Printspooler - Neue Sicherheitslücke

[NorbertFe 2.016]

vor 2 Minuten schrieb v-rtc:

Obwohl man es dann nicht genehmigt, wird er automatisch am Stichtag installiert? Sorry, kann grad nirgends testen

Wie setzt du denn einen Stichtag ohne es zu genehmigen?

[v-rtc 88]

vor 1 Minute schrieb NorbertFe:

Wie setzt du denn einen Stichtag ohne es zu genehmigen?

Also noch mal zurück:

 

WSUS -> Gibt es für Updates einen automatischen Genehmigungslauf am Stichtag, bedeutet das neue Update wird in der Regel automatisch freigegeben und spätestens am xx.xx.xxxx um 12 Uhr installiert. Jetzt genehmige ich das Update aber für 3 Gruppen, die in diesem Lauf sind, nicht. Was passiert mit dem Update dann? :-/

[NorbertFe 2.016]

ICh denke, wenn du nochmal drüber nachdenkst, kommst du schon drauf, dass der Stichtag für die gilt, für die es genehmigt ist und da wo es NICHT genehmigt ist, logischerweise NICHT. :) Kann ja keiner Wissen, dass du NICHT genehmigst. Dann gilt logischerweise KEIN Stichtag. ;) War das jetzt logisch? :) Sorry für die Verwirrung

[Lian 2.415]

Geht es um die Drucker-Updates?

Falls nicht, bitte neuen Thread - Danke!

[MurdocX 935]

vor einer Stunde schrieb v-rtc:

Also noch mal zurück:

Zurück zum Thread-Thema  

 

Mach bitte für die WSUS-Thematik einen Thread auf, anstatt diesen zu kapern. Das macht uns und den anderen Lesen des Threads sonst nur das lesen schwer. 

 

Edit:

Jetzt war Lian schneller... 

bearbeitet 13. Juli 2021 von MurdocX

[v-rtc 88]

vor 45 Minuten schrieb Lian:

Geht es um die Drucker-Updates?

Falls nicht, bitte neuen Thread - Danke!

Ja geht es. :) 

[Lian 2.415]

vor 1 Minute schrieb v-rtc:

Ja geht es. :) 

OK.

 

Was spricht gegen die Genehmigung? Der Reboot?

[v-rtc 88]

vor 3 Minuten schrieb Lian:

OK.

 

Was spricht gegen die Genehmigung? Der Reboot?

Das wir es erst mal nicht ausrollen (Produktiv) wollen, solange so viele Nebeneffekte vorhanden sind und wir im März schon sehr gelitten haben (das Update ist immer noch nicht ausgerollt, vermutlich aber über die nächsten Updates inkludiert, oder?). -> Hab aber hier ein neues Thema eröffnet WSUS - Automatische Update Genehmigung mit Stichtag - Windows Server Forum - MCSEboard.de

bearbeitet 13. Juli 2021 von v-rtc

[Lian 2.415]

[zahni 550]

Ich habe eben mal unseren Print-Server beglückt. Also Ich kann noch drucken (das reicht  ).

Ansonsten ist der Remote-RPC-Zugriff per GPO abgeschaltet und auf allen anderen Servern komplett.

 

-Zahni (der gerade bei einem anderen Win2016-Server wartet, dass der mit seinen Updates fertig wird).

bearbeitet 13. Juli 2021 von zahni

[NorbertFe 2.016]

Rpc Remote unterbunden? Danach den Dienst mal restarted?

[phatair 38]

Also bei uns ist das Update jetzt auf gut 80 Clients (Win 10 20H2) installiert und es gab bis jetzt keine Probleme.

Ebenso ist es auf den Printservern (2019 und 2012R2) installiert.

 

Spooler ist auf allen Servern deaktiviert (Ausnahme Print Server und Terminalserver)

Da auf den Print und Terminalservern das Update installiert wurde und keine Print-and-Point Einschränkung greift, sind diese "sicher". 

Wir haben die Point-and-Print Einschränkung in der GPO für die Clients auf aktiviert gesetzt und haben die UAC Meldung aktiviert. Tests haben ergeben, dass die Treiber auch so ohne User Interaktion installiert werden können. Vorher waren die Meldungen unterbunden und das führte dann ja dazu, dass die Sicherheitslücke nicht sauber geschlossen wurde. bzw. weiter ausgenutzt werden konnte und die Einstellung sowieso unsicher ist. Da wurde wohl eine Altlast mitgeschleppt, die gar nicht mehr benötigt wurde. Hat sich das Ganze Theater ja doch gelohnt :)

Für alle Clients wurde ebenso per GPO der Remote Zugriff auf den Spooler deaktiviert

 

Ich hoffe ich habe nun nichts übersehen und wir müssten somit gut geschützt sein.

Hilfreich war wie gesagt dieses Diagramm

 

Viel Erfolg beim patchen/konfigurieren :) 

[Clawhammer 12]

vor 22 Stunden schrieb phatair:

Treiber auch so ohne User Interaktion installiert werden können. Vorher waren die Meldungen unterbunden und das führte dann ja dazu, dass die Sicherheitslücke nicht sauber geschlossen wurde. bzw. weiter ausgenutzt werden konnte und die Einstellung sowieso unsicher ist.

Sicher das das nicht daran lag das die Clients den Treiber schon hatten weil der Drucker schonmal eingebunden gewesen ist?

[phatair 38]

vor 16 Stunden schrieb Clawhammer:

Sicher das das nicht daran lag das die Clients den Treiber schon hatten weil der Drucker schonmal eingebunden gewesen ist?

Die hatten wir vorher komplett vom Client gelöscht (Client Druckserver, Tab Treiber). Ebenso haben wir es auf einem neuen geimaged Gerät getestet.

[Clawhammer 12]

vor 8 Stunden schrieb phatair:

Die hatten wir vorher komplett vom Client gelöscht (Client Druckserver, Tab Treiber). Ebenso haben wir es auf einem neuen geimaged Gerät getestet.

Merkwürdig, den Effekt habe ich nicht. Allerdings hab ich jeglich das Update installiert und PointAndPrint angepasst, den spooler habe ich nirgends deaktiviert (Ist ja dann nicht mehr nötig). Ggf ist es deswegen anders O.o