设备 阻止用户安装打印机驱动程序

适用范围

介绍设备的最佳做法、位置、值和安全注意事项 ：阻止用户安装打印机驱动程序 安全策略设置。

若要将设备打印到网络打印机，必须在本地安装该网络打印机的驱动程序。 设备：阻止用户安装打印机驱动程序策略设置确定谁可以在添加网络打印机时安装打印机驱动程序。 将值设置为 “已启用”时，只有管理员和 Power Users 才能在添加网络打印机时安装打印机驱动程序。 将值设置为 Disabled 允许任何用户在添加网络打印机时安装打印机驱动程序。 此设置可防止无特权用户下载和安装不受信任的打印机驱动程序。

如果已配置了用于下载驱动程序的受信任路径，则此设置没有影响。 如果使用受信任的路径，打印子系统将尝试使用受信任路径下载驱动程序。 如果受信任路径下载成功，则代表任何用户安装驱动程序。 如果受信任的路径下载失败，则不会安装驱动程序，也不会添加网络打印机。

尽管在某些组织中，允许用户在自己的工作站上安装打印机驱动程序可能很合适，但这种想法并不适用于服务器。 在服务器上安装打印机驱动程序可能会导致系统不稳定。 只有管理员才应在服务器上拥有此用户权限。 恶意用户可能会故意尝试通过安装不适当的打印机驱动程序来破坏系统。

注意

应用 2021 年 7 月 6 日更新后，非管理员（包括委派的管理员组（如打印机操作员）无法将已签名和未签名的打印机驱动程序安装到打印服务器。 默认情况下，只有管理员才能将已签名和未签名的打印机驱动程序安装到打印服务器。

计算机配置\Windows 设置\安全设置\本地策略\安全选项

下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。

本部分介绍了可用于帮助管理此策略的功能和工具。

无。 此策略的更改在本地保存或通过组策略分发时，无需重启计算机即可生效。

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

在某些组织中，允许用户在自己的工作站上安装打印机驱动程序可能很合适。 但是，应仅允许管理员（而不是用户）在服务器上执行此操作，因为在服务器上安装打印机驱动程序可能会无意中导致计算机不稳定。 恶意用户可能会在故意试图损坏计算机时安装不适当的打印机驱动程序，或者用户可能会意外安装伪装成打印机驱动程序的恶意软件。

启用 “设备：阻止用户安装打印机驱动程序” 设置。

只有管理员、Power Users 或服务器操作员组的成员才能在服务器上安装打印机。 如果启用此策略设置，但本地计算机上已存在网络打印机的驱动程序，则用户仍可添加网络打印机。