Permitir que los no administradores instalen controladores de impresora a través de GPO – informaticamadridmayor

De manera predeterminada, los usuarios del dominio que no son administradores no tienen permiso para instalar los controladores de impresora en las computadoras del dominio. Para instalar un controlador, el usuario debe tener privilegios de administrador local (debe ser miembro del grupo de administradores locales). Esto es excelente desde el punto de vista de la seguridad porque la instalación de un controlador de dispositivo falso o incorrecto podría comprometer la PC o degradar el rendimiento del sistema. Sin embargo, este enfoque es extremadamente inconveniente en términos del departamento de TI, ya que requiere la intervención del equipo de soporte cuando un usuario intenta instalar un nuevo controlador de impresora.

Puede permitir que los usuarios que no sean administradores instalen controladores de impresora en sus computadoras con Windows 10 (sin necesidad de otorgar permisos de administrador local) mediante las políticas de grupo de Active Directory.

Configurar GPO para permitir que personas que no son administradores instalen controladores de impresora

En primer lugar, cree un nuevo objeto GPO (política) (o edite uno existente) y vincúlelo a la unidad organizativa (contenedor AD), que contiene las computadoras en las que es necesario permitir que los usuarios instalen controladores de impresora (utilice el complemento gpmc.msc -in para administrar GPO de dominio). Puede implementar la misma configuración en una computadora independiente (sin dominio) usando el Editor de políticas de grupo local (gpedit.msc).

Expanda la siguiente rama en el editor de directivas de grupo: Configuracion de Computadora > Políticas > Configuración de Windows > Configuraciones de seguridad > Políticas locales > Opciones de seguridad. Encuentre la política Dispositivos: Impedir que los usuarios instalen controladores de impresora.

Establezca el valor de la política en Desactivar. Esta política permite que los usuarios que no son administradores instalen controladores de impresora al conectar una impresora de red compartida (el controlador de la impresora descargado del host del servidor de impresión). Luego puede establecer el valor de la política en Deshabilitar, cualquier usuario sin privilegios puede instalar un controlador de impresora como parte de una conexión de impresora compartida a una computadora. Sin embargo, esta política no permite descargar e instalar un controlador de impresora que no sea de confianza (no firmado).

Adición de GUID de dispositivos de impresora que se pueden instalar a través de GPO

El siguiente paso es permitir que el usuario instale los controladores de la impresora a través de GPO. En este caso, nos interesa la política. Permitir que personas que no sean administradores instalen controladores para estas clases de configuración de dispositivos en la sección GPO Configuracion de Computadora > Políticas > Plantillas Administrativas > Sistema > Instalación del controlador.

Habilite la política y especifique las clases de dispositivos que los usuarios deben poder instalar. Haga clic en el Show y en la ventana que aparece agregue dos líneas con GUID de clase de dispositivo correspondiente a las impresoras:

• Clase = Impresora {4658ee7e-f050-11d1-b6bd-00c04fa372a7};
• Clase = Impresoras PNP {4d36e979-e325-11ce-bfc1-08002be10318}.

Puede encontrar una lista completa de los GUID de clase de dispositivo en Windows aquí.

Cuando habilita esta política, los miembros del grupo de usuarios locales pueden instalar un nuevo controlador de dispositivo para cualquier dispositivo que coincida con las clases de dispositivos especificadas.

Nota. Puede habilitar esta política a través del registro usando el comando:

reg add "HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDriverInstallRestrictions" /v AllowUserDeviceClasses /t REG_DWORD/d 1 /f

Puede encontrar la lista de GUID de dispositivos permitidos para instalar en la clave de registro: HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDriverInstallRestrictionsAllowUserDeviceClasses.

Ahora guarde la política.

Configuración de la política de restricciones de apuntar e imprimir

En Windows 10 hay otra característica relacionada con la configuración de UAC (Control de cuentas de usuario), que ocurre cuando intenta instalar una impresora de red compartida. Si el UAC está habilitado, aparece un mensaje en el que desea especificar las credenciales del Administrador. Si UAC está deshabilitado, cuando intente instalar la impresora con el usuario que no es administrador, el sistema se bloquea durante algún tiempo y finalmente muestra un mensaje de error: "Windows no puede conectarse a la impresora. Acceso denegado“.

Para resolver este problema, debe deshabilitar la política Restricciones de apuntar e imprimir. Esta política se encuentra en la sección Configuración de equipos y usuarios del editor de GPO. Para habilitar la compatibilidad con versiones anteriores del sistema operativo Windows, se recomienda deshabilitar ambas políticas. Están ubicados en las siguientes secciones:

• Configuracion de Computadora > Políticas > Plantillas Administrativas > Impresoras;
• Configuración de usuario > Políticas > Plantillas Administrativas > Panel de control > Impresoras.

Luego, debe deshabilitar esta política para las computadoras con Windows 10, las advertencias de seguridad y los avisos elevados no aparecen cuando el usuario intenta instalar la impresora de red o cuando el controlador de la impresora se está actualizando.

Nota. Puede deshabilitar las Restricciones de apuntar e imprimir a través del registro. Usa el siguiente comando:

reg add "HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint" /v Restricted /t REG_DWORD /d 0 /f

Si desea restringir la lista de servidores de impresión desde los cuales los usuarios pueden instalar controladores de impresión sin permisos de administrador, debe configurar el Restricción de apuntar e imprimir política de Activado.

