安装Windows KB5005033后，无法通过GPO用户配置部署打印机(“您信任此打印机吗？”(发行)

Question

最近(2021-08-10) 10 5005033 Windows实际上使本期恢复了由forcing管理员来安装打印机驱动程序的功能(因此，不允许通过用户配置GPO分发打印机)，报价：

...Updates默认安装特权要求，以便您必须是管理员才能安装驱动程序时使用点和打印.

突然，我们的用户获得了这些弹出窗口(仅在安装了KB5005033更新的计算机上)：

要使它(通过用户配置GPO在Windows域中部署共享打印机)再次工作.

在Computer Configuration - Policies - Administrative Templates - Printers中首先有一些预积(我们在很久以前就启用了这些功能)：

1. Point and Print Restrictions：

• 必须是ENABLED
• Do not show warning or elevation prompt必须同时为When installing drivers for a new connection和When updating drivers for an existing connection设置。必须用适当的名称服务器填充myPrintserver.mydomain.com;myOtherprintServer.mydomain.com) (例如，Enter fully qualified server names separated by semicolons )

1. Package Point and print - Approved servers：

• 是ENABLED
• 包含上述相同服务器的列表。

KB5005033问题的实际解决办法*：

1. 在受影响的机器上，HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators设置为0 --也可以通过GPO轻松地完成：

*这是一种解决办法，而不是修复，因为它使您的打印服务器再次受到的攻击(这是makes试图“修复”的地方)--但是我们确实需要打印，对吗……？

<#>Anybody知道如何正确地修复这个？(不使印刷品易受伤害)

非常感谢。

相关问题：

• 如何摆脱“您信任此打印机”消息框，并通过GPO添加我的打印机？

Answer 1

Microsoft 已发布是我们可以用来管理新行为的各种解决方案的总结。

具体地说：

如果将RestrictDriverInstallationToAdministrators设置为“未定义”或设置为“1”，则根据环境，用户必须使用下列方法之一安装打印机，则在强制执行新的默认设置时安装打印驱动程序：

• 在试图安装打印机驱动程序时提示输入凭据时提供管理员用户名和密码。
• 在操作系统映像中包括必要的打印机驱动程序。
• 使用Microsoft、Microsoft配置管理器或等效工具远程安装打印机驱动程序。
• 暂时将RestrictDriverInstallationToAdministrators设置为0以安装打印机驱动程序。

重要的不存在等同于将RestrictDriverInstallationToAdministrators设置为1的缓解组合。

我建议您将打印机驱动程序部署到计算机上，然后删除所有已部署的点和打印组策略以及包点和打印组策略，因为它们不再是必需的，并且不要设置RestrictDriverInstallationToAdministrators注册表值，因为这将允许客户端/服务器上存在漏洞。

不要忘记，如果您将RestrictDriverInstallationToAdministrators注册表值设置为0，则启用打印假脱机程序的每个Windows设备都容易受到攻击，而不仅仅是与打印服务器有关，客户端计算机和其他Windows服务器也会受到影响！

请注意，目前打印假脱机程序中还有另一个漏洞，修补程序仍在挂起：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

在可能的情况下禁用打印线轴是一个很好的经验法则.

Answer 2

我发现了两种可能的解决方案，它们都不会引发任何UAC/管理权限提示：

1. Switch到 Computer配置 deployment而不是 (CC -> Pr ->控制面板->打印机->新-> TCP/IP)。请注意，printer驱动程序 Type 3需要打印服务器上的才能工作。Printserver只用于部署打印机，之后，受影响的计算机可以在打印服务器上独立打印(例如，关闭或不可用时)。
2. 使用 Type 4驱动程序 and在printserver <#>上重新安装打印机，继续使用部署(如果可用的话)。我使用printmanagement.msc控制台。我是怎么做到的？首先，将所有旧驱动程序移到打印机上，如下所示：

然后通过USB直接插入打印机(而不是通过Repotec TCP/IP printserver框)，让MS Windows安装驱动程序--它安装了"Class“驱动程序，类型4：

IMPORTANT!不需要像RestrictDriverInstallationToAdministrators这样的注册表黑客，也不需要点和打印组策略、包点和打印组策略--如果您曾经应用过它们，请遵循微软官方缓解指南。此外，如果您删除了更新KB5005033作为解决办法，安装它并得到保护。

祝好运!