Jump to content

Druckerinstallation verlangt Admin-PW


Recommended Posts

Moin,

seit Montag verlangt Windows bei uns ein Admin-Passwort für einen Druckerinstallation vom Printserver.

Die Gruppenrichtlinien "Point and Print" sind korrekt gesetzt und haben bislang tadellos funktioniert.

Ich weiß noch nicht, welches Update uns das eingebrockt hat. Ich konnte es auf 3 eingrenzen.

(KB5005260, KB5005033 und KB5004331)

Welches auch immer Schuld hat ist ja eher unwichtig, die Einstellung wird bestimmt in späteren Updates auch immer wieder gesetzt werden.

 

Aber wichtiger ist ja eher: Wie kann ich das Problem lösen. Ich kann ja jetzt nicht rumrennen und überall das Passwort eingeben.

 

Mir ist klar, dass diese Einstellungen wegen PrintNightmare gesetzt wurden und dies nun eine halbe Reparatur ist, aber für den laufenden Betrieb muss ich halt gucken, wie ich das hier einstellen kann. 

Grüße Micha

gefunden: KB5005652 – Verwalten des Installationsverhaltens für neuen Point- und Print-Treiber (CVE-2021-34481) (microsoft.com)

mit dem Reg-Key geht es jetzt ohne Admin-PW. Ich bin gerade noch am gucken, ob ich damit irgendwelche Sicherheitslücken wieder aufreiße.

Link to post

Eigentlich tust Du das ja. Ist ja gerade das Ziel, das Nicht-Admins die Treiber nicht installieren können.

 

Prinzipiell Du musst einfach schauen, dass Du die Treiber schon vorher auf die Kisten verteilst, dann kann ein User den Drucker auch verbinden. Ist mit einem gewissen Aufwand verbunden. Wie genau das praktikabel geht, weiss ich auch noch nicht. Aber meine Anzahl Maschinen pro Umgebung sind auch relativ beschränkt, insofern verschmerzbar sich kurz auf jede Kiste zu verbinden. :smile2:

Link to post

Naja, kommt auf die Umgebung an. Wir haben 280 user, die haben alle einen Rechner und viele für den Fernzugriff noch einen Virtuellen Desktop (Citrix)

Ich müsste mich also "eben kurz" auf ca. 500 Clients verbinden. Und wenn ich einen neuen Treiber einbinde "mal eben" nochmal.

Ja klar, das geht natürlich auch automatisiert, aber ich muss dann bei jedem neuen Treiber einen großen Aufwand betreiben.

 

Aktuell haben wir mit den Gruppenrichtlinien über die Point-and-Print-Einstellungen die Beschränkung, dass ausschließlich von unserem Printserver Treiber bezogen werden können.

Das Papier das ich oben erwähnt habe kommt von Microsoft. Das ist direkt nach dem Update veröffentlich worden, dass PrintNightmare schließen soll (tut es nicht, ich weiß). Ich habe nur noch keine verlässlichen Informationen gefunden, ob MS selbst nach dem Schließen der Lücke direkt einfach empfiehlt die Lücke wieder zu öffnen, ohne mal in einem Nebensatz auf die Gefahr hinzuweisen (das wäre m.E. grob fahrlässig)

Link to post
vor 3 Stunden schrieb micha42:

aber ich muss dann bei jedem neuen Treiber einen großen Aufwand betreiben.

Genau so sieht es leider im Grundsatz aus aus. Klar, dass das bei 500 Clients nicht praktikabel ist. Möglicherweise kann man das ja mit WSUS oder einem Task mit erweiterten Rechten und/oder Kombi mit GPO erschlagen. Beim anmelden eines Users wird dann z.Bsp. der Task mit erhöhten Privilegien ausgeführt welcher sich pro Drucker- bzw. Treibertyp auf einen Dummy-Printer verbindet der sonst nicht verwendet wird und anschliessend die Verbindung wieder kappt. Dummy-Printer damit nicht erwünschte Printer gekappt werden. Dann ist der Driver auf dem Client. Vielleicht gehts auch eleganter mit einer Softwareverteilung wie WSUS oder etwas "besserem".

 

 

Zitat

Aktuell haben wir mit den Gruppenrichtlinien über die Point-and-Print-Einstellungen die Beschränkung, dass ausschließlich von unserem Printserver Treiber bezogen werden können.

Das Papier das ich oben erwähnt habe kommt von Microsoft. Das ist direkt nach dem Update veröffentlich worden, dass PrintNightmare schließen soll (tut es nicht, ich weiß). Ich habe nur noch keine verlässlichen Informationen gefunden, ob MS selbst nach dem Schließen der Lücke direkt einfach empfiehlt die Lücke wieder zu öffnen, ohne mal in einem Nebensatz auf die Gefahr hinzuweisen (das wäre m.E. grob fahrlässig)

Nunja, so ist es aber. Die Lücke ist weder mit den härtesten empfohlenen Einstellungen komplett geschlossen und schon gar nicht wenn man es wieder ermöglicht. Kann man drehen und wenden wie man möchte. Mögicherweise ist es aber dennoch etwas besser wie vorher. ;-)

MS kann nicht einfach alles verbieten was gut wäre. Da gibts immer etwas Vorlaufzeit sonst laufen die Firmen sturm. Bei einschneidenden Massnahmen hat man fast immer 6 Monate bis 1 Jahr zeit das umzusetzen.

Edited by Weingeist
Link to post

Hi Zs,

 

wollte eben einen Artikel zu dem Thema öffnen da bin ich über die Suche hier gelandet.

 

Das Verteilen der Drucktreiber interessiert mich, hat da schon jemand Erfahrungen damit?

 

Bei uns in der Umgebung sprechen wir über 1500 Clients und ca 300 Drucker.

 

Bisher wurden die per GPO und AD-Gruppen verteilt.

 

Das geht jetzt so nicht mehr, wenn der Drucktreiber nicht schon vorher auf dem Gerät ist.

 

Da wir aktuell noch in der Rolloutphase 20h2 sind ist das natürlich doppelt geil, da sind viele Neuinstallationen dabei.

 

Wäre sehr interessiert an fachlichem Austausch wie man das evtl. lösen könnte.

 

WSUS und MEMCM setzen wir aktuell ein.

 

 

Edited by TiWu
Link to post
vor 1 Minute schrieb cj_berlin:

Hmmm. Die Treiber... einfach verteilen?

ist es so simpel ja? Also die inf Dateien auf den Client in das korrekte Verzeichnis? Sorry hab das bisher nie machen müssen. :)

Link to post
vor 1 Minute schrieb cj_berlin:

Nee, man muss die Treiber schon installieren, aber Du hast ja eine Software-Verteilung.... Sind nur zwei Befehle, wenn ich mich recht erinnere.

Ok Danke Dir ich spreche mal mit unserem Spezi. Evtl. ist das ja schon die Lösung. Danke!

Edited by TiWu
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...