PrintNightmare: Probleme durch August-Update beheben


    Tags: , ,

    Security AlertAls Reaktion auf die schwer­wiegende Sicher­heits­lücke im Print-Spooler von Windows (CVE-2021-1678) ver­öffent­lichte Microsoft einen Patch, der im kumulativen Update für August enthalten ist. Dieser führte in vielen Firmen zu Prob­lemen beim Drucken. Der Her­steller präsentierte dafür nun Behelfs­lösungen.

    Das Update vom August schloss die Sicherheits­lücke, indem die Installation von Drucker­treibern über Point and Print nun standard­mäßig administrative Rechte erfordert. Das Feature wurde damit für normale Benutzer de facto abgeschaltet.

    Probleme beim Treiber-Update

    Nutzen Unternehmen aber weiterhin Point and Print, dann werden Endanwender bei jedem Druck-Job mit der Aufforderung konfrontiert, ein Admin-Passwort einzugeben, falls auf dem Server ein neuerer Treiber vorhanden ist als auf dem PC. Das System versucht dann nämlich, diesen zu aktualisieren.

    Microsoft schlägt für dieses Problem diverse provisorische Lösungen vor. Zwei von ihnen bestehen darin, die aktuellen Drucker­treiber zentral zu verteilen, entweder über eine Client-Management-Lösung wie SCCM oder über die Integration in das Systemabbild, bevor man Windows auf die Rechner installiert. Dies bedeutet faktisch den Verzicht auf Point and Print.

    Die Option, Anwendern den Zugang zu einem privilegierten Konto zu gewähren, um Druckertreiber zu installieren, dürfte in den meisten Organi­sationen nicht in Frage kommen. Damit bleibt nur noch die Variante, das Verhalten von Point and Print wieder in den Zustand wie vor dem August-Update zurück­zusetzen.

    Registry-Eintrag zum Ändern des Standardverhaltens

    Dafür sieht Microsoft einen Eintrag in die Registry vor, und zwar unter

    HKLM:\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    Er heißt Restrict­Driver­Installation­To­Administrators und erhält den Wert 0, um Benutzern zu erlauben, Drucker­treiber einzurichten. Der Eintrag ist standard­mäßig nicht vorhanden, das August-Update ändert die Berechtigungen unabhängig davon. Er lässt sich per Script folgendermaßen hinzufügen:

    reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

    Dieser Eintrag in der Registry übersteuert alle Einstellungen zu Point and Print, die man über GPOs konfiguriert, darunter auch jene, wonach beim Installieren von Treibern eine Aufforderung zur Eingabe eines Admin-Passworts erscheinen soll.

    Der neue Registry-Schlüssel setzt Policies für Point und Print außer Kraft.

    Es liegt auf der Hand, dass mit dieser Maßnahme der Schutz gegen Exploits von CVE-2021-1678 entfällt. Microsoft empfiehlt diesen Schritt daher nur temporär, um Arbeits­unter­brechungen zu vermeiden und bis ein alternativer Mechanismus zur zentralen Installation von Drucker­treibern zur Verfügung steht. Danach setzt man obigen Wert auf 1, um das aktuelle Standard­verhalten wieder­her­zustellen.

    Schwachstelle abschirmen

    Während der Zeit, in der man normalen Benutzern erlaubt, Druckertreiber zu installieren, kann man flankierende Maßnahmen ergreifen, um das Ausnutzen der Schwachstelle zu erschweren. Dazu gehört die Beschränkung von Point und Print auf vertrauens­würdige Server.

    Diesem Zweck dient die Gruppen­richtlinie Point-and-Print-Einschränkungen unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Drucker.

    Point und Print per GPO auf vertrauenswürdige Server einschränken

    RPC-Authentifizierung ändern

    Eine zusätzliche Absicherung der Schwachstelle besteht in der Erhöhung des RPC-Authentifizierungs-Levels über einen weiteren Registry-Eintrag. Es handelt sich um Rpc­Authn­Level­Privacy­Enabled mit dem Wert 1 unter

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

    Dieser Mechanismus stammt aus dem Update vom 12. Januar dieses Jahres und wechselte am 14. September in die Enforcement Phase, so dass man seitdem auf den Registry-Key verzichten kann.

    Microsoft betont jedoch, dass beide Behelfslösungen nicht gegen CVE-2021-34481 schützen. Dies lässt sich nur erreichen, indem man die Installation von Drucker­treibern Admins vorbehält.

    Weiteres Patch-Problem

    Die beschriebene Änderung des RPC-Authentifizierungs-Levels kann selbst wieder Ursache für Druck­probleme sein. Nach dem Installieren der Updates vom 14. September auf dem Print-Server, die diesen Mechanismus erzwingen, kommt es vor, dass Clients nicht mehr drucken können.

    Als Grund nennt Microsoft, dass auf diesen Workstations erst das genannte Update aus dem Januar installiert werden muss. Das überrascht insofern, als die Updates eigentlich kumulativ sein sollten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links