设备: 防止用户安装打印机驱动程序
04/01/2016
本文内容
介绍了有关“设备: 防止用户安装打印机驱动程序”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
对于要打印到网络打印机的设备,必须本地安装该网络打印机的驱动程序。“设备: 防止用户安装打印机驱动程序”****策略设置确定哪些用户可以安装打印机驱动程序作为添加网络打印机的一部分。当你将该值设置为“启用”时,仅管理员和高级用户可安装打印机驱动程序作为添加网络打印机的一部分。将该值设置为“禁用”****可使任何用户安装打印机驱动程序作为添加网络打印机的一部分。此设置可防止未经授权的用户下载和安装不受信任的打印机驱动程序。
如果你已配置受信任的路径用于下载驱动程序,则此设置没有影响。使用受信任的路径时,打印子系统会尝试使用受信任的路径来下载驱动程序。如果受信任的路径下载成功,将代表任何用户安装该驱动程序。如果受信任的路径下载失败,将不安装驱动程序,并且不添加网络打印机。
尽管它在某些组织中可能适合允许用户在其自己的工作站上安装打印机驱动程序,但这不适用于服务器。在服务器上安装打印机驱动程序可导致系统变得更不稳定。仅管理员应该在服务器上具有此用户权限。恶意用户可能通过安装不恰当的打印机驱动程序来故意尝试损坏系统。
可能值
启用
禁用
未定义
最佳做法
最好将“设备: 防止用户安装打印机驱动程序”设置为“启用”。只有 Administrative、Power User 或 Server Operator 组中的用户能够在服务器上安装打印机。如果启用此策略设置,但网络打印机的驱动程序已经存在于本地计算机上,则用户仍然可以添加网络打印机。此策略设置不会影响用户添加本地打印机的能力。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
独立服务器默认设置
启用
DC 有效默认设置
启用
成员服务器有效默认设置
启用
客户端计算机有效默认设置
已禁用
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分发对本策略的更改时,无需重启计算机即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
某些组织中可能不适合允许用户在其自己的工作站上安装打印机驱动程序。但是,你应该仅允许管理员(而不是用户)在服务器上执行此操作,因为服务器上的打印机驱动程序安装可能无意中导致计算机变得更不稳定。恶意用户可能安装不恰当的打印机驱动程序来故意尝试损坏计算机,或者用户可能意外安装伪装成打印机驱动程序的恶意软件。
对策
启用“设备: 防止用户安装打印机驱动程序”****设置。
潜在影响
只有 Administrator、Power Users 或 Server Operator 组的成员可以在服务器上安装打印机。如果启用此策略设置,但网络打印机的驱动程序已经存在于本地计算机上,则用户仍然可以添加网络打印机。
相关主题
2571
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
