デバイス: ユーザーがプリンター ドライバーをインストールできないようにする
[デバイス: ユーザーがプリンター ドライバーをインストールできないようにする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
デバイスがネットワーク プリンターで印刷をするためには、そのネットワーク プリンター用のドライバーがローカルにインストールされている必要があります。[デバイス: ユーザーがプリンター ドライバーをインストールできないようにする] ポリシー設定は、ネットワーク プリンターの追加の一部としてプリンター ドライバーをインストールできるユーザーを決定します。値を [有効] に設定すると、Administrators と Power Users のみがネットワーク プリンターの追加の一部としてプリンター ドライバーをインストールできます。値を [無効] に設定すると、すべてのユーザーがネットワーク プリンターの追加の一部としてプリンター ドライバーをインストールできます。この設定は、特権のないユーザーによる信頼されていないプリンター ドライバーのダウンロードとインストールを防ぎます。
ドライバーのダウンロードのための信頼されるパスを構成している場合には、この設定は影響しません。信頼されるパスを使う場合、印刷サブシステムはドライバーのダウンロードに信頼されるパスを使うよう試みます。信頼されるパスのダウンロードが成功した場合、ユーザーの代わりにドライバーがインストールされます。信頼されるパスのダウンロードに失敗した場合、ドライバーはインストールされず、ネットワーク プリンターは追加されません。
一部の組織ではユーザーに自分のワークステーションでのプリンター ドライバーのインストールを許可することが適切な場合もありますが、これはサーバーには適していません。サーバーでのプリンター ドライバーのインストールによりシステムが不安定になる可能性があります。管理者のみがサーバーでのこのユーザー権利を持つ必要があります。悪意のあるユーザーが不適切なプリンター ドライバーをインストールしてシステムに損害を与えることを意図的に試みる可能性があります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- [デバイス: ユーザーがプリンター ドライバーをインストールできないようにする] を [有効] に設定することをお勧めします。Administrative、Power User、または Server Operator グループのユーザーのみがサーバーでプリンターをインストールできるようになります。このポリシー設定が有効になっていて、ネットワーク プリンター用のドライバーが既にローカル コンピューターに存在する場合にも、ユーザーはネットワーク プリンターを追加することができます。このポリシー設定は、ローカル プリンターを追加するためのユーザーの機能には影響しません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
一部の組織ではユーザーに自分のワークステーションでのプリンター ドライバーのインストールを許可することが適切な場合もあります。ただし、サーバーでのプリンター ドライバーのインストールによりコンピューターが意図せず不安定となる可能性があるため、サーバーではユーザーではなく管理者のみにインストールを許可する必要があります。悪意のあるユーザーがコンピューターに損害を与えるための意図的な試みとして不適切なプリンター ドライバーをインストールしたり、ユーザーがプリンター ドライバーを装う悪意のあるソフトウェアを誤ってインストールする可能性があります。
対策
[デバイス: ユーザーがプリンター ドライバーをインストールできないようにする] 設定を有効にします。
考えられる影響
Administrator、Power Users、または Server Operator グループのメンバーのみがサーバーでプリンターをインストールできるようになります。このポリシー設定が有効になっていて、ネットワーク プリンター用のドライバーが既にローカル コンピューターに存在する場合にも、ユーザーはネットワーク プリンターを追加することができます。