der-phil
Goto Top

Print Nightmare - Point and Print - Passende GPO

Hallo!

Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.

Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden

Beides macht mir Probleme.
Aktuell habe ich:

Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste

Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen

Seht ihr das als ausreichend an?

Viele Grüße und Dank
Phil

Content-ID: 1049866247

Url: https://administrator.de/contentid/1049866247

Printed on: October 16, 2024 at 00:10 o'clock

aqui
aqui Jul 19, 2021 at 12:34:18 (UTC)
Goto Top
Der-Phil
Der-Phil Jul 19, 2021 at 12:49:38 (UTC)
Goto Top
Diesen Artikel kenne ich, aber er ist alt und überholt und wurde VOR dem MS-Patch KB5004945 veröffentlicht.

Jetzt gibt es für mich unklare Aussagen:

https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spoole ...
zu
https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforsc ...

--> Deswegen die sehr konkrete Frage: Ist es ausreichend die Liste der Server einzuschränken?
Coreknabe
Coreknabe Jul 20, 2021 at 08:12:42 (UTC)
Goto Top
clSchak
clSchak Jul 20, 2021 at 09:35:04 (UTC)
Goto Top
Spricht eigentlich grundsätzlich etwas gegen Linux-Printserver bzw. hat man dadurch signifikante Einschränkungen - außer das man die Drucker ggf. nicht im AD veröffentlichen kann?
Coreknabe
Coreknabe Jul 20, 2021 at 09:42:35 (UTC)
Goto Top
Hm, mir würden da am ehesten Treibergründe einfallen...
liquidbase
liquidbase Jul 21, 2021 at 11:22:55 (UTC)
Goto Top
Zitat von @clSchak:

außer das man die Drucker ggf. nicht im AD veröffentlichen kann?
Auch mit einem Linuxbasierten Printserver kann man das machen wenn man diesen entsprechend einbindet über samba4. Eher wird dir das hier auf die Füße fallen

Zitat von @Coreknabe:

Hm, mir würden da am ehesten Treibergründe einfallen...
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
Drohnald
Drohnald Jul 21, 2021 at 11:43:33 (UTC)
Goto Top
Für die aktuelle Lücke hilft das alles nichts.
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.

Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.

2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken