Lian

vor 17 Minuten schrieb NorbertFe:

Nö, das ist ja die "alte" Lücke. Die neue hat noch keinen Workaround/Policy. Deswegen wärs vermutlich sinnvoller, die CVE in getrennten Threads zu beschreiben. ;)

Dann lies den verlinkten Artikel von Günter, wenn Du ihm nicht glaubst

Gleicher Inhalt...

https://kb.cert.org/vuls/id/131152

Ja: https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print-erlaubt-die-installation-beliebiger-dateien/

Zitat

Konfigurieren der PackagePointAndPrintServerList

In Microsoft Windows gibt es eine Gruppenrichtlinie namens „Package Point and Print – Approved servers“, die Einträge in den Registrierungswerten:

HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\PackagePointAndPrintServerList

und

HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\ListofServers

verwenden. Über diese Richtlinie kann ein Administrator einschränken, welche Server von nicht-administrativen Benutzern verwendet werden dürfen, um Drucker über Point and Print zu installieren. Die Empfehlung lautet, diese Richtlinie zu konfigurieren, um die Installation von Druckern über beliebige Server zu verhindern.

https://bit.ly/3imF9oK 

Hallo,

in 14 Jahren hat Blackshadow hoffentlich eine Lösung gefunden zu seinem Problem, daher trenne ich den Beitrag ab mit Verweis zum usprünglichen.

Zu den Quereffekten der Patches zu CVE-2021-34527 (PrintNightmare) kann ich Günter Borns Beiträge empfehlen:

https://www.borncity.com/blog/?s=nightmare

vor 1 Minute schrieb v-rtc:

Ja geht es. :) 

OK.

Was spricht gegen die Genehmigung? Der Reboot?

Geht es um die Drucker-Updates?

Falls nicht, bitte neuen Thread - Danke!

Drucken wird sowieso überbewertet 

vor einer Stunde schrieb NorbertFe:

Aber das ist im Zweifel ja nur die Holzhammermethode für "wenige" Printserver, bei denen man im Zweifel "manuell" für das Treiberupdate sorgen kann. Wenn man das jetzt bei 1000 PCs ausrollen würde (ginge ja problemlos per GPO), dann hätte man spätestens dann ein Problem, wenn ein neues Druckermodell mit neuem Treiber kommt und steht da. :) So zumindest mein aktuelles Verständnis.

Sehe ich auch so

Oder z.B. Terminal Server mit definiertem Treiberstand.

Und/Oder die Rechte auf das Spooler modifizieren im Verzeichnis (C:\Windows\System32\spool\drivers).

Es hört leider nicht auf nach dem Patch:

https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/

Danke Evgenij für Dein Angebot

Ich kann das nur begrüßen und erweitern um ein "Board-Angebot". Wir haben als Community im Rahmen unserer div. Partnerschaften bereits mehrere MVPs erfolgreich nominiert, der Weg steht uns weiterhin offen für engagierte, zur Zeit aktive Kandidaten mit passender Kategorie. Das gilt für alle Mitglieder, die uns positiv auffallen oder Interesse haben.

Beste Glückwünsche, ein paar bekannte Namen sind doch noch dabei - und das freut mich

Update:

https://blogs.windows.com/windows-insider/2021/06/28/update-on-windows-11-minimum-system-requirements/

Seit gestern ist die Katze aus dem Sacke wie man so sagt, hier noch Links dazu - damit der Beitrag nicht ohne Infos stehen bleibt

https://blogs.windows.com/windowsexperience/2021/06/24/introducing-windows-11/

https://www.heise.de/news/Windows-11-kommt-Microsoft-stellt-Windows-10-Nachfolger-vor-6117784.html

Hier nochmal zur Rekapitulation aller Werte:

1. Type 0 to re-enable all IPv6 components (Windows default setting).
2. Type 0xff to disable all IPv6 components except the IPv6 loopback interface. This value also configures Windows to prefer using IPv4 over IPv6 by changing entries in the prefix policy table. For more information, see Source and destination address selection.
3. Type 0x20 to prefer IPv4 over IPv6 by changing entries in the prefix policy table.
4. Type 0x10 to disable IPv6 on all nontunnel interfaces (both LAN and Point-to-Point Protocol [PPP] interfaces).
5. Type 0x01 to disable IPv6 on all tunnel interfaces. These include Intra-Site Automatic Tunnel Addressing Protocol (ISATAP), 6to4, and Teredo.
6. Type 0x11 to disable all IPv6 interfaces except for the IPv6 loopback interface.

