10
Patch PrintNightmare
Na super: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows- ...
Microsoft has fixed the PrintNightmare vulnerability in the Windows Print Spooler by requiring users to have administrative privileges when using the Point and Print feature to install printer drivers.
Zum Glück (?) gibt es den HP Universal Treiber, lol.
Microsoft has fixed the PrintNightmare vulnerability in the Windows Print Spooler by requiring users to have administrative privileges when using the Point and Print feature to install printer drivers.
Zum Glück (?) gibt es den HP Universal Treiber, lol.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1142569754
Url: https://administrator.de/contentid/1142569754
Printed on: July 27, 2024 at 12:07 o'clock
10 Comments
Latest comment
Na da lassen wir uns mal überraschen, geht nun dann wohl nur noch mit Adminberechtigungen:
https://support.microsoft.com/de-de/topic/kb5005652-manage-new-point-and ...
Erstmal testen morgen was MS da gebastelt hat.
Edit:
Also Tatsache, man hat hier über die Registry einen Riegel reingehauen, so dass Druckertreiber nur noch von Administatoren installiert oder aktualisiert werden dürfen.
Dieser Registryschlüssel setzt auch alle GPOs außer Kraft.
Das ist ja mal total lästig.
Damit war es das mit jeder sucht sich den Drucker den er will auf dem System das er gerade benutzt und installiert den einfach per Doppelklick.
Mit Typ 4 - Treibern scheint das kein Problem zu sein, 90% unserer Drucker (OKI, Kyocera, Brother, TSC, Lexmark, Epson) haben aber noch Typ 3 und wollen daher die Dateien aufs System kopieren.
Nun muss man dann wohl entscheiden ob man den Registryschlüssel wieder umbiegt oder ob der Benutzer nun bei jedem Drucker der sich am System nicht installieren lässt nen Anruf/Ticket eröffnet...
https://support.microsoft.com/de-de/topic/kb5005652-manage-new-point-and ...
Erstmal testen morgen was MS da gebastelt hat.
Edit:
Also Tatsache, man hat hier über die Registry einen Riegel reingehauen, so dass Druckertreiber nur noch von Administatoren installiert oder aktualisiert werden dürfen.
Dieser Registryschlüssel setzt auch alle GPOs außer Kraft.
Das ist ja mal total lästig.
Damit war es das mit jeder sucht sich den Drucker den er will auf dem System das er gerade benutzt und installiert den einfach per Doppelklick.
Mit Typ 4 - Treibern scheint das kein Problem zu sein, 90% unserer Drucker (OKI, Kyocera, Brother, TSC, Lexmark, Epson) haben aber noch Typ 3 und wollen daher die Dateien aufs System kopieren.
Nun muss man dann wohl entscheiden ob man den Registryschlüssel wieder umbiegt oder ob der Benutzer nun bei jedem Drucker der sich am System nicht installieren lässt nen Anruf/Ticket eröffnet...
Moin moin,
wie bindet ihr den Typ3 Treiber jetzt bei einem Terminaluser ein? Ich kann das Druckerfenster nicht als Admin öffnen, die Systemsteuerung auch nicht. Ich sehe gerade keine Option, den Drucker einzubinden.
Gruß,
Thomas
wie bindet ihr den Typ3 Treiber jetzt bei einem Terminaluser ein? Ich kann das Druckerfenster nicht als Admin öffnen, die Systemsteuerung auch nicht. Ich sehe gerade keine Option, den Drucker einzubinden.
Gruß,
Thomas
Moin,
ja ganz super.
Bei einem Kunden mit Kopiermonster dürfen nun fast alle User beim 1. Drucker Administratorzugangsdaten eingeben. Oder besser wir müssen das machen, da die keine eigene IT haben.
Danke MS.
Es ist in der Tat viel sicherer wenn die User über lokale Zugangsdaten verfügen...
Stefan
ja ganz super.
Bei einem Kunden mit Kopiermonster dürfen nun fast alle User beim 1. Drucker Administratorzugangsdaten eingeben. Oder besser wir müssen das machen, da die keine eigene IT haben.
Danke MS.
Es ist in der Tat viel sicherer wenn die User über lokale Zugangsdaten verfügen...
Stefan
Hi,
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators (dword32 = 0).
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
Wahrscheinlich muss ich die GPO konfigurieren, sodass ein Prompt erscheint, wenn Drucker eingebunden werden.
Gruß,
Thomas
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators (dword32 = 0).
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
Wahrscheinlich muss ich die GPO konfigurieren, sodass ein Prompt erscheint, wenn Drucker eingebunden werden.
Gruß,
Thomas
Zitat von @Thomas2:
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
Wie im von mir verlinkten Supportbeitrag von Microsoft gelistet bin ich nur froh, dass es diesen Registrykey nun gibt.
