Проблемы с подключением сетевых принтеров после установки KB3170455 | Windows для системных администраторов

Проблемы с подключением сетевых принтеров после установки KB3170455

Обнаружили одну неприятную проблему с одним из июльский обновлений безопасности Microsoft. Речь о KB3170455, выпущенном 12 июля 2016 года. После установки данного обновления в домене могут возникнуть проблемы при попытке подключить сетевой принтер.

Проблема проявлялась следующим образом:

При попытке на доменных клиентах (Windows 10, Windows 7) установить (подключить) принтер с принт-сервера (на Windows Server 2008 R2), появляется ошибка.

Connect to Printer

A policy is in effect on your computer which prevents you from connecting to this print queue. Please contact your system administrator.

Connect to Printer A policy is in effect on your computer which prevents you from connecting to this print queue. Please contact your system administrator

Установленная на данном компьютере политика не позволяет подключение к данной очереди печати. Обратитесь к системному администратору.

На некоторых моделях принтеров при попытке подключить сетевой принтер появлялось другое  сообщение:

Do you trust this printer?

Windows needs to download and install a software driver from \\PrintServerName computer to print to PrinterName. Proceed only if you trust the \\PrintServerName and the network

Do you trust this printer?  Windows needs to download and install a software driver from \\PrintServerName computer to print to PrinterName. Proceed only if you trust the \\PrintServerName and the network

Вы доверяете этому принтеру?
Windows требуется загрузить и установить драйвер с компьютера \\PrintServerName для печати на PrinterName…

При нажатии на кнопку «Установить драйвер» появляется окно UAC с предложением ввести учетные данные администратора. Хотя ранее пользователи могли без проблем подключать эти принтера (включена политика, позволяющая обычным пользователям устанавливать драйвера принтеров без прав локального администратора).

Путем сравнения установленных обновлений на проблемных компьютерах, обнаружили, что проблема наблюдается на компьютерах с установленным апдейтом  KB3170455 (MS16-087: Description of the security update for Windows print spooler components: July 12, 2016). И действительно, при удалении этого обновления принтера подключаются корректно.

wusa.exe /uninstall /kb:3170455 /quiet /norestart

Но не все так просто, обновление на самом деле не кривое, а исправляет конкретную критическую уязвимость в подсистеме печати Windowsю. Обновление в том числе предполагает выдавать предупреждение пользователя при попытке установить недоверенные или неподписанные драйвера принтеров. Да и в Windows 10 это обновление вшито в кумулятивное обновление, и так просто его уже не откатишь. Так что простым удалением обновления проблему не решить.

В статье https://support.microsoft.com/en-us/kb/3170005 указаны критерии, которым должны соответствовать драйвера принтеров, чтобы они могли корректно устанавливаться на клиентах:

  • Драйвер должен быть доверенным (подписан доверенной цифровой подписью)
  • Драйвер должен быть упакованным (Package-aware print drivers). Установка неупакованных драйверов (non-package-aware v3 printer drivers) через режим Point and Print Restrictions невозможна

Поэтому Microsoft рекомендует:

  • заменить драйвера на принт-серверах на упакованные (спецификация Package-aware V3). Определить является ли драйвер упакованным или нет, можно с помощью консоли Print Manager, откройте раздел с драйверами. Нас интересует колонка Packaged, для упакованных драйверов указан статус True. Упакованные драйвера принтеровОстанется включить политики Point and Print Restrictions  (в разделах Computer Configuration > Policies > Admin Templates > Printers и в User Configuration > Policies > Admin Templates > Control Panel > Printers) и выставить Do not show warning or elevation prompt (Не показывать предупреждение или запрос на повышение прав). Дополнительно указываем FQDN имена доверенных принт-серверов.
  • если драйвера являются устаревшими и обновить их нельзя, рекомендуется предустанавливать их на клиентских ПК. В этом случае при подключении принтеров проблем не возникнет.
Примечание. Для принтеров Canon, Sharp, KonicaMinolta есть небольшой трюк, позволяющий системе считать, что драйвер является упакованным. Для этого на принт-сервере, откройте ветку реестра HKLM\System\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\…\Driver name\ и для нужного драйвера измените значение ключа PrinterDriverAttributes, добавив к текущему значению 1. В моем случае значение атрибута было 5, я поменял его на 6. То же самое нужно сделать с атрибутом драйвера в ветке HKLM\System\CurrentControlSet\Control\Print\Enviroments\Windowsx NT x86\Drivers…\Driver name\. После перезагрузки сетевые принтера Canon стали подключаться без предупреждений.
Еще записи по теме: Windows 10, Windows 7, Windows Server 2008
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 4

Оставить комментарий
  1. Ильнур | 31.08.2016

    А может быть просто отключить политику проверки Administrative Templates > Control Panel > Printers -> Only use Package Point and print = Disabled? По логике этим самым разрешается установка неупакованных драйверов.

    Ответить
    • Alexandr | 07.10.2016

      Как у вас получилось? решилась проблема отключением данной политики?

      Ответить
  2. Павел | 29.09.2016

    Спасибо огромное про трюк с реестром, долго бился почему же некоторые принтеры не просят повышения прав, а некоторые (как раз canon) постоянно просят

    Ответить
  3. itpro | 12.10.2016

    MS признали наличие ошибки, появился отдельная KB _https://support.microsoft.com/en-us/kb/3187022 — Print functionality is broken after any of the MS16-098 security updates are installed
    Судя по которой, проблема фиксится в бюллетене _https://technet.microsoft.com/library/security/MS16-106

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00170 sec