Print Nightmare - Point and Print - Passende GPO

der-phil
Goto Top
Hallo!

Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.

Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden

Beides macht mir Probleme.
Aktuell habe ich:

Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste

Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen

Seht ihr das als ausreichend an?

Viele Grüße und Dank
Phil

Content-Key: 1049866247

Url: https://administrator.de/contentid/1049866247

Ausgedruckt am: 16.08.2022 um 22:08 Uhr

Mitglied: aqui
aqui 19.07.2021 um 14:34:18 Uhr
Goto Top
Mitglied: Der-Phil
Der-Phil 19.07.2021 um 14:49:38 Uhr
Goto Top
Diesen Artikel kenne ich, aber er ist alt und überholt und wurde VOR dem MS-Patch KB5004945 veröffentlicht.

Jetzt gibt es für mich unklare Aussagen:

https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spoole ...
zu
https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforsc ...

--> Deswegen die sehr konkrete Frage: Ist es ausreichend die Liste der Server einzuschränken?
Mitglied: Coreknabe
Coreknabe 20.07.2021 um 10:12:42 Uhr
Goto Top
Mitglied: clSchak
clSchak 20.07.2021 um 11:35:04 Uhr
Goto Top
Spricht eigentlich grundsätzlich etwas gegen Linux-Printserver bzw. hat man dadurch signifikante Einschränkungen - außer das man die Drucker ggf. nicht im AD veröffentlichen kann?
Mitglied: Coreknabe
Coreknabe 20.07.2021 um 11:42:35 Uhr
Goto Top
Hm, mir würden da am ehesten Treibergründe einfallen...
Mitglied: liquidbase
liquidbase 21.07.2021 um 13:22:55 Uhr
Goto Top
Zitat von @clSchak:

außer das man die Drucker ggf. nicht im AD veröffentlichen kann?
Auch mit einem Linuxbasierten Printserver kann man das machen wenn man diesen entsprechend einbindet über samba4. Eher wird dir das hier auf die Füße fallen

Zitat von @Coreknabe:

Hm, mir würden da am ehesten Treibergründe einfallen...
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
Mitglied: Drohnald
Drohnald 21.07.2021 um 13:43:33 Uhr
Goto Top
Für die aktuelle Lücke hilft das alles nichts.
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.

Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.

2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken