Seguridad de la instalación de controladores de impresoras

Se aplica a: Windows 7, Windows Server 2008 R2

La configuración de seguridad predeterminada de Windows 7 y Windows Server 2008 R2 permite que usuarios que no sean miembros del grupo local Administradores solo puedan instalar controladores de impresoras de confianza, como las ofrecidas con Windows o en paquetes de controladores de impresoras firmados digitalmente. Esto ayuda a garantizar que los usuarios no instalen controladores de impresoras no probados o no confiables, o controladores que contengan código malintencionado (malware). No obstante, esto significa que algunos usuarios no pueden instalar el controlador apropiado para una impresora compartida, incluso si el controlador ha sido probado y aprobado en su entorno.

Las siguientes secciones ofrecen información acerca de cómo permitir que usuarios que no sean miembros del grupo local Administradores puedan conectarse a un servidor de impresión e instalar controladores de impresoras hospedadas en el servidor:

Instalación de paquetes de controladores de impresoras en el servidor de impresión

Los paquetes de controladores de impresoras son controladores firmados digitalmente que instalan todos los componentes del controlador en el almacén de controladores de los equipos cliente (si el servidor y los equipos cliente ejecutan Windows 7 o Windows Server 2008 R2). Además, el uso de paquetes de controladores de impresoras en un servidor de impresión con Windows 7 o Windows Server 2008 R2 permite que usuarios que no sean miembros del grupo local Administradores se conecten al servidor de impresión e instalen o reciban controladores de impresoras actualizados.

Para usar paquetes de controladores de impresoras, en un servidor de impresión con Windows Server 2008 R2 o Windows 7, descargue e instale los paquetes de controladores de impresoras apropiados del fabricante de la impresora.

noteNota
También puede descargar e instalar paquetes de controladores de impresoras desde un servidor de impresión a los equipos cliente que ejecutan Windows Server 2003, Windows XP y Windows 2000. Sin embargo, los equipos cliente no comprueban la firma digital del controlador ni instalan todos los componentes del controlador en el almacén de controladores porque el sistema operativo cliente no admite estas características.

Uso de la directiva de grupo para implementar conexiones de impresora en usuarios o equipos

Se puede usar Administración de impresión con la directiva de grupo para agregar automáticamente conexiones de impresora a la carpeta Impresoras sin requerir que el usuario tenga privilegios de administrador local. Para obtener más información, vea Implementación de impresoras con directivas de grupo.

Uso de la directiva de grupo para modificar la configuración de seguridad del controlador de impresora

Puede usar la configuración de la directiva de grupo Restricciones de apuntar e imprimir para controlar la forma en que los usuarios instalan controladores de impresoras desde los servidores de impresión. Esta configuración se puede usar para permitir a los usuarios conectarse únicamente a determinados servidores de impresión que sean de confianza. Puesto que este valor evita que los usuarios se conecten a otros servidores de impresión que pueden hospedar potencialmente controladores de impresión no probados o malintencionados, puede desactivar los mensajes de advertencia de instalación de controladores de impresión sin poner en riesgo la seguridad.

Evalúe cuidadosamente las necesidades de impresión de los usuarios antes de establecer los servidores de impresión a los que podrán conectarse. Si los usuarios necesitan conectarse de forma ocasional a impresoras compartidas de una sucursal u otro departamento, asegúrese de que se incluyen estos servidores de impresión en la lista (si cree que los controladores de impresión instalados en los servidores son de confianza).

Además, puede usar la opción Restricciones de punto y de impresión para desactivar completamente los indicadores de advertencia, aunque este valor deshabilitará la seguridad mejorada en la instalación de controladores de impresoras de Windows 7 y Windows Server 2008 R2 para los usuarios.

noteNota
En el siguiente procedimiento se da por supuesto que se usa la versión de la Consola de administración de directivas de grupo (GPMC) incluida en Windows Server 2008 R2. Para instalar GPMC en Windows Server 2008 R2, use el Asistente para agregar características del Administrador del servidor. Si usa una versión diferente de GPMC, los pasos pueden variar ligeramente.

Para modificar la configuración de Restricciones de apuntar e imprimir
  1. Abra la Consola de administración de directivas de grupo (GPMC).

  2. En el árbol de consola de GPMC, navegue hasta el dominio o la unidad organizativa (OU) que almacena las cuentas de usuarios cuya configuración de seguridad de controladores de impresora desea modificar.

  3. Haga clic con el botón secundario en el dominio o unidad organizativa apropiado, haga clic en Crear un GPO en este dominio y vincularlo aquí, escriba un nombre para el nuevo GPO y, a continuación, haga clic en Aceptar.

  4. Haga clic con el botón secundario en el GPO que ha creado y, a continuación, haga clic en Editar.

  5. En el árbol del Editor de administración de directivas de grupo, haga clic en Configuración de usuario, Directivas, Plantillas administrativas, Panel de control y, finalmente, Impresoras.

  6. Haga clic con el botón secundario en Restricciones de apuntar e imprimir y, a continuación, haga clic en Propiedades.

Para permitir que los usuarios se conecten únicamente a determinados servidores de impresión en los que confía
  1. En el cuadro de diálogo Restricciones de apuntar e imprimir, haga clic en Habilitado.

  2. Si no lo está, active la casilla Los usuarios solo pueden apuntar e imprimir en los siguientes servidores.

  3. En el cuadro de texto, escriba los nombres completos de los servidores a los cuales desea que los usuarios puedan conectarse. Separe cada nombre con un punto y coma.

  4. En el cuadro Al instalar los controladores para una nueva conexión, escoja No mostrar advertencia ni indicador de elevación.

  5. En el cuadro Al actualizar los controladores de una conexión existente, escoja Mostrar solo advertencia.

  6. Haga clic en Aceptar.

    noteNota
    Para desactivar los mensajes de advertencia de instalación de controladores y los indicadores de elevación en equipos que ejecutan Windows 7 y Windows Server 2008 R2, en el cuadro de diálogo Restricciones de punto y de impresión, haga clic en Deshabilitado y, a continuación, en Aceptar. Esta configuración desactiva la seguridad mejorada en la instalación de controladores de impresoras de Windows 7 y Windows Server 2008 R2.

Consideraciones adicionales

  • Debe tener credenciales administrativas para realizar esta tarea.

Referencias adicionales

Adiciones de comunidad

AGREGAR
Mostrar: