7
Print Nightmare - Point and Print - Passende GPO
Hallo!
Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.
Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden
Beides macht mir Probleme.
Aktuell habe ich:
Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste
Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen
Seht ihr das als ausreichend an?
Viele Grüße und Dank
Phil
Ich bin leider weiterhin unsicher, was die notwendigen GPOs angeht, um den Druckerspooler wieder sicher zu bekommen.
Die aktuellen Updates sind installiert.
Heise empfiehlt:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden
Beides macht mir Probleme.
Aktuell habe ich:
Point-and-Print für Pakete - Genehmigte Server: XXX,YYY
--> Nur meine eigenen Printserver sind hier in der Liste
Point-and-Print-Einschränkungen:
- Benutzer können Point-and-Print nur mit folgenden Server verwenden: XXX,YYY
--> Warnung oder Anhebungsaufforderung nicht anzeigen
Seht ihr das als ausreichend an?
Viele Grüße und Dank
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1049866247
Url: https://administrator.de/contentid/1049866247
Printed on: July 27, 2024 at 03:07 o'clock
7 Comments
Latest comment
Its all on the web...
https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Lue ...
https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Lue ...
Diesen Artikel kenne ich, aber er ist alt und überholt und wurde VOR dem MS-Patch KB5004945 veröffentlicht.
Jetzt gibt es für mich unklare Aussagen:
https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spoole ...
zu
https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforsc ...
--> Deswegen die sehr konkrete Frage: Ist es ausreichend die Liste der Server einzuschränken?
Jetzt gibt es für mich unklare Aussagen:
https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spoole ...
zu
https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforsc ...
--> Deswegen die sehr konkrete Frage: Ist es ausreichend die Liste der Server einzuschränken?
Moin,
also momentan kannst Du scheinbar nur die bekannten Maßnahmen umsetzen und zusätzlich Deinen Rosenkranz bearbeiten.
https://www.security-insider.de/der-printnightmare-geht-weiter-a-1039816 ...
https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print- ...
https://www.csoc.de/microsoft-kritische-schwachstelle-in-druckerspooler/
Gruß
also momentan kannst Du scheinbar nur die bekannten Maßnahmen umsetzen und zusätzlich Deinen Rosenkranz bearbeiten.
https://www.security-insider.de/der-printnightmare-geht-weiter-a-1039816 ...
https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print- ...
https://www.csoc.de/microsoft-kritische-schwachstelle-in-druckerspooler/
Gruß
1
Spricht eigentlich grundsätzlich etwas gegen Linux-Printserver bzw. hat man dadurch signifikante Einschränkungen - außer das man die Drucker ggf. nicht im AD veröffentlichen kann?
Hm, mir würden da am ehesten Treibergründe einfallen...
Auch mit einem Linuxbasierten Printserver kann man das machen wenn man diesen entsprechend einbindet über samba4. Eher wird dir das hier auf die Füße fallen
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
da nicht jeder Hersteller auch an Linux-Treiber denkt und im Kernel auch nicht alle enthalten sind. Man kann sich dann zwar mit Generic Treiber behelfen (PCL6, PS), womit man aber eventuell wichtige oder dringend benötigte Druckerfunktionen verliert.
Für die aktuelle Lücke hilft das alles nichts.
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.
Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.
2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken
Sobald der Spoolerservice läuft, ist man verwundbar. Ohne Spoolerservice sind Drucker in Windows aber noch nicht einmal sichtbar.
Also gibt's nur die Risikoabwägung: Drucken und dafür lokale Computerübernahme riskieren (mit allen Folgen), oder eben spooler Service deaktivieren und erstmal nicht drucken.
2 Alternativen:
PDFs erstellen und die mit USB Stick
a) direkt am Drucker drucken, wenn der das kann
b) einen dedizierten Druckercomputer aufstellen, der keine Netzwerkanbindung hat und dort den Stick anstecken und drucken