Эксперт «Айтеко» дает рекомендации, как справиться со сложностями из-за обновлений безопасности Windows

Недавно компания Microsoft выпустила для рабочих станций обновления безопасности Windows (KB5005031 и KB5005033), после применения которых многие пользователи столкнулись со значительными проблемами в использовании сервиса печати, так как на любые действия, связанные с установкой очереди печати и/или обновлениям драйвера печати, требуется пароль администратора.

Недавно компания Microsoft* выпустила для рабочих станций обновления безопасности Windows (KB5005031 и KB5005033), после применения которых многие пользователи столкнулись со значительными проблемами в использовании сервиса печати, так как на любые действия, связанные с установкой очереди печати и/или обновлениям драйвера печати, требуется пароль администратора (из описания к этим обновлениям — «Updates the default installation privilege requirement so that you must be an administrator to install drivers when using Point and Print»). О том, как справиться со сложностями, которые возникают при установке данных обновлений, рассказывает эксперт «Айтеко», руководитель направления оптимизации печати Алексей Михайлов.

Обновления содержат исправления, которые решают проблему уязвимости сервиса печати Windows, известную как PrintNightmare. Уязвимость удаленного выполнения кода возникает, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, или создавать новые учетные записи с полноценными правами пользователя.

В настоящий момент речь идет о двух исправлениях:

1. KB5005010: ограничение установки новых драйверов принтера после применения обновлений от 6 июля 2021 г. (решает проблему, описанную здесь: CVE-2021-34527). Данное исправление добавляет необходимость установки новых драйверов только от имени администратора. Обход этих изменений возможен, но он снижает безопасность Windows. На подключение к общим принтерам это не влияет.

2. KB5005652: управление поведением по умолчанию при установке нового драйвера Point and Print (решает проблему, описанную здесь: CVE-2021-34481). После применения данного исправления обычным пользователям более недоступны следующие операции:

• Install new printers using drivers on a remote computer or server;
• Update existing printer drivers using drivers from remote computer or server.

Варианты решения проблем (по рекомендациям Microsoft) при подключении очередей/драйверов после применения исправления KB5005652:
a. При запросе учетных данных пользователя при попытке установить драйвер принтера укажите имя и пароль администратора;
b. Включите необходимые драйверы принтера в образ вашей ОС (это возможно с помощью утилиты компании Microsoft — DISM);
c. Используйте Microsoft System Center, Microsoft Endpoint Configuration Manager или аналогичные инструменты для удаленной установки драйверов принтера;
d. Временно установите RestrictDriverInstallationToAdministrators на 0, чтобы установить драйверы принтера;
e. Если не удается установить драйверы принтера даже с правами администратора, необходимо отключить групповую политику «Only use Package Point and Print».

Если Вы столкнулись с данной проблемой и необходима консультация специалиста, вы можете обратиться к экспертам, написав на print_order@i-teco.ru, или зайти на сайт, посвященный системам управления печатью https://print-control.ru.

* - Вся указанная информация приведена из официальных источников компании Microsoft (можно ознакомиться по ссылкам).