Jump to content

Druckerinstallation verlangt Admin-PW


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

seit Montag verlangt Windows bei uns ein Admin-Passwort für einen Druckerinstallation vom Printserver.

Die Gruppenrichtlinien "Point and Print" sind korrekt gesetzt und haben bislang tadellos funktioniert.

Ich weiß noch nicht, welches Update uns das eingebrockt hat. Ich konnte es auf 3 eingrenzen.

(KB5005260, KB5005033 und KB5004331)

Welches auch immer Schuld hat ist ja eher unwichtig, die Einstellung wird bestimmt in späteren Updates auch immer wieder gesetzt werden.

 

Aber wichtiger ist ja eher: Wie kann ich das Problem lösen. Ich kann ja jetzt nicht rumrennen und überall das Passwort eingeben.

 

Mir ist klar, dass diese Einstellungen wegen PrintNightmare gesetzt wurden und dies nun eine halbe Reparatur ist, aber für den laufenden Betrieb muss ich halt gucken, wie ich das hier einstellen kann. 

Grüße Micha

gefunden: KB5005652 – Verwalten des Installationsverhaltens für neuen Point- und Print-Treiber (CVE-2021-34481) (microsoft.com)

mit dem Reg-Key geht es jetzt ohne Admin-PW. Ich bin gerade noch am gucken, ob ich damit irgendwelche Sicherheitslücken wieder aufreiße.

Link zu diesem Kommentar

Eigentlich tust Du das ja. Ist ja gerade das Ziel, das Nicht-Admins die Treiber nicht installieren können.

 

Prinzipiell Du musst einfach schauen, dass Du die Treiber schon vorher auf die Kisten verteilst, dann kann ein User den Drucker auch verbinden. Ist mit einem gewissen Aufwand verbunden. Wie genau das praktikabel geht, weiss ich auch noch nicht. Aber meine Anzahl Maschinen pro Umgebung sind auch relativ beschränkt, insofern verschmerzbar sich kurz auf jede Kiste zu verbinden. :smile2:

Link zu diesem Kommentar

Naja, kommt auf die Umgebung an. Wir haben 280 user, die haben alle einen Rechner und viele für den Fernzugriff noch einen Virtuellen Desktop (Citrix)

Ich müsste mich also "eben kurz" auf ca. 500 Clients verbinden. Und wenn ich einen neuen Treiber einbinde "mal eben" nochmal.

Ja klar, das geht natürlich auch automatisiert, aber ich muss dann bei jedem neuen Treiber einen großen Aufwand betreiben.

 

Aktuell haben wir mit den Gruppenrichtlinien über die Point-and-Print-Einstellungen die Beschränkung, dass ausschließlich von unserem Printserver Treiber bezogen werden können.

Das Papier das ich oben erwähnt habe kommt von Microsoft. Das ist direkt nach dem Update veröffentlich worden, dass PrintNightmare schließen soll (tut es nicht, ich weiß). Ich habe nur noch keine verlässlichen Informationen gefunden, ob MS selbst nach dem Schließen der Lücke direkt einfach empfiehlt die Lücke wieder zu öffnen, ohne mal in einem Nebensatz auf die Gefahr hinzuweisen (das wäre m.E. grob fahrlässig)

Link zu diesem Kommentar
vor 3 Stunden schrieb micha42:

aber ich muss dann bei jedem neuen Treiber einen großen Aufwand betreiben.

Genau so sieht es leider im Grundsatz aus aus. Klar, dass das bei 500 Clients nicht praktikabel ist. Möglicherweise kann man das ja mit WSUS oder einem Task mit erweiterten Rechten und/oder Kombi mit GPO erschlagen. Beim anmelden eines Users wird dann z.Bsp. der Task mit erhöhten Privilegien ausgeführt welcher sich pro Drucker- bzