2.3K
De manera predeterminada, los usuarios del dominio que no son administradores no tienen permiso para instalar los controladores de impresora en las computadoras del dominio. Para instalar un controlador, el usuario debe tener privilegios de administrador local (debe ser miembro del grupo de administradores locales). Esto es excelente desde el punto de vista de la seguridad porque la instalación de un controlador de dispositivo falso o incorrecto podría comprometer la PC o degradar el rendimiento del sistema. Sin embargo, este enfoque es extremadamente inconveniente en términos del departamento de TI, ya que requiere la intervención del equipo de soporte cuando un usuario intenta instalar un nuevo controlador de impresora.
Puede permitir que los usuarios que no sean administradores instalen controladores de impresora en sus computadoras con Windows 10 (sin la necesidad de otorgar permisos de administrador local) mediante las políticas de grupo de Active Directory.
Usar controladores de impresión compatibles con paquetes en el servidor de impresión
Tenga en cuenta que los usuarios solo podrán instalar un controlador de impresora que cumpla con los siguientes requisitos:
- El controlador debe estar firmado por una firma digital confiable;
- El controlador debe estar empaquetado (controladores de impresión compatibles con paquetes). Es imposible instalar los controladores desempaquetados (sin reconocimiento de paquetes) a través de Restricciones de apuntar e imprimir.
Esto significa que cuando intente instalar la v3 sin reconocimiento de paquetes, verá la advertencia «¿Confía en esta impresora?» con el botón Instalar controlador UAC, que requiere la instalación de controladores de impresora en la cuenta de administrador.
Puede verificar su tipo de controlador en el servidor de impresión en el nodo Administración de impresión > Servidores de impresión > Nombre del servidor > Controladores. Para controladores de impresión compatibles con paquetes, puede ver el Verdadero valor en el Empaquetado columna.
Permitir que los usuarios que no son administradores instalen controladores de impresora mediante la directiva de grupo
Primero, cree un nuevo objeto GPO (política) (o edite uno existente) y vincúlelo a la unidad organizativa de Active Directory (contenedor AD), que contiene las computadoras que son necesarias para permitir que los usuarios instalen controladores de impresora (utilice el complemento gpmc.msc -in para administrar GPO de dominio). Puede implementar la misma configuración en una computadora independiente (sin dominio) usando el Editor de políticas de grupo local (gpedit.msc).
Expanda la siguiente rama en el editor de directivas de grupo: Configuracion de Computadora > Políticas > Configuración de Windows > Configuraciones de seguridad > Políticas locales > Opciones de seguridad. Encuentre la política Dispositivos: Impedir que los usuarios instalen controladores de impresora.
Establezca el valor de la política en Desactivar. Esta política permite que los usuarios que no son administradores instalen controladores de impresora cuando conectan una impresora de red compartida (el controlador de la impresora se descarga desde el host del servidor de impresión). Luego puede establecer el valor de la política en Deshabilitar, cualquier usuario sin privilegios puede instalar un controlador de impresora como parte de una conexión de impresora compartida a una computadora. Sin embargo, esta política no permite descargar e instalar un controlador de impresora que no sea de confianza (no firmado).
Adición de GUID de clase de impresora que se pueden instalar a través de GPO
El siguiente paso es permitir que el usuario instale los controladores de la impresora a través de GPO. En este caso, nos interesa la política. Permitir que personas que no sean administradores instalen controladores para estas clases de configuración de dispositivos en la sección GPO Configuracion de Computadora > Políticas > Plantillas Administrativas > Sistema > Instalación del controlador.
Habilite la política y especifique las clases de dispositivos que los usuarios deben poder instalar. Haga clic en el Espectáculo y en la ventana que aparece agregue dos líneas con GUID de clase de dispositivo correspondiente a las impresoras:
- Clase = Impresora {4658ee7e-f050-11d1-b6bd-00c04fa372a7};
- Clase = Impresoras PNP {4d36e979-e325-11ce-bfc1-08002be10318}.
Puede encontrar una lista completa de los GUID de clase de dispositivo en Windows aquí.
Cuando habilita esta política, los miembros del grupo de usuarios locales pueden instalar un nuevo controlador de dispositivo para cualquier dispositivo que coincida con las clases de dispositivos especificadas.
Nota. Puede habilitar esta política a través del registro usando el comando:
reg add "HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDriverInstallRestrictions" /v AllowUserDeviceClasses /t REG_DWORD/d 1 /f
Puede encontrar la lista de GUID de dispositivos permitidos para instalar en la clave de registro: HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDriverInstallRestrictionsAllowUserDeviceClasses.
Ahora guarde la política.
Configuración de la política de restricciones de apuntar e imprimir
En Windows 10 hay otra característica relacionada con la configuración de UAC (Control de cuentas de usuario), que ocurre cuando intenta instalar una impresora de red compartida. Si el UAC está habilitado, aparece un mensaje de instalación del software del controlador de la impresora en el que desea especificar las credenciales del usuario administrador.
Si UAC está deshabilitado, cuando intenta instalar la impresora con el usuario que no es administrador, el sistema se bloquea durante un tiempo y finalmente muestra un mensaje de error: «Windows no puede conectarse a la impresora. Acceso denegado“.
