PrintNightmare: Probleme durch August-Update beheben

Nutzen Unternehmen aber weiterhin Point and Print, dann werden Endanwender bei jedem Druck-Job mit der Aufforderung konfrontiert, ein Admin-Passwort einzugeben, falls auf dem Server ein neuerer Treiber vorhanden ist als auf dem PC. Das System versucht dann nämlich, diesen zu aktualisieren.

Microsoft schlägt für dieses Problem diverse provisorische Lösungen vor. Zwei von ihnen bestehen darin, die aktuellen Drucker­treiber zentral zu verteilen, entweder über eine Client-Management-Lösung wie SCCM oder über die Integration in das Systemabbild, bevor man Windows auf die Rechner installiert. Dies bedeutet faktisch den Verzicht auf Point and Print.

Die Option, Anwendern den Zugang zu einem privilegierten Konto zu gewähren, um Druckertreiber zu installieren, dürfte in den meisten Organi­sationen nicht in Frage kommen. Damit bleibt nur noch die Variante, das Verhalten von Point and Print wieder in den Zustand wie vor dem August-Update zurück­zusetzen.

Registry-Eintrag zum Ändern des Standardverhaltens

Dafür sieht Microsoft einen Eintrag in die Registry vor, und zwar unter

HKLM:\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Er heißt Restrict­Driver­Installation­To­Administrators und erhält den Wert 0, um Benutzern zu erlauben, Drucker­treiber einzurichten. Der Eintrag ist standard­mäßig nicht vorhanden, das August-Update ändert die Berechtigungen unabhängig davon. Er lässt sich per Script folgendermaßen hinzufügen:

reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Dieser Eintrag in der Registry übersteuert alle Einstellungen zu Point and Print, die man über GPOs konfiguriert, darunter auch jene, wonach beim Installieren von Treibern eine Aufforderung zur Eingabe eines Admin-Passworts erscheinen soll.

Es liegt auf der Hand, dass mit dieser Maßnahme der Schutz gegen Exploits von CVE-2021-1678 entfällt. Microsoft empfiehlt diesen Schritt daher nur temporär, um Arbeits­unter­brechungen zu vermeiden und bis ein alternativer Mechanismus zur zentralen Installation von Drucker­treibern zur Verfügung steht. Danach setzt man obigen Wert auf 1, um das aktuelle Standard­verhalten wieder­her­zustellen.

Schwachstelle abschirmen

Während der Zeit, in der man normalen Benutzern erlaubt, Druckertreiber zu installieren, kann man flankierende Maßnahmen ergreifen, um das Ausnutzen der Schwachstelle zu erschweren. Dazu gehört die Beschränkung von Point und Print auf vertrauens­würdige Server.

Diesem Zweck dient die Gruppen­richtlinie Point-and-Print-Einschränkungen unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Drucker.

RPC-Authentifizierung ändern

Eine zusätzliche Absicherung der Schwachstelle besteht in der Erhöhung des RPC-Authentifizierungs-Levels über einen weiteren Registry-Eintrag. Es handelt sich um Rpc­Authn­Level­Privacy­Enabled mit dem Wert 1 unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

Dieser Mechanismus stammt aus dem Update vom 12. Januar dieses Jahres und wechselte am 14. September in die Enforcement Phase, so dass man seitdem auf den Registry-Key verzichten kann.

Microsoft betont jedoch, dass beide Behelfslösungen nicht gegen CVE-2021-34481 schützen. Dies lässt sich nur erreichen, indem man die Installation von Drucker­treibern Admins vorbehält.

Weiteres Patch-Problem

Die beschriebene Änderung des RPC-Authentifizierungs-Levels kann selbst wieder Ursache für Druck­probleme sein. Nach dem Installieren der Updates vom 14. September auf dem Print-Server, die diesen Mechanismus erzwingen, kommt es vor, dass Clients nicht mehr drucken können.

Als Grund nennt Microsoft, dass auf diesen Workstations erst das genannte Update aus dem Januar installiert werden muss. Das überrascht insofern, als die Updates eigentlich kumulativ sein sollten.