Seit dem Microsoft Patch KB5005030 wird der User beim Mappen / Installieren von Druckern aufgefordert einen Account mit Admin Rechten anzugeben. Somit entfällt die komfortable Installationsmöglichkeit von Druckern und der Admin müsste bei jedem User den Drucker installieren.
Jedoch kann dies angepasst werden, ohne ein großes Sicherheitsrisiko für die Domäne und die damit verbundenen Clients.
Für diese Konfiguration benötigt man 3 Gruppenrichtlinien. Zwei von diesen sind schon seit langer Zeit vorhanden.
1.) Richtlinie
Computerkonfiguration \ Administrative Vorlagen\Drucker
"Point und Print Einschränkungen"
FQDN aller Printserver Semikolon separiert eintragen
2.) Richtlinie
Computerkonfiguration \ Administrative Vorlagen\Drucker
"Point-and-Print für Pakete - Genehmigte Server"
FQDN der Server als Liste eintragen
3.) Richtlinie, NEU mit 22H2 ADMx jetzt als "echte" Policy verfügbar! Sie ersetzt auf Dauer .\MS Security Guide\Limit print driver installation to Administrators"
Computerkonfiguration \ Administrative Vorlagen\ Drucker \
"Beschränkt die Installation von Druckertreibern auf Administratoren" = DEAKTIVIERT
Alternative für 3.) ist das Setzen eines Registry Keys über eine Gruppenrichtlinie. Um wieder die Installation von Druckern für User wieder zu erlauben, muss der Wert (Value) auf 0 gesetzt werden.:
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint |
| Value Name | RestrictDriverInstallationToAdministrators |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Beurteilung der Sicherheit
Bislang konnte ein Benutzer immer einen freigegebenen Drucker für sich verbinden und nutzen. Das sollte er auch weiterhin können, da die einfachste Verteilungsmethode für Drucker immer noch der Weg ist, das der User das selber macht.
Was müsste angepasst werden, wenn aus Sicherheitsbedenken der Wert RestrictDriverInstallationToAdministrators nicht(!) auf 0 gesetzt wird?
- Der Benutzer müsste Mitglied der Gruppe der Lokalen Administratoren sein. Das ist ein NO GO. Das scheidet auf jeden Fall aus.
- Über ein Deployment Werkzeug alle notwendigen Druckertreiber auf den Systemen vorsorglich bereitstellen oder auf Zuruf installieren. Zur Not sogar per Monitor Aufschaltung (TeamViewer oder vergleichbar) in dem Moment der Installation die Credentials eingeben, welche benötigt werden.
Punkt 1. scheidet kategorisch aus. Punkt 2 ist ein Verwaltungsakt der Möglich ist, aber realitätsfern ist.
Die aus meiner Sicht beste Alternative bleiben die 3 Richtlinien in Kombination.
- - der Benutzer ist weiterhin Benutzer
- - er kann selber Drucker verbinden, die er benötigt, mein Administrativer Aufwand ist gering
- - Ich als Admin definieren aber die vertrauenswürdigen Drucker, mit denen es erlaubt und möglich ist die Treiberinstallation auszuführen. Das schafft die Sicherheit.
Jetzt müsste der Angreifer schon den kompletten Printserver übernehmen. Sollte ihm das gelingen, dann ist er schon so tief im System, das die Druckertreiber das kleinstes Problem darstellen. Er hat sich schon längst im Netzwerk ausgebreitet und wahrscheinlich gehören ihm die Clients schon seit langem.
