Устройства: запретить пользователям установку драйверов принтера
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Устройства: запретить пользователям установку драйверов принтера.
Справка
Чтобы устройство могло печатать на сетевом принтере, на нем должен быть установлен соответствующий драйвер. Параметр политики Устройства: запретить пользователям установку драйверов принтера определяет, каким пользователям разрешено устанавливать драйвер добавляемого сетевого принтера. Если вы зададите для параметра значение Включено, то только администраторы и опытные пользователи смогут устанавливать драйверы добавляемых сетевых принтеров. Если вы зададите для параметра значение Отключено, то любой пользователь сможет устанавливать драйверы добавляемых сетевых принтеров. Этот параметр не позволяет обычным пользователям, не имеющим необходимых прав, скачивать и устанавливать ненадежные драйверы принтеров.
Если настроен надежный путь для скачивания драйверов, то этот параметр не будет оказывать никакого влияния. При использовании надежного пути подсистема печати пытается использовать его для скачивания драйвера. Если драйвер успешно скачан по надежному пути, то его можно установить от имени любого пользователя. Если не удалось скачать драйвер по надежному пути, то установить его и, соответственно, добавить сетевой принтер будет невозможно.
Несмотря на то что в некоторых организациях пользователям разрешено устанавливать драйверы принтеров на свои рабочие станции, такой вариант не подходит для серверов. Установка драйвера принтера на сервере может снизить стабильность системы. На серверах такое право пользователя должно быть только у администраторов. Злоумышленник может намеренно повредить систему, установив недопустимые драйверы принтеров.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Рекомендуется задать для параметра Устройства: запретить пользователям установку драйверов принтера значение "Включено". В этом случае только пользователи из групп "Администраторы", "Опытные пользователи" и "Операторы серверов" смогут устанавливать принтеры на серверы. Если этот параметр политики включен, но драйвер сетевого принтера уже есть на локальном компьютере, то пользователи все равно смогут добавлять сетевой принтер. Этот параметр политики не оказывает влияние на возможности пользователей по установке локальных принтеров.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Некоторые организации могут разрешать пользователям устанавливать драйверы принтеров на свои рабочие станции. Тем не менее следует разрешать устанавливать драйверы принтеров на серверах только администраторам, а не пользователям, так как эта процедура может снизить стабильность компьютера. Злоумышленник может установить недопустимые драйверы, чтобы умышленно нанести ущерб компьютеру. Кроме того, пользователь может неумышленно установить вредоносные программы, маскирующиеся под драйверы принтеров.
Меры противодействия
Включите параметр Устройства: запретить пользователям установку драйверов принтера.
Возможные последствия
В этом случае только участники групп "Администраторы", "Опытные пользователи" и "Операторы серверов" смогут устанавливать принтеры на серверы. Если этот параметр политики включен, но драйвер сетевого принтера уже есть на локальном компьютере, то пользователи все равно смогут добавлять сетевой принтер.