В включить точку упаковки и печать — утвержденные серверы и выберите кнопку Показать.

Введите полное имя сервера. Имена разделяют их с помощью 10-;).

Примечание После установки обновлений, выпущенных 21 сентября 2021 г. или более поздней версии, вы можете настроить групповую политику точкой или точкой (.) IP-адреса с делегами взаимозаменяемы с полноценными именами хостов.

Вопросы и ответы

Вопрос1. При каждой попытке печати я получаю запрос «Доверяете ли вы этому принтеру», и для продолжения работы с этим принтером требуются учетные данные администратора. Это ожидаемое?

A1. Запрос на каждое задание печати не ожидается. Большинство сред или устройств, в которых эта проблема устранена, будут устранены с помощью обновлений, выпущенных 12 октября 2021 г. или более поздней версии. В этих обновлениях решается проблема, связанная с печатью серверов и клиентов печати, которые не находится в одном часовом поясе.

Если после установки обновлений, выпущенных 12 октября 2021 г. или более поздней версии, эта проблема по-прежнему не у вас, обратитесь к производителю принтера за обновленными драйверами. Эта проблема также может возникать, если драйвер печати в клиенте печати и на сервере печати используют то же имя файла, но на сервере есть более новая версия файла драйвера. Когда клиент печати подключается к серверу печати, он находит более новый файл драйвера и получает запрос на обновление драйверов в клиенте печати. Однако файл в пакете, который предлагается для установки, не включает более новую версию файла драйвера.

Сравниваемые файлы — это драйверы в папке «Spool», обычно в папке C:\Windows\System32\spool\drivers\x64\3 в клиенте печати и на печатном сервере. Пакет драйвера, предлагаемый для установки, обычно находится в C:\Windows\System32\spool\drivers\x64\ PCC на сервере печати. После того как файлы в папке \3 сравниваются между устройствами, если они не совпадают, пакет в PCC устанавливается. Если файлы в папке \3 на сервере печати не имеют того же драйвера принтера, что и PCC, клиент печати сравнивает файлы и находит несоответствия при каждой печати.

Чтобы устранить эту проблему, убедитесь, что используете последние драйверы для всех ваших устройств печати. По возможности используйте ту же версию драйвера печати в клиенте печати и на сервере печати. Если обновление драйверов в вашей среде не решает проблему, обратитесь в службу поддержки изготовителя принтера (OEM).

Вопрос 2. Установлены обновления, выпущенные 14 сентября 2021 г., и некоторые Windows не могут печатать на сетевых принтерах. Требуется ли заказ на установку обновлений на почтовых клиентах и почтовых серверах?

A2. Перед установкой обновлений, выпущенных 14 сентября 2021 г. или более поздней версии, на почтовых серверах должны быть установлены обновления, выпущенные 12 января 2021 г. или более поздней версии. Windows устройства не будут печататься, если на них не установлено обновление, выпущенное 12 января 2021 г. или более поздней версии.

Примечание Вам не нужно устанавливать более ранние обновления и вы можете установить любое обновление после 12 января 2021 г. на клиентах печати. Мы рекомендуем установить последнее накопительное обновление как на клиентах, так и на серверах.

Источник

Поделиться с друзьями
Комп ремонт
Adblock
detector