✅Permitir Instalar Controladores a Usuarios No Admin | KB5005652

Hace unos días, nos reportaron múltiples errores desde diferentes puntos, que al imprimir les solicitaban escalar privilegios a admin, para instalar controladores, con el error “Windows no puede conectarse a la impresora” sin mucha más información, cuándo le dabas a “instalar controlador”.

Este error, únicamente nos pasaba con los equipos que tenían instalado Windows 10 y encima, era a nivel general.

Tras revisar nuestros nodos de Printer Server, vimos, que todo estaba OK, no había errores y las hojas de prueba se encolaban y mandaban de forma correcta, por lo que el siguiente paso fue, coger un equipo para probar.

Tras comprobar el equipo, descubrimos que se había aplicado un parche de seguridad desde Microsoft el día 10/08/2021, casualmente, en todos los equipos de Windows 10 que estaban fallando.

Concretamente, el parche de seguridad era el KB5005033, también conocido como KB5005652, el cual mitiga la vulnerabilidad de PrintNightmare (CVE-2021-34481) en todos los equipos de Windows 10, sin excepción de equipos empresariales.

Pero…¿cómo vamos a hacer a los usuarios del dominio administradores?, ¿qué sentido tiene?, tranquilo, esas mismas preguntas nos las hicimos nosotros. Tras barajar la idea de hacer a los usuarios que utilizan esos equipos, usuarios avanzados y comprobar, que seguiríamos teniendo fallas de seguridad en los equipos, decidimos deshabilitar la opción a nivel de dominio, de que se puedan instalar controladores sin ser administrador en los equipos.

¿Entonces de que sirve aplicar el parche si dejas que se instalen controladores sin ser administrador?, buena pregunta, pero intentamos habilitar una GPO que no funcionó, además, que el propio microsoft te sugiere que hagas esto, un poco absurdo ¿no?, para eso no pongas esta restricción 😵.

Lo primero que hay que hacer es, comprobar que tenemos la actualización, que hemos comentado anteriormente, en los equipos.

Una vez verificado, añadiremos por GPO o mediante Intune, una cadena en el registro.

Por GPO, crearemos una política para cargar el registro a una Unidad Organizativa en concreto, o a todo el árbol. En cada dominio, dependerá de vosotros mismos como queréis implementarlo.

Crearemos el registro en un bloc de notas con extensión .reg y añadiremos lo siguiente:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"RestrictDriverInstallationToAdministrators"=dword:00000000

Ahora guardamos el bloc de notas con un nombre descriptivo y la extensión .reg

Una vez tenemos nuestro registro preparado, crearemos la GPO para el registro y lo configuraremos a nuestro gusto.

En el caso de que no tengas un dominio configurado en tu empresa, porque tienes pocos equipos y prefieres hacerlo a mano, o tienes Intune en tu empresa, puedes hacerlo mediante Powershell.

Únicamente tendrás que crear un nuevo archivo en powershell y copiar la siguiente sintaxis:

New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" -Name "RestrictDriverInstallationToAdministrators" -Value ”0” -PropertyType "DWORD"

De momento con esto conseguimos que las impresoras de la empresa, sigan funcionando de forma correcta. Quiero dejar claro que esto es un parche, no es como deberían estar nuestros equipos del dominio, pero hasta que Microsoft no recule y cambie esta nueva característica, al menos, nos libramos del marrón un tiempo 😉.