Print Nightmare - Point and Print - Passende GPO
Hallo!
Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.
Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden
Beides macht mir Probleme.
Aktuell habe ich:
Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste
Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen
Seht ihr das als ausreichend an?
Viele Grüße und Dank
Phil
Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.
Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden
Beides macht mir Probleme.
Aktuell habe ich:
Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste
Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen
Seht ihr das als ausreichend an?
Viele Grüße und Dank
Phil
Please also mark the comments that contributed to the solution of the article
Content-ID: 1049866247
Url: https://administrator.de/contentid/1049866247
Printed on: October 16, 2024 at 00:10 o'clock
7 Comments
Latest comment
Its all on the web...
https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Lue ...
https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Lue ...
Moin,
also momentan kannst Du scheinbar nur die bekannten Maßnahmen umsetzen und zusätzlich Deinen Rosenkranz bearbeiten.
https://www.security-insider.de/der-printnightmare-geht-weiter-a-1039816 ...
https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print- ...
https://www.csoc.de/microsoft-kritische-schwachstelle-in-druckerspooler/
Gruß
also momentan kannst Du scheinbar nur die bekannten Maßnahmen umsetzen und zusätzlich Deinen Rosenkranz bearbeiten.
https://www.security-insider.de/der-printnightmare-geht-weiter-a-1039816 ...
https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print- ...
https://www.csoc.de/microsoft-kritische-schwachstelle-in-druckerspooler/
Gruß
Auch mit einem Linuxbasierten Printserver kann man das machen wenn man diesen entsprechend einbindet über samba4. Eher wird dir das hier auf die Füße fallen
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
Für die aktuelle Lücke hilft das alles nichts.
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.
Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.
2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.
Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.
2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken