7
Print Nightmare - Point and Print - Passende GPO
Hallo!
Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.
Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden
Beides macht mir Probleme.
Aktuell habe ich:
Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste
Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen
Seht ihr das als ausreichend an?
Viele Grüße und Dank
Phil
Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.
Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden
Beides macht mir Probleme.
Aktuell habe ich:
Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste
Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen
Seht ihr das als ausreichend an?
Viele Grüße und Dank
Phil
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1049866247
Url: https://administrator.de/contentid/1049866247
Ausgedruckt am: 04.12.2024 um 18:12 Uhr
7 Kommentare
Neuester Kommentar
Its all on the web...
https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Lue ...
https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Lue ...
Diesen Artikel kenne ich, aber er ist alt und überholt und wurde VOR dem MS-Patch KB5004945 veröffentlicht.
Jetzt gibt es für mich unklare Aussagen:
https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spoole ...
zu
https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforsc ...
--> Deswegen die sehr konkrete Frage: Ist es ausreichend die Liste der Server einzuschränken?
Jetzt gibt es für mich unklare Aussagen:
https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spoole ...
zu
https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforsc ...
--> Deswegen die sehr konkrete Frage: Ist es ausreichend die Liste der Server einzuschränken?
Moin,
also momentan kannst Du scheinbar nur die bekannten Maßnahmen umsetzen und zusätzlich Deinen Rosenkranz bearbeiten.
https://www.security-insider.de/der-printnightmare-geht-weiter-a-1039816 ...
https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print- ...
https://www.csoc.de/microsoft-kritische-schwachstelle-in-druckerspooler/
Gruß
also momentan kannst Du scheinbar nur die bekannten Maßnahmen umsetzen und zusätzlich Deinen Rosenkranz bearbeiten.
https://www.security-insider.de/der-printnightmare-geht-weiter-a-1039816 ...
https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print- ...
https://www.csoc.de/microsoft-kritische-schwachstelle-in-druckerspooler/
Gruß
1
Spricht eigentlich grundsätzlich etwas gegen Linux-Printserver bzw. hat man dadurch signifikante Einschränkungen - außer das man die Drucker ggf. nicht im AD veröffentlichen kann?
Hm, mir würden da am ehesten Treibergründe einfallen...
Auch mit einem Linuxbasierten Printserver kann man das machen wenn man diesen entsprechend einbindet über samba4. Eher wird dir das hier auf die Füße fallen
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
Für die aktuelle Lücke hilft das alles nichts.
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.
Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.
2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.
Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.
2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken
