Našiel sa jeden nepríjemný problém s jednou z júlových aktualizácií zabezpečenia spoločnosti Microsoft. Je to o KB3170455, vydané 12. júla 2016. Po inštalácii tejto aktualizácie v doméne sa môžu vyskytnúť problémy pri pokuse o pripojenie sieťovej tlačiarne.
Problém sa prejavil takto:
Pri pokuse o inštaláciu (pripojenie) tlačiarne z tlačového servera (v systéme Windows Server 2008 R2) na klientov domény (Windows 10, Windows 7) sa zobrazí chyba.
Pripojte sa k tlačiarni
Vo vašom počítači platí zásada, ktorá vám bráni v pripojení k tejto tlačovej fronte. Obráťte sa na správcu systému.
Pri niektorých modeloch tlačiarní sa pri pokuse o pripojenie k sieťovej tlačiarni objavila ďalšia správa:
Veríte tejto tlačiarni?
Systém Windows musí stiahnuť a nainštalovať softvérový ovládač z počítača \\ PrintServerName, aby sa vytlačil do PrinterName. Pokračujte, iba ak dôverujete \\ PrintServerName a sieti
Systém Windows musí stiahnuť a nainštalovať ovládač z počítača \\ PrintServerName, aby mohol tlačiť do PrinterName ...
Po kliknutí na tlačidlo „Inštalovať ovládač“ sa zobrazí okno UAC s výzvou na zadanie poverení správcu. Aj keď starší používatelia mohli tieto tlačiarne pripojiť bez problémov (je súčasťou politiky, ktorá umožňuje bežným používateľom inštalovať ovládače tlačiarne bez práv miestneho správcu).
Porovnaním nainštalovaných aktualizácií na problémových počítačoch sme zistili, že problém je pozorovaný na počítačoch s nainštalovanou aktualizáciou KB3170455 (MS16-087: Popis aktualizácie zabezpečenia pre súčasti zaraďovača tlače Windows: 12. júla 2016). Po odinštalovaní tejto aktualizácie sú tlačiarne správne pripojené.
wusa.exe / odinštalovať / kb: 3170455 / quiet / norestart
Ale nie všetko je také jednoduché, aktualizácia nie je skutočne zahnutá, ale opravuje konkrétnu kritickú zraniteľnosť v tlačovom subsystéme Windows. Aktualizácia tiež obsahuje upozornenie používateľa, keď sa pokúša nainštalovať nedôveryhodné alebo nepodpísané ovládače tlačiarne. Áno, a v systéme Windows 10 je táto aktualizácia zošitá na kumulatívnu aktualizáciu, takže ju nemožno vrátiť späť. Jednoduchým odinštalovaním aktualizácie sa problém nevyrieši.
Článok https://support.microsoft.com/en-us/kb/3170005 špecifikuje kritériá, ktoré musia ovládače tlačiarne spĺňať, aby boli správne nainštalované na klientoch:
- Ovládač musí byť dôveryhodný (podpísaný dôveryhodným digitálnym podpisom)
- Ovládač musí byť zabalený (tlačové ovládače s vedomím balíka). Inštalácia nezbalených ovládačov (ovládače tlačiarne v3, ktoré nepoznajú balík) v režime Point and Print Restrictions nie je možná
Spoločnosť Microsoft preto odporúča:
- nahradiť ovládače na tlačových serveroch za zabalené (špecifikácia V3). Pomocou konzoly Print Manager môžete určiť, či je ovládač zabalený alebo nie. Otvorte časť ovládače. Zaujíma nás stĺpec zabalený, pre zabalené ovládače je uvedený stav pravdivý.
Zostane povolený postup Obmedzenia bodu a tlače (v sekciách Konfigurácia počítača> Zásady> Šablóny správcu> Tlačiarne a v časti Konfigurácia používateľa> Zásady> Šablóny správcu> Ovládací panel> Tlačiarne) a nastavte Nezobrazovať varovnú alebo výškovú výzvu (Nezobrazovať upozornenie alebo požiadavku na výšku). Ďalej zadajte názvy dôveryhodných tlačových serverov FQDN. - ak sú ovládače zastarané a nedajú sa aktualizovať, odporúča sa ich predinštalovať na klientskych počítačoch. V takom prípade nie sú problémy s pripojením tlačiarní..
Zostane povolený postup Obmedzenia bodu a tlače (v sekciách Konfigurácia počítača> Zásady> Šablóny správcu> Tlačiarne a v časti Konfigurácia používateľa> Zásady> Šablóny správcu> Ovládací panel> Tlačiarne) a nastavte Nezobrazovať varovnú alebo výškovú výzvu (Nezobrazovať upozornenie alebo požiadavku na výšku). Ďalej zadajte názvy dôveryhodných tlačových serverov FQDN.
