[Windows] – Le stampanti di rete non si installano. Come risolvere il problema.

di

Tra i mesi di Luglio e Agosto 2021 Microsoft ha rilasciato alcuni aggiornamenti per correggere la vulnerabilità di sicurezza nota come “PrintNightmare” e riguardante Windows Print Spooler.

(Image: Mashka via Adobe Stock)

Purtroppo queste correzioni non arrivano prive di controindicazioni. Gli amministratori IT abituati a distribuire le stampanti in modo centralizzato tramite Group Policy GPO hanno ora un incident da dover gestire. Purtroppo o per fortuna – dipende dal lato della medaglia che si guarda – dopo l’applicazione di questi aggiornamenti (KB5005652 e KB5005010 per citare alcuni) diventa impossibile per i non-amministratori installare driver di stampa anche se prelevati da server attendibili per l’organizzazione.

Per risolvere la problematica in modo semplice, ripristinando la possibilità di installare stampanti tramite GPO, senza demolire quello che Microsoft ha corretto è sufficiente intervenire con una doppia strada.

  1. Indicando tramite apposita GPO quelli che sono i server di stampa considerati attenibili per l’organizzazione.
  2. Aggiungendo una chiave di registro che riabilita la possibilità per i non-amministratori di installare driver di stampanti (e stampanti).

Detto fatto vediamo come creare una remediation tramite GPO.

Creazione della Group Policy

1. Server di stampa fidati nell’organizzazione

Creare una Group Policy di livello Computer in cui verranno indicati i valori nella voce Point and Print Restrictions.

Abilitare e configurare la voce Point and Print Restrictions con i parametri illustrati nell’immagine sotto.

Spuntare la voce che autorizza gli utenti a utilizzare il server P&P solo dai server indicati e togliendo gli avvisi di innalzamento privilegi per installazione o aggiornamento di drivers.

2. Installazione dei driver di stampa per utenti non-amministratori

Come ultimo punto andrà aggiunta una chiave di registri tramite Preference (o manualmente) che ha lo scopo di permettere ai non-amministratori di installare i driver di stampa. 

"HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f

Conclusioni

Per non distruggere quello che Microsoft ha corretto tramite Windows Update è veramente importante permettere l’installazione di driver di stampa solo da server fidati, e protetti, nell’organizzazione. Non create sui vostri computer la chiave di registro illustrata nel punto 2 senza aver prima creato ed applicato la policy spiegata nel punto 1. Mi raccomando!

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.