Tags: Drucker, Sicherheit, Rechteverwaltung
Als Reaktion auf die schwerwiegende Sicherheitslücke im Print-Spooler von Windows (CVE-2021-1678) veröffentlichte Microsoft einen Patch, der im kumulativen Update für August enthalten ist. Dieser führte in vielen Firmen zu Problemen beim Drucken. Der Hersteller präsentierte dafür nun Behelfslösungen.
Das Update vom August schloss die Sicherheitslücke, indem die Installation von Druckertreibern über Point and Print nun standardmäßig administrative Rechte erfordert. Das Feature wurde damit für normale Benutzer de facto abgeschaltet.
Probleme beim Treiber-Update
Nutzen Unternehmen aber weiterhin Point and Print, dann werden Endanwender bei jedem Druck-Job mit der Aufforderung konfrontiert, ein Admin-Passwort einzugeben, falls auf dem Server ein neuerer Treiber vorhanden ist als auf dem PC. Das System versucht dann nämlich, diesen zu aktualisieren.
Microsoft schlägt für dieses Problem diverse provisorische Lösungen vor. Zwei von ihnen bestehen darin, die aktuellen Druckertreiber zentral zu verteilen, entweder über eine Client-Management-Lösung wie SCCM oder über die Integration in das Systemabbild, bevor man Windows auf die Rechner installiert. Dies bedeutet faktisch den Verzicht auf Point and Print.
Die Option, Anwendern den Zugang zu einem privilegierten Konto zu gewähren, um Druckertreiber zu installieren, dürfte in den meisten Organisationen nicht in Frage kommen. Damit bleibt nur noch die Variante, das Verhalten von Point and Print wieder in den Zustand wie vor dem August-Update zurückzusetzen.
Registry-Eintrag zum Ändern des Standardverhaltens
Dafür sieht Microsoft einen Eintrag in die Registry vor, und zwar unter
HKLM:\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
Er heißt RestrictDriverInstallationToAdministrators und erhält den Wert 0, um Benutzern zu erlauben, Druckertreiber einzurichten. Der Eintrag ist standardmäßig nicht vorhanden, das August-Update ändert die Berechtigungen unabhängig davon. Er lässt sich per Script folgendermaßen hinzufügen:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f
Dieser Eintrag in der Registry übersteuert alle Einstellungen zu Point and Print, die man über GPOs konfiguriert, darunter auch jene, wonach beim Installieren von Treibern eine Aufforderung zur Eingabe eines Admin-Passworts erscheinen soll.
Es liegt auf der Hand, dass mit dieser Maßnahme der Schutz gegen Exploits von CVE-2021-1678 entfällt. Microsoft empfiehlt diesen Schritt daher nur temporär, um Arbeitsunterbrechungen zu vermeiden und bis ein alternativer Mechanismus zur zentralen Installation von Druckertreibern zur Verfügung steht. Danach setzt man obigen Wert auf 1, um das aktuelle Standardverhalten wiederherzustellen.
Schwachstelle abschirmen
Während der Zeit, in der man normalen Benutzern erlaubt, Druckertreiber zu installieren, kann man flankierende Maßnahmen ergreifen, um das Ausnutzen der Schwachstelle zu erschweren. Dazu gehört die Beschränkung von Point und Print auf vertrauenswürdige Server.
Diesem Zweck dient die Gruppenrichtlinie Point-and-Print-Einschränkungen unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Drucker.
RPC-Authentifizierung ändern
Eine zusätzliche Absicherung der Schwachstelle besteht in der Erhöhung des RPC-Authentifizierungs-Levels über einen weiteren Registry-Eintrag. Es handelt sich um RpcAuthnLevelPrivacyEnabled mit dem Wert 1 unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
Dieser Mechanismus stammt aus dem Update vom 12. Januar dieses Jahres und wechselte am 14. September in die Enforcement Phase, so dass man seitdem auf den Registry-Key verzichten kann.
Microsoft betont jedoch, dass beide Behelfslösungen nicht gegen CVE-2021-34481 schützen. Dies lässt sich nur erreichen, indem man die Installation von Druckertreibern Admins vorbehält.
Weiteres Patch-Problem
Die beschriebene Änderung des RPC-Authentifizierungs-Levels kann selbst wieder Ursache für Druckprobleme sein. Nach dem Installieren der Updates vom 14. September auf dem Print-Server, die diesen Mechanismus erzwingen, kommt es vor, dass Clients nicht mehr drucken können.
Als Grund nennt Microsoft, dass auf diesen Workstations erst das genannte Update aus dem Januar installiert werden muss. Das überrascht insofern, als die Updates eigentlich kumulativ sein sollten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Hornetsecurity Plan 4 für 365 Total Protection Suite: Empfänger-Validierung, Phishing-Simulation, Permission Manager
- Security Baseline für Windows 11 2022: Neue empfohlene Einstellungen für Drucker, Defender, NetBIOS, LSASS, VBS
- Neue Gruppenrichtlinien in Windows 11: Einstellungen für Device-Management, DoH, Updates, PrintNightmare
- CVE-2021-36934 ("HiveNightmare"): Erhöhte Privilegien durch laxe Zugriffsrechte auf SAM-Datenbank
- CVE-2021-34481: Erneute Sicherheitslücke im Windows-Print-Spooler, Patch noch ausstehend
Weitere Links