Patch PrintNightmare
Na super: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows- ...
Microsoft has fixed the PrintNightmare vulnerability in the Windows Print Spooler by requiring users to have administrative privileges when using the Point and Print feature to install printer drivers.
Zum Glück (?) gibt es den HP Universal Treiber, lol.
Microsoft has fixed the PrintNightmare vulnerability in the Windows Print Spooler by requiring users to have administrative privileges when using the Point and Print feature to install printer drivers.
Zum Glück (?) gibt es den HP Universal Treiber, lol.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1142569754
Url: https://administrator.de/contentid/1142569754
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
10 Kommentare
Neuester Kommentar
Na da lassen wir uns mal überraschen, geht nun dann wohl nur noch mit Adminberechtigungen:
https://support.microsoft.com/de-de/topic/kb5005652-manage-new-point-and ...
Erstmal testen morgen was MS da gebastelt hat.
Edit:
Also Tatsache, man hat hier über die Registry einen Riegel reingehauen, so dass Druckertreiber nur noch von Administatoren installiert oder aktualisiert werden dürfen.
Dieser Registryschlüssel setzt auch alle GPOs außer Kraft.
Das ist ja mal total lästig.
Damit war es das mit jeder sucht sich den Drucker den er will auf dem System das er gerade benutzt und installiert den einfach per Doppelklick.
Mit Typ 4 - Treibern scheint das kein Problem zu sein, 90% unserer Drucker (OKI, Kyocera, Brother, TSC, Lexmark, Epson) haben aber noch Typ 3 und wollen daher die Dateien aufs System kopieren.
Nun muss man dann wohl entscheiden ob man den Registryschlüssel wieder umbiegt oder ob der Benutzer nun bei jedem Drucker der sich am System nicht installieren lässt nen Anruf/Ticket eröffnet...
https://support.microsoft.com/de-de/topic/kb5005652-manage-new-point-and ...
Erstmal testen morgen was MS da gebastelt hat.
Edit:
Also Tatsache, man hat hier über die Registry einen Riegel reingehauen, so dass Druckertreiber nur noch von Administatoren installiert oder aktualisiert werden dürfen.
Dieser Registryschlüssel setzt auch alle GPOs außer Kraft.
Das ist ja mal total lästig.
Damit war es das mit jeder sucht sich den Drucker den er will auf dem System das er gerade benutzt und installiert den einfach per Doppelklick.
Mit Typ 4 - Treibern scheint das kein Problem zu sein, 90% unserer Drucker (OKI, Kyocera, Brother, TSC, Lexmark, Epson) haben aber noch Typ 3 und wollen daher die Dateien aufs System kopieren.
Nun muss man dann wohl entscheiden ob man den Registryschlüssel wieder umbiegt oder ob der Benutzer nun bei jedem Drucker der sich am System nicht installieren lässt nen Anruf/Ticket eröffnet...
Hi,
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators (dword32 = 0).
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
Wahrscheinlich muss ich die GPO konfigurieren, sodass ein Prompt erscheint, wenn Drucker eingebunden werden.
Gruß,
Thomas
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators (dword32 = 0).
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
Wahrscheinlich muss ich die GPO konfigurieren, sodass ein Prompt erscheint, wenn Drucker eingebunden werden.
Gruß,
Thomas
Zitat von @Thomas2:
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
Wie im von mir verlinkten Supportbeitrag von Microsoft gelistet bin ich nur froh, dass es diesen Registrykey nun gibt.
Ich habe bei Brother schon mal ein Ticket eröffnet ob man da Typ 4 Treiber erhalten kann...
Ansonsten habe ich mit dem Registrykey auch die Einschränkung zum passenden Printserver verteilt, steht auch im Artikel:
Zulassen, dass Benutzer nur eine Verbindung mit bestimmten Paketpunkt- und Druckservern herstellen, denen Sie vertrauen
Das schränkt es in meinen Augen auch noch mal ausreichend ein.
Zitat aus:
https://support.microsoft.com/en-gb/topic/kb5005652-manage-new-point-and ...
