设备 阻止用户安装打印机驱动程序 | 您所在的位置:网站首页 › win10家庭版管理员阻止运行此应用 › 设备 阻止用户安装打印机驱动程序 |
设备: 防止用户安装打印机驱动程序
项目
03/18/2023
适用范围 Windows 11 Windows 10介绍设备的最佳做法、位置、值和安全注意事项 :阻止用户安装打印机驱动程序 安全策略设置。 参考若要将设备打印到网络打印机,必须在本地安装该网络打印机的驱动程序。 设备:阻止用户安装打印机驱动程序策略设置确定谁可以在添加网络打印机时安装打印机驱动程序。 将值设置为 “已启用”时,只有管理员和 Power Users 才能在添加网络打印机时安装打印机驱动程序。 将值设置为 Disabled 允许任何用户在添加网络打印机时安装打印机驱动程序。 此设置可防止无特权用户下载和安装不受信任的打印机驱动程序。 如果已配置了用于下载驱动程序的受信任路径,则此设置没有影响。 如果使用受信任的路径,打印子系统将尝试使用受信任路径下载驱动程序。 如果受信任路径下载成功,则代表任何用户安装驱动程序。 如果受信任的路径下载失败,则不会安装驱动程序,也不会添加网络打印机。 尽管在某些组织中,允许用户在自己的工作站上安装打印机驱动程序可能很合适,但这种想法并不适用于服务器。 在服务器上安装打印机驱动程序可能会导致系统不稳定。 只有管理员才应在服务器上拥有此用户权限。 恶意用户可能会故意尝试通过安装不适当的打印机驱动程序来破坏系统。 可能值 已启用 禁用 未定义 最佳做法 建议将 “设备:阻止用户安装打印机驱动程序” 设置为“已启用”。 只有“管理”、“Power User”或“服务器操作员”组中的用户才能在服务器上安装打印机。 如果已启用此策略设置,但本地计算机上已存在网络打印机的驱动程序,则用户仍可以添加网络打印机。 此策略设置不会影响用户添加本地打印机的能力。注意 应用 2021 年 7 月 6 日更新后,非管理员(包括委派的管理员组(如打印机操作员)无法将已签名和未签名的打印机驱动程序安装到打印服务器。 默认情况下,只有管理员才能将已签名和未签名的打印机驱动程序安装到打印服务器。 位置计算机配置\Windows 设置\安全设置\本地策略\安全选项 默认值下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。 服务器类型或 GPO 默认值 默认域策略 未定义 默认域控制器策略 未定义 独立服务器默认设置 启用 DC 有效默认设置 启用 成员服务器有效默认设置 启用 客户端计算机有效默认设置 禁用 策略管理本部分介绍了可用于帮助管理此策略的功能和工具。 重启要求无。 此策略的更改在本地保存或通过组策略分发时,无需重启计算机即可生效。 安全注意事项本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。 漏洞在某些组织中,允许用户在自己的工作站上安装打印机驱动程序可能很合适。 但是,应仅允许管理员(而不是用户)在服务器上执行此操作,因为在服务器上安装打印机驱动程序可能会无意中导致计算机不稳定。 恶意用户可能会在故意试图损坏计算机时安装不适当的打印机驱动程序,或者用户可能会意外安装伪装成打印机驱动程序的恶意软件。 对策启用 “设备:阻止用户安装打印机驱动程序” 设置。 潜在影响只有管理员、Power Users 或服务器操作员组的成员才能在服务器上安装打印机。 如果启用此策略设置,但本地计算机上已存在网络打印机的驱动程序,则用户仍可添加网络打印机。 相关主题 安全选项 |
CopyRight 2018-2019 实验室设备网 版权所有 |