Sep 07, 2022

3857

Printnightmare - Thinknightmare

Moin,

folgendes Problem: Nachdem wir unsere Printserver nach dieser Anleitung gegen Printnightmare geschützt haben, bekomme ich jetzt keine Netzwerkdrucker mehr installiert:
https://www.truesec.com/hub/blog/fix-for-printnightmare-cve-2021-1675-ex ...

Bis vor kurzem (vor den Juli-Updates, bin mir aber nicht sicher) klappte es auch noch, dass wir wieder Netzwerkdrucker installieren konnten, sofern wir vorher wieder die Berechtigungen für den Systemaccount gesetzt hatten:

$Path = "C:\Windows\System32\spool\drivers"  
$Acl = (Get-Item $Path).GetAccessControl('Access')  
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")  
$Acl.RemoveAccessRule($Ar)
Set-Acl $Path $Acl

Jetzt müssen wir wieder Netzwerkdrucker installieren, starten das obige Skript, die Drucker lassen sich aber trotzdem nicht installieren. Grundsätzlich installieren wir die per GPO pro Computer, jetzt haben wir den folgenden Eintrag an einem betroffenen Rechner im Eventlog:

Protokollname: Microsoft-Windows-PrintService/Admin
Quelle:        Microsoft-Windows-PrintService
Datum:         07.09.2022 16:23:32
Ereignis-ID:   513
Aufgabenkategorie:Druckspoolerbefehl(e) wird (werden) weitergeleitet
Ebene:         Fehler
Schlüsselwörter:Router,Klassisches Spoolerereignis
Benutzer:      DOMAENE\USER
Computer:      PC333.DOMAENE
Beschreibung:
Die Gruppenrichtlinie konnte die Pro-Computerverbindung "\\Printserver\A3-Drucker" nicht hinzufügen. Fehlercode: 0xBCB. Dieses Problem kann auftreten, wenn der Name der Druckerverbindung falsch ist oder die Druckwarteschlange keine Verbindung mit dem Druckerserver herstellen kann.  
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">  
  <System>
    <Provider Name="Microsoft-Windows-PrintService" Guid="{747ef6fd-e535-4d16-b510-42c90f6873a1}" />  
    <EventID>513</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>39</Task>
    <Opcode>12</Opcode>
    <Keywords>0x8000000000002800</Keywords>
    <TimeCreated SystemTime="2022-09-07T14:23:32.2499412Z" />  
    <EventRecordID>75</EventRecordID>
    <Correlation />
    <Execution ProcessID="3376" ThreadID="1452" />  
    <Channel>Microsoft-Windows-PrintService/Admin</Channel>
    <Computer>PC333.DOMAENE</Computer>
    <Security UserID="S-1-5-21-424870227-1929938659-3546236112-500" />  
  </System>
  <UserData>
    <RouterError xmlns="http://manifests.microsoft.com/win/2005/08/windows/printing/spooler/core/events">  
      <Name>\\Printserver\A3-Drucker</Name>
      <Error>0xbcb</Error>
    </RouterError>
  </UserData>
</Event>

Gegenprobe: Ich versuche, den Drucker \\Printserver\A3-Drucker manuell zu installieren, endet mit "Fehler".

Hm, das hat doch bestimmt mit den Berechtigungen des Ordners C:\Windows\System32\spool\drivers zu tun... Ich kopiere den benötigten PCL5-Ordner lokal auf den Rechner und installiere dann den benötigten Drucker. Klappt. Entferne den Drucker wieder und binde denselben Drucker als Netzwerkdrucker ein. Bestens.

Ich schaue mir die Berechtigungen des Ordners C:\Windows\System32\spool\drivers an, tatsächlich sind nicht alle Dateien für den Systemaccount greifbar. Versuche ich, Lese- und Schreibberechtigungen auf den Ordner zu geben, erhalte ich diverse Fehlermeldungen dieser Art:

Fehler beim Aufzählen der Objekte im Container. Zugriff verweigert.

Die Meldung bezieht sich auf C:\Windows\System32\spool\drivers\color und diverse Dateien in Unterordnern. Merkwürdig dabei: Es wird z.B. eine Datei PCL5ERES.DLL.MUI erwähnt, im entsprechenden Ordner finde ich aber nur die Datei PCL5ERES.DLL?

Da es bei den Juli-Updates weitere Patches zum Thema gab, hat MS vielleicht etwas entscheidendes geändert?
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22022
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30206
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30226

Ideen?

Gruß

Please also mark the comments that contributed to the solution of the article

Content-Key: 3867537178

Url: https://administrator.de/contentid/3867537178

Printed on: April 27, 2024 at 09:04 o'clock

5 Comments

Latest comment

Hallo,

folgendes Problem: Nachdem wir unsere Printserver nach dieser Anleitung gegen Printnightmare geschützt haben,
bekomme ich jetzt keine Netzwerkdrucker mehr installiert:

Und wenn man das nun vor der Installation wieder rückgängig (mittels eines "Allow Scripts") macht
funktioniert es dann wieder?

Bis vor kurzem (vor den Juli-Updates, bin mir aber nicht sicher) klappte es auch noch, dass wir wieder
Netzwerkdrucker installieren konnten, sofern wir vorher wieder die Berechtigungen für den
Systemaccount gesetzt hatten:

Gab es denn mit dem Update einen Patch dagegen und Euer Script läuft nun ins leere oder ist sogar konterproduktiv.

Dobby

Hi Dobby,

Und wenn man das nun vor der Installation wieder rückgängig (mittels eines "Allow Scripts") macht
funktioniert es dann wieder?