Ich habe bei Brother schon mal ein Ticket eröffnet ob man da Typ 4 Treiber erhalten kann...
Ansonsten habe ich mit dem Registrykey auch die Einschränkung zum passenden Printserver verteilt, steht auch im Artikel:
Zulassen, dass Benutzer nur eine Verbindung mit bestimmten Paketpunkt- und Druckservern herstellen, denen Sie vertrauen
Das schränkt es in meinen Augen auch noch mal ausreichend ein.
Zitat aus:
https://support.microsoft.com/en-gb/topic/kb5005652-manage-new-point-and ...
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
https://support.microsoft.com/en-gb/topic/kb5005652-manage-new-point-and ...
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
Zitat von @NetzwerkDude:
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."
Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt
Und?
Dann ist immernoch nur die Druckereinbindung von einem gewissen Servernamen erlaubt (sofern man das auf gewisse Printserver im Unternehmen beschränkt).
Ich sehe das Problem irgendwie nicht.
Scheinbar sieht es aber MS so, sonst würden Sie den Schritt nicht gehen - ggf. kann man den Server spoofern der in der beschränkung steht? Also quasi als exploit chain
Moin zusammen,
gestern Nacht habe ich unsere 5 Terminalserver und unseren Printserver geupdatet und zack heute Morgen sind die ersten Probleme bzgl. Drucker aufgetreten.
Ich habe als Workaround nun erstmal den Registry Eintrag gesetzt:
Natürlich hat sich Microsoft dabei was gedacht aber der produktive Betrieb muss nun erstmal weiter laufen...
Irgendwie geht es mir wie dem Benutzer "dertowa"... Ich sehe das Problem irgendwie ebenfalls nicht so richtig.
Unser Printserver (kein DC) hat "außer bei Updates" keine Internetverbindung. Außerdem sind alle Ports von extern nach intern zu.
Im kompletten Netzwerk hat niemand lokale Administratorrechte. SPAMs, Macrodateinen, Exe Dateien etc. werden durch unsere Virenscanner / Firewall von vornerein abgeblockt.
Mich würde mal interessieren wie diese 08/15 Ransomware Gruppen somit Zugriff bekommen könnten.
Das einzige wäre aus meiner Sicht ein infizierter USB Stick oder tatsächlich eine schädliche Mail die beim Benutzer ankommt.
Eure Einschätzung würde mich mal interessieren und wie ihr diese Druckerproblematik angeht.
gestern Nacht habe ich unsere 5 Terminalserver und unseren Printserver geupdatet und zack heute Morgen sind die ersten Probleme bzgl. Drucker aufgetreten.
Ich habe als Workaround nun erstmal den Registry Eintrag gesetzt:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f Natürlich hat sich Microsoft dabei was gedacht aber der produktive Betrieb muss nun erstmal weiter laufen...
Irgendwie geht es mir wie dem Benutzer "dertowa"... Ich sehe das Problem irgendwie ebenfalls nicht so richtig.
Unser Printserver (kein DC) hat "außer bei Updates" keine Internetverbindung. Außerdem sind alle Ports von extern nach intern zu.
Im kompletten Netzwerk hat niemand lokale Administratorrechte. SPAMs, Macrodateinen, Exe Dateien etc. werden durch unsere Virenscanner / Firewall von vornerein abgeblockt.
Mich würde mal interessieren wie diese 08/15 Ransomware Gruppen somit Zugriff bekommen könnten.
Das einzige wäre aus meiner Sicht ein infizierter USB Stick oder tatsächlich eine schädliche Mail die beim Benutzer ankommt.
Eure Einschätzung würde mich mal interessieren und wie ihr diese Druckerproblematik angeht.
Natürlich und Microsoft ist hier definitiv im Zugzwang, denn nach wie vor scheint die Lücke ja nicht 100% dicht.
Es läuft aber alles immer darauf hinaus (wenn ich das bisher richtig gesehen habe), dass eine Datei kompromittiert wird und dies über Druckertreiber erfolgen kann da diese ohne Adminrechte installiert werden.
Dadurch findet die Verteilung dann statt und läuft auf den Clients als Admin.
Dafür muss die kompromittierte "Software" aber erstmal auf den Printserver gelangen, oder einer angesteuert werden dürfen der so vorbereitet wurde und sich über das Internet ansteuern lässt.
Es mag sicherlich Szenarien geben, aber ich stehe eben auch auf der anderen Seite und dort bedeutet der Grundsatz für die Mitarbeiter:
- Heute hier morgen dort
Also keine festen Drucker wenn man so will, Universaltreiber waren schon mal angedacht bei dem ersten Druckerchaos 2019?
Die sind für unsere Modelle aber irgendwie so schlank, dass die Kollegen damit riesig Probleme hatten ihre Einstellungen zu treffen.
Ich lass mich gern überzeugen was das Risiko angeht, aber bislang sehe ich das noch nicht so recht.