Quelle: https://msunified.net/2016/05/25/how-to-set-ipv4-as-preferred-ip-on-windows-server-using-powershell/

Der Wert 0xFFFFFFFF ist eher falsch. Es müsste 0xFF statt 0xFFFFFFFF sein, da man sonst einen Boot-Delay provoziert:

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/a-5-second-boot-optimization-if-you-ve-disabled-ipv6-on-windows/ba-p/257498
Ein kleiner aber feiner Unterschied, siehe auch die Hintergründe und Screenshots dazu in dem Artikel.

Besser wäre 0x20 wie schon gesagt: Prefer IPv4 over IPv6.

Hallo,

zum Thema Logitech Unifying fällt mir das hier aus dem Jahr 2019 ein, ob das heute noch so ist, müsste man bei Logitech erfragen:
https://www.heise.de/security/meldung/Angreifbare-Logitech-Tastaturen-Antworten-auf-die-dringendsten-Fragen-4466921.html

hth

Ich kann hier nur aus Windows-Sicht auf meinen Beitrag weiter oben verweisen: Der Hersteller Microsoft sagt ganz klar, dass man IPv6 nicht "plump" deaktivieren soll.
Es wird etwas anderes empfohlen: Prefer IPv4 over IPv6 statt Disabled.

Was ist denn bei DisabledComponents gesetzt?

vor 2 Minuten schrieb v-rtc:

Haben es auch per Registry deaktiviert. 

Vollständig deaktiviert oder mittels "prefer IPv4 over IPv6 in prefix policies" konfiguriert?

Hallo,

die Aussage von Microsoft dazu ist hier recht klar:

https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/configure-ipv6-in-windows

Zitat

Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.

 

We recommend using Prefer IPv4 over IPv6 in prefix policies instead of disabling IPV6.

Die Begründung ist hier auch recht einfach: Microsoft testet ihre Software ausgiebig - aber eben nicht mit deaktiviertem IPv6. 

 

Nachdem das Thema satirisch angefangen hat hier im Off Topic-Bereich driftet es nun in gefährliches Halbwissen ab, wenn ich mal so direkt sein darf.

Ich stimme dem zu: Das Thema gehört hier nicht her im Sinne von - wir sind ein IT Forum und diskutieren technisch, fachliche Themen zum Thema IT.

Abgesehen davon bitte ich darum, alle Geschlechter und Ausprägungen davon hier an Board zu achten und höflich entgegenzutreten, so wie bisher auch

Jedes OS hat seinen Einsatzzweck wie Du schon sagst. Am Smartphone iOS oder Android, am Client Windows, als Server Windows oder Linux zum Beispiel. Im Unternehmensnetzwerk würde ich meistens Windows vorschlagen wegen der zentralen Administrierbarkeit so gut wie aller Aspekte. Für einen Webserver nehme ich persönlich Linux, so wie hier unser Forum auch unter Linux betrieben wird.
"Besser" und "schlechter" ist hier die falsche Diskussion. Es ist unterschiedlich - zum Glück,  so hat man mehrere Optionen zur Auswahl.

vor 2 Stunden schrieb TAM:

Aber ein System wie Linux benötigt man nicht jedes mal nen Neustart sondern kann einzelne Dienste neu starten.

Auch Linux braucht Neustarts und wenn man Pech hat darf man den kompletten Kernel selbst neu kompilieren.

@Stefan72 Alles gut, ich denke, hier war einfach die Wortwahl etwas unglücklich.
Zwei Dinge, um Dir zu erklären, was unser Ansatz ist: 1) Wir helfen gerne und stetig, dabei ist uns aber wichtig, dass wir helfen "geistig auf's Rad zu steigen" - fahren muss aber jeder selbst. Das ist der einzig sinnvolle Ansatz, um nachhaltig zu helfen. Schließlich soll der Fragesteller auch verstanden haben, was die Lösung des Problems ist.
2) Nehmt PowerShell statt CMD, das ist einfach modern und inzwischen auch schon wieder 15 Jahre alt. Keine Berührungsängste, wie Du siehst, wurde Dir damit schnell geholfen. Wenn Du Dir die Zeilen oben von Bofh_666 ansiehst, ist es auch wirklich einfach zu lesen...

Ansonsten: Willkommen an Board