Luego habilite la opción “Los usuarios solo pueden señalar e imprimir en estos servidores”. En el "Ingrese nombres de servidor completos separados por punto y coma” especifique una lista de sus servidores de impresión de confianza (FQDN).

Bajo la "Indicaciones de seguridad” seleccione la sección “No mostrar aviso de advertencia o elevación” para los parámetros de la política “Luego instalar controladores para una nueva conexión" y "Luego actualizar los controladores para una conexión existente”.

Pruebe la política para permitir que los usuarios instalen controladores de impresora

Queda por probar la política en los equipos cliente (requiere reiniciar). Después de reiniciar y aplicar la configuración de la política de grupo, los usuarios podrán instalar controladores de impresora sin permisos de administrador.

Consejo. Después de instalar la actualización KB3170455, lanzada el 12 de julio de 2016, para poder instalar correctamente la impresora, el controlador de la impresora debe cumplir con los siguientes requisitos:

• El controlador debe estar firmado por una firma digital confiable;

• El controlador debe estar empaquetado (controladores de impresión compatibles con paquetes). La instalación de los controladores desempaquetados (sin reconocimiento de paquete) a través de Restricciones de apuntar e imprimir es imposible.

Esto significa que cuando intente instalar la v3 sin reconocimiento de paquetes, verá la advertencia "¿Confía en esta impresora?" con el botón Instalar controlador UAC, que requiere la instalación de controladores de impresora en la cuenta de administrador.

Puede verificar su tipo de controlador en el servidor de impresión en el nodo Administración de impresión > Servidores de impresión > Nombre del servidor > Controladores. Para controladores de impresión compatibles con paquetes, puede ver el Verdadero valor en el Empaquetado columna.

No se pueden implementar controladores de impresora después de las actualizaciones de agosto de 2021

En agosto de 2021 (2021-08-10), Microsoft lanzó una actualización de seguridad para Windows 10 (KB5005033) que realizó cambios significativos en la política de instalación de la impresora. Después de instalar estas y las últimas actualizaciones de seguridad, Windows comienza a solicitar permisos de administrador para instalar controladores de impresora. Este cambio aborda la ImprimirPesadilla vulnerabilidad y está relacionado con problemas de Windows Print Spooler.

Insinuación. Él ImprimirPesadilla La vulnerabilidad RCE se describe en CVE-2021-1675 y CVE-2021-34527. Una falla en la implementación de Windows Print Spooler permite que un atacante ejecute de forma remota código arbitrario en una computadora con Windows. La vulnerabilidad permite cargar un archivo DLL malicioso en el sistema. Intentar agregar una impresora nuevamente permite el acceso a este archivo, que se ejecutará con privilegios del sistema.

El servicio Print Spooler funciona en Windows (incluidas las versiones de servidor) de forma predeterminada. El mayor peligro lo representa un ataque a los servidores, por lo que Microsoft ha emitido recomendaciones para deshabilitar el sistema de impresión en los controladores de dominio (Evaluación de seguridad: Controladores de dominio con servicio de cola de impresión disponible).

En equipos con la actualización KB5005033, al instalar una impresora, los usuarios reciben una ventana de UAC:

¿Confías en esta impresora?

Windows necesita descargar e instalar un controlador de software desde la \computadora a xxx. Continúe solo si confía en la computadora y la red.

Después de hacer clic en el Instalar controlador botón, aparece una ventana de UAC en la que debe especificar las credenciales de administrador.

Microsoft recomienda usar la Política de grupo para instalar impresoras en las computadoras de los usuarios. Pero esto solo funciona para controladores de impresión compatibles con paquetes v4. Al instalar cualquier controlador v3, aparece una ventana de UAC que solicita una contraseña de administrador.

Si no puede actualizar todos los controladores a v4, hay una solución. En todos los equipos con problemas, es necesario instalar el parámetro RestrictDriverInstallationToAdministrators =0 en la clave de registro HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersPointAndPrint.

La forma más fácil de implementar este parámetro de registro en las computadoras es a través de la Política de grupo.

Cree un nuevo parámetro de registro en la sección GPO Configuracion de Computadora > preferencias > Configuración de Windows > Registro.

• Acción: Reemplazar
• Colmena: HKEY_LOCAL_MACHINE
• Ruta de la clave: SoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint
• Nombre del valor: RestrictDriverInstallationToAdministrators
• Tipo de valor: REG_DWORD
• Datos de valor: 0

Esta clave de registro permitirá a los usuarios conectarse a cualquier impresora.

Esta es una solución alternativa, no una solución, porque hace que sus servidores de impresión sean vulnerables (!!!!).

Por lo tanto, también debe configurar la política de Restricción de apuntar e imprimir (descrita anteriormente). Agregue servidores de impresión confiables en el “Los usuarios solo pueden señalar e imprimir en estos servidores" sección.

Además, establezca:

• Al instalar controladores para una nueva conexión: No mostrar advertencia o aviso elevado;
• Al actualizar los controladores para una conexión existente: Mostrar solo advertencia.