Zum Juli-Patchday von Microsoft in 2016 wurde den durch die folgenden drei Updates für die jeweilige Windows-Version „man-in-the-middle“-Attacken auf den Printspooler unterbunden, welche im CVE-2016-3238 definiert sind:
- KB3170455
Windows Vista / Windows Server 2008
Windows 7 / Windows Server 2008 R2
Windows 8.1 / Windows Server 2012 - KB3163912
Windows 10 - KB3172985
Windows 10 Version 1511
In dem zu den Updates zugehörigem Artikel ist bereits direkt einen Abschnitt „Mitigating Factors“ (Schadensbegrenzende Faktoren). In diesem Abschnitt wird auf die „Point and Print Restrictions“ eingegangen:
Depending on the operating system you are running and its configuration, you may be able to change Point and Print Restrictions policies to enable users to print only to specific print servers that you trust. (Je nach ausgeführtem Betriebssystem und Konfiguration können Sie möglicherweise Point-and-Print-Einschränkungen ändern, um Benutzern das Drucken nur auf bestimmten Druckerservern zu ermöglichen.)
Auf dieses Thema bin ich gestoßen, als ein Kollege auf mich zukam und fragte, warum das System denn keine Drucker mehr ohne administrative Berechtigungen einrichten können. Per „Group Policy Preferences“ (GPP) gelang es uns nicht mehr einen neuen Drucker zu verbinden, den der Computer noch nicht kannte. Als wir den Verbindungsaufbau manuell durchführen wollten bekamen wir ein Warnungsfenster mit der Frage: „Vertrauen Sie diesem Drucker?“ (Do you trust this printer?). Bei der Fehleranalyse traf ich auf den Artikel zum Microsoft-Update, welches den Umstand der Meldung beschreibt.
Entsprechend des Zitates kann es einen Mehraufwand für IT-Administratoren bedeuten, wenn das Update eingespielt wurde und die Anwender sich eigene Druckfreigaben erstellt haben, da diese in großer Wahrscheinlichkeit nicht über eine entsprechende Freigabe zum Drucken über „Point an Print“ verfügen. Somit müssen alle Printserver eingetragen werden, um die Funktionalitäten wieder herzustellen.
Weitere Informationen:
MS16-087 in Englisch
MS16-087 in Deutsch
P.S. Die Übersetzungen in die Sprache Deutsch stammen von den maschninell übersetzten Microsoft-Webseiten zu dem Thema.
Vielen Dank für den Beitrag!
Wir waren schon am verzweifeln, da wir nicht wussten, warrum plötzlich eine Admin-Abfrage bei manchen Druckern erschienen ist. Die haben uns sehr geholfen.
Gruß
Jannik
Hallo, wenn ich das genau lese, scheint es nicht mehr möglich zu sein, die Warnung webzubekommen, wenn es ein nicht paket-fähiger oder gar ein unsignierter Treiber ist. Einziger Ausweg. Vorab den Treiber installieren:
https://support.microsoft.com/de-de/kb/3170005
Hallo, ich habe das Problem anders gelöst. Es erscheint ja die Abfrage, „Vertrauen Sie diesem Drucker?“. Diese Abfrage kann man mit dem Häkchen bei „Diese Meldung nicht mehr anzeigen“ für weitere Druckerinstallationen unterdrücken. Genau dieses Attribut wird als Registry-Key im User-Profil wie folgt eingetragen:
Registry-Key
—————
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Printers\LegacyPointAndPrint]
„DisableLegacyPointAndPrintAdminSecurityWarning“=dword:00000001
—————
Da wir alle Druckertreiber über ein SCCM-Paket installieren, hab ich vor dem eigentlichen Installations-Script einen weiteren Schritt eingebaut, welcher dem User, in diesem Fall dem „local System“ den oben aufgeführten Registry-Key einträgt. Danach läuft die Installation erfolgreich durch.