Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben beschrieben.
Referenz
Damit von einem Gerät auf einem Netzwerkdrucker gedruckt werden kann, muss der Treiber für den betreffenden Netzwerkdrucker lokal installiert sein. Die Richtlinieneinstellung Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben bestimmt, welche Personen beim Hinzufügen eines Netzwerkdruckers einen Druckertreiber installieren dürfen. Wenn Sie den Wert auf Aktiviert festlegen, können beim Hinzufügen eines Netzwerkdruckers nur Administratoren und Hauptbenutzer einen Druckertreiber installieren. Wenn der Wert auf Deaktiviert festgelegt ist, können alle Benutzer beim Hinzufügen eines Netzwerkdruckers einen Druckertreiber installieren. Diese Einstellung verhindert, dass nicht berechtigte Benutzer einen nicht vertrauenswürdigen Druckertreiber herunterladen und installieren können.
Diese Einstellung hat keine Auswirkung, wenn Sie einen vertrauenswürdigen Pfad zum Herunterladen von Treibern konfiguriert haben. Sind vertrauenswürdige Pfade festgelegt, versucht das Subsystem für das Drucken, den Treiber von einem vertrauenswürdigen Pfad herunterzuladen. Wenn der Download von einem vertrauenswürdigen Pfad erfolgreich abgeschlossen wurde, wird der Treiber im Namen beliebiger Benutzer installiert. Schlägt der Download von einem vertrauenswürdigen Pfad fehl, wird der Treiber nicht installiert, und der Netzwerkdrucker wird nicht hinzugefügt.
Obwohl es sich in manchen Unternehmen empfehlen kann, Benutzern das Installieren von Druckertreibern auf ihren eigenen Arbeitsstationen zu ermöglichen, ist ein solches Szenario für Server nicht geeignet. Wird ein Druckertreiber auf einem Server installiert, kann die Stabilität des Systems beeinträchtigt werden. Nur Administratoren sollten über diese Berechtigung für Server verfügen. Ein böswilliger Benutzer kann vorsätzlich versuchen, das System durch Installieren falscher Druckertreibern zu beschädigen.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Es empfiehlt sich, die Einstellung Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben auf „Aktiviert“ festzulegen. Nur Benutzer in der Administratoren-, Hauptbenutzer- oder Serveroperatorengruppe können Drucker auf Servern installieren. Wenn diese Richtlinieneinstellung aktiviert ist, der Treiber für einen Netzwerkdrucker jedoch bereits auf dem lokalen Computer vorhanden ist, können Benutzer den Netzwerkdrucker dennoch hinzufügen. Diese Einstellung wirkt sich nicht auf die Möglichkeit eines Benutzers aus, einen lokalen Drucker hinzuzufügen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Möglicherweise kann in einigen Unternehmen Benutzern das Installieren von Druckertreibern auf ihren eigenen Arbeitsstationen gestattet werden. Es sollte jedoch nur Administratoren und nicht Benutzern gestattet sein, Druckertreiber auf Servern zu installieren, da hierdurch die Stabilität des Computers unbeabsichtigt beeinträchtigt werden kann. Ein böswilliger Benutzer könnte durch Installieren falscher Druckertreiber vorsätzlich versuchen, den Computer zu beschädigen, oder ein Benutzer könnte versehentlich Schadsoftware installieren, die als Druckertreiber getarnt ist.
Gegenmaßnahme
Aktivieren Sie die Einstellung Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben.
Mögliche Auswirkung
Nur Mitglieder der Administratoren-, Hauptbenutzer- oder Serveroperatorengruppe können Druckertreiber auf den Servern installieren. Wenn diese Richtlinieneinstellung aktiviert ist, der Treiber für einen Netzwerkdrucker jedoch bereits auf dem lokalen Computer vorhanden ist, können Benutzer den Netzwerkdrucker dennoch hinzufügen.