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
https://support.microsoft.com/en-gb/topic/kb5005652-manage-new-point-and ...
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
Zitat von @NetzwerkDude:
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
Und?
Dann ist immernoch nur die Druckereinbindung von einem gewissen Servernamen erlaubt (sofern man das auf gewisse Printserver im Unternehmen beschränkt).
Ich sehe das Problem irgendwie nicht.
Moin zusammen,
gestern Nacht habe ich unsere 5 Terminalserver und unseren Printserver geupdatet und zack heute Morgen sind die ersten Probleme bzgl. Drucker aufgetreten.
Ich habe als Workaround nun erstmal den Registry Eintrag gesetzt:
Natürlich hat sich Microsoft dabei was gedacht aber der produktive Betrieb muss nun erstmal weiter laufen...
Irgendwie geht es mir wie dem Benutzer "dertowa"... Ich sehe das Problem irgendwie ebenfalls nicht so richtig.
Unser Printserver (kein DC) hat "außer bei Updates" keine Internetverbindung. Außerdem sind alle Ports von extern nach intern zu.
Im kompletten Netzwerk hat niemand lokale Administratorrechte. SPAMs, Macrodateinen, Exe Dateien etc. werden durch unsere Virenscanner / Firewall von vornerein abgeblockt.
Mich würde mal interessieren wie diese 08/15 Ransomware Gruppen somit Zugriff bekommen könnten.
Das einzige wäre aus meiner Sicht ein infizierter USB Stick oder tatsächlich eine schädliche Mail die beim Benutzer ankommt.
Eure Einschätzung würde mich mal interessieren und wie ihr diese Druckerproblematik angeht.
gestern Nacht habe ich unsere 5 Terminalserver und unseren Printserver geupdatet und zack heute Morgen sind die ersten Probleme bzgl. Drucker aufgetreten.
Ich habe als Workaround nun erstmal den Registry Eintrag gesetzt:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f
Natürlich hat sich Microsoft dabei was gedacht aber der produktive Betrieb muss nun erstmal weiter laufen...
Irgendwie geht es mir wie dem Benutzer "dertowa"... Ich sehe das Problem irgendwie ebenfalls nicht so richtig.
Unser Printserver (kein DC) hat "außer bei Updates" keine Internetverbindung. Außerdem sind alle Ports von extern nach intern zu.
Im kompletten Netzwerk hat niemand lokale Administratorrechte. SPAMs, Macrodateinen, Exe Dateien etc. werden durch unsere Virenscanner / Firewall von vornerein abgeblockt.
Mich würde mal interessieren wie diese 08/15 Ransomware Gruppen somit Zugriff bekommen könnten.
Das einzige wäre aus meiner Sicht ein infizierter USB Stick oder tatsächlich eine schädliche Mail die beim Benutzer ankommt.
Eure Einschätzung würde mich mal interessieren und wie ihr diese Druckerproblematik angeht.
Natürlich und Microsoft ist hier definitiv im Zugzwang, denn nach wie vor scheint die Lücke ja nicht 100% dicht.
Es läuft aber alles immer darauf hinaus (wenn ich das bisher richtig gesehen habe), dass eine Datei kompromittiert wird und dies über Druckertreiber erfolgen kann da diese ohne Adminrechte installiert werden.
Dadurch findet die Verteilung dann statt und läuft auf den Clients als Admin.
Dafür muss die kompromittierte "Software" aber erstmal auf den Printserver gelangen, oder einer angesteuert werden dürfen der so vorbereitet wurde und sich über das Internet ansteuern lässt.
Es mag sicherlich Szenarien geben, aber ich stehe eben auch auf der anderen Seite und dort bedeutet der Grundsatz für die Mitarbeiter:
- Heute hier morgen dort
Also keine festen Drucker wenn man so will, Universaltreiber waren schon mal angedacht bei dem ersten Druckerchaos 2019?
Die sind für unsere Modelle aber irgendwie so schlank, dass die Kollegen damit riesig Probleme hatten ihre Einstellungen zu treffen.
Ich lass mich gern überzeugen was das Risiko angeht, aber bislang sehe ich das noch nicht so recht.