اطمینان از تنظیم Devices: Prevent users from installing printer drivers روی Enabled (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
برای اینکه یک کامپیوتر از یک چاپگر share شده بتواند پرینت بگیرد، درایور چاپگر share شده باید روی کامپیوتر local نصب شود. این تنظیم امنیتی تعیین میکند چه کسی مجاز به نصب درایور چاپگر به عنوان بخشی از متصل شدن به یک shared printer است.
حالت پیشنهادی برای این setting: Enabled است.
نکته: این تنظیمات بر قابلیت add کردن local printer تأثیر نمیگذارد. این تنظیمات روی Administrators تأثیر نمیگذارد.
Rationale
ممکن است در بعضی از سازمانها مناسب باشد که به کاربران اجازه دهند درایورهای چاپگر را در workstations خود نصب کنند. با این وجود، شما باید فقط به Administrators، و نه کاربران اجازه دهید این کار را روی سرورها انجام دهند، زیرا نصب درایور چاپگر روی یک سرور ممکن است به طور ناخواسته باعث نا پایدار شدن کامپیوتر شود.
یک کاربر مخرب میتواند در تلاش عمدی برای آسیب رساندن به کامپیوتر، درایورهای پرینتر نامناسب را نصب کند، یا یک کاربر ممکن است به طور اتفاقی نرم افزاری مخرب را که به عنوان درایور چاپگر مطابقت دارد نصب کند. این برای یک مهاجم امکان پذیر است که یک Trojan را داخل یک درایور چاپگر جاسازی نماید. این برنامه ممکن است برای کاربران اینطور به نظر برسد که گویی باید از آن برای پرینت استفاده کنند، اما چنین برنامهای میتواند کد مخرب را در شبکه رایانه شما منتشر کند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers:AddPrinterDrivers
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Devices: Prevent users from installing printer drivers
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Enabled. (فقط Administrators مجاز به نصب درایور چاپگر به عنوان بخشی از متصل شدن به یک shared printer می باشند. توانایی add کردن local printer تحت تأثیر قرار نمیگیرد.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