Klar, das wäre ja mit dem Konzept Grundbedingung (dem Systemaccount wird der Zugriff auf den Ordner verweigert). Vor den Juli-Updates (wie gesagt, bin nicht sicher, ob es davor war) funktionierte es wieder, wenn man per Script den Zugriff erlaubt. Jetzt nicht mehr.

Gab es denn mit dem Update einen Patch dagegen und Euer Script läuft nun ins leere oder ist sogar konterproduktiv.

Ja, äh, genau das ist ja die Frage, keine Ahnung. Das wäre aber mein einziger Ansatz, mich irritiert, dass ich die Berechtigungen nicht komplett für den Systemaccount vergeben kann. Und wo sind die .DLL.MUI-Dateien, deren Berechtigungen ich nicht ändern kann und sie im Explorer auch gar nicht erst sehe?

Gruß

Moin,

jetzt habe ich mal alle Berechtigungen für den Systemaccount gesetzt und bekomme auf dem Printserver nur diese Meldung beim Start des Servers:

Protokollname: Microsoft-Windows-PrintService/Admin
Quelle:        Microsoft-Windows-PrintService
Datum:         08.09.2022 15:48:54
Ereignis-ID:   315
Aufgabenkategorie:Ein Drucker wird freigegeben
Ebene:         Fehler
Schlüsselwörter:Klassisches Spoolerereignis,Drucker
Benutzer:      SYSTEM
Computer:      Printserver.DOMAENE
Beschreibung:
Der Druckspooler konnte den Drucker A3-Drucker nicht unter dem Namen A3 freigeben. Fehler: 2114. Der Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">  
  <System>
    <Provider Name="Microsoft-Windows-PrintService" Guid="{747EF6FD-E535-4D16-B510-42C90F6873A1}" />  
    <EventID>315</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>30</Task>
    <Opcode>12</Opcode>
    <Keywords>0x8000000000000820</Keywords>
    <TimeCreated SystemTime="2022-09-08T13:48:54.898369600Z" />  
    <EventRecordID>165827</EventRecordID>
    <Correlation />
    <Execution ProcessID="1652" ThreadID="2984" />  
    <Channel>Microsoft-Windows-PrintService/Admin</Channel>
    <Computer>Printserver.DOMAENE</Computer>
    <Security UserID="S-1-5-18" />  
  </System>
  <UserData>
    <ShareFailed xmlns="http://manifests.microsoft.com/win/2005/08/windows/printing/spooler/core/events">  
      <Param1>2114</Param1>
      <Param2>A3-Drucker</Param2>
      <Param3>A3</Param3>
    </ShareFailed>
  </UserData>
</Event>

Da diese Meldung immer nur nach dem Server-Reboot auftaucht, nehme ich an, dass die Meldung erscheint, weil das Netzwerk noch nicht komplett verfügbar ist. Verbinden kann ich die Netzwerkdrucker immer noch nicht, bei Verbindungsversuch mit GPO kommt die obige Meldung. Versuche ich es auf manuellem Wege, bekomme ich die Nachricht, dass die Installation aktuell nicht möglich ist und ich mich an den Netzwerkadmin wenden soll oder die Installation wird mit "Fehlerhaft" abgebrochen.

Auf dem Umweg über die Freigabe im Windows Explorer \\printserver\drucker kann ich den Drucker trotzdem installieren, auch funktionieren alle bereits installierten Drucker problemlos.
Wenn ich aber einen Gegentest mache, sehe ich, dass es eigentlich nicht funktionieren dürfte:

net view \\printserver\drucker
Systemfehler 53 aufgetreten.

Der Netzwerkpfad wurde nicht gefunden.

Mit meinem Workaround kann ich jedenfalls Drucker installieren, da der Printserver auf 2012R2 läuft und im nächsten Jahr ohnehin abgelöst werden muss, betrachte ich das mal als "Lösung". Ich vermute mal, dass die Juli-Updates meine ursprüngliche Lösung zerbatzt haben, finde aber dafür keine Belege im Netz. Egal.

Gruß und ein schönes Wochenende an alle!

Hallo,

die Fehlermeldung in folgender Zeile;

Der Druckspooler konnte den Drucker A3-Drucker nicht unter dem Namen A3 freigeben. Fehler: 2114. Der Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.

Kann damit behoben werden, dass der Dienst neu gestartet werden muss oder überhaupt nicht läuft und erst einmal
gestartet werden muss.

Der Fehler 2114 besagt, dass auf dem Rechner kein Serverdienst gestartet wurde. Verwenden Sie "DIENSTE" in der Systemsteuerung, um den Server-Dienst zu starten. Nachdem der Server gestartet wurde, sollte alles funktionieren.

Dobby

Zitat von @108012:

Hallo,

die Fehlermeldung in folgender Zeile;

Der Druckspooler konnte den Drucker A3-Drucker nicht unter dem Namen A3 freigeben. Fehler: 2114. Der Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.

Kann damit behoben werden, dass der Dienst neu gestartet werden muss oder überhaupt nicht läuft und erst einmal
gestartet werden muss.

Nö, das ist egal, weil der Dienst gestartet wird, aber zu spät, das Eventlog kriegt das zu dem Zeitpunkt nur noch nicht mit. Kann ignoriert werden und ist eher kosmetischer Natur.
https://social.technet.microsoft.com/Forums/ie/en-US/18a2a50b-c4d2-4986- ...

Der Fehler 2114 besagt, dass auf dem Rechner kein Serverdienst gestartet wurde. Verwenden Sie "DIENSTE" in der Systemsteuerung, um den Server-Dienst zu starten. Nachdem der Server gestartet wurde, sollte alles funktionieren.

Nochmal nö

Ich habe das alles bereits mehrfach neu gestartet, bringt nix. Im Hintergrund funktioniert ja auch alles.

Gruß

German solved Question Windows Server Microsoft