Para resolver este problema, debe configurar el Restricciones de apuntar e imprimir política. Esta política se encuentra en la sección Configuración de la computadora y del usuario del editor de GPO:
- Configuracion de Computadora > Políticas > Plantillas Administrativas > Impresoras;
- Configuración de usuario > Políticas > Plantillas Administrativas > Panel de control > Impresoras.
Luego, debe restringir la lista de servidores de impresión desde los cuales los usuarios pueden instalar controladores de impresión sin permisos de administrador. Encuentre y habilite el Restricción de apuntar e imprimir Opción GPO. En la figura las siguientes opciones:
- Habilitar la opción “Los usuarios solo pueden señalar e imprimir en estos servidores”. En el «Ingrese nombres de servidor completos separados por punto y coma” especifique una lista de sus servidores de impresión de confianza (FQDN). Los usuarios que no sean administradores podrán conectarse ellos mismos a las impresoras de red compartidas e instalar controladores solo desde esta lista de servidores de impresión.
- Bajo la «Indicaciones de seguridad” seleccione la sección “No mostrar aviso de advertencia o elevación” para los parámetros de la política “Luego instalar controladores para una nueva conexión» y «Luego actualizar los controladores para una conexión existente”.
Guarde sus cambios y edite el Punto de paquete e imprima > Política de servidores aprobados.
- Cambiar el estado de la política a Activado;
- Haga clic en el Espectáculo y agregue los FQDN de su servidor de impresión de confianza.
Aplique su política de grupo en los equipos cliente (requiere reiniciar). Después de reiniciar y actualizar la configuración de GPO mediante el comando gpupdate, los usuarios podrán instalar controladores de impresora sin permisos de administrador.
Configuración de la política Point and Print después de las correcciones de Nightmare
Microsoft cambió el comportamiento predeterminado al instalar impresoras en Windows en agosto de 2021. El sistema operativo Windows ahora siempre requiere la elevación de privilegios al administrador para instalar o actualizar nuevos controladores desde un servidor de impresión remoto. Este cambio aborda la ImprimirPesadilla vulnerabilidad y está relacionado con problemas de Windows Print Spooler.
Pista. El ImprimirPesadilla La vulnerabilidad RCE se describe en CVE-2021-1675, CVE-2021-34527 y CVE-2021-34481. Una falla en la implementación de Windows Print Spooler permite que un atacante ejecute de forma remota código arbitrario en una computadora con Windows. La vulnerabilidad permite cargar un archivo DLL malicioso en el sistema. Intentar agregar una impresora nuevamente permite el acceso a este archivo, que se ejecutará con privilegios del sistema.
Actualmente, los usuarios que no son administradores no pueden instalar controladores de impresora en Windows incluso después de configurar el GPO Point and Print. Microsoft ahora requiere que los controladores de dispositivos estén siempre instalados bajo una cuenta con privilegios administrativos.
En equipos con la actualización KB5005652 (o una actualización de seguridad acumulativa más reciente), al instalar una impresora, los usuarios reciben una ventana de UAC:
¿Confías en esta impresora?
Windows necesita descargar e instalar un controlador de software desde la \computadora a xxx. Continúe solo si confía en la computadora y la red.
Después de hacer clic en el Instalar controlador botón, aparece una ventana de UAC en la que debe especificar las credenciales de administrador.
Puede solucionar este requisito implementando la impresora en una máquina de dominio utilizando las Preferencias de directiva de grupo (consulte esta guía sobre cómo implementar la impresora a través de GPO). Esto funcionará para los controladores de impresión compatibles con paquetes v4.
Otra forma (no recomendada debido a los riesgos de seguridad) de eludir los nuevos requisitos es deshabilitar la opción GPO Limite la instalación del controlador de impresión al administrador en Configuración del equipo > Plantillas administrativas > Impresoras. Esta política se puede usar después de instalar las actualizaciones de Windows publicadas el 12 de octubre de 2021 o posterior.
Esta política establece la Restringir la instalación del controlador a los administradores entrada de registro en HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersPointAndPrint para 0.
En una computadora independiente, puede crear esta entrada de registro con el comando (debe ejecutarse desde un símbolo del sistema elevado):
reg add "HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f
Además, puede implementar este parámetro de registro en las computadoras a través de la Política de grupo
Cree un nuevo parámetro de registro en la sección GPO Configuracion de Computadora > preferencias > Configuración de Windows > Registro.
- Acción: Reemplazar
- Colmena: HKEY_LOCAL_MACHINE
- Ruta de la clave: SoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint
- Nombre del valor: RestrictDriverInstallationToAdministrators
- Tipo de valor: REG_DWORD
- Datos de valor: 0
Una vez configurada esta opción, sus usuarios podrán conectar impresoras de red e instalar controladores de impresión desde servidores de impresión confiables.
¡Nota IMPORTANTE! Sin embargo, tenga mucho cuidado al usar un valor de cero (0) para el parámetro RestrictDriverInstallationToAdministrators, ya que esto hace que su Windows sea vulnerable. Le recomendamos que configure esta opción temporalmente mientras permite que los usuarios instalen la impresora. Después de instalar la impresora, es conveniente devolver el valor predeterminado de uno (1). en esta clave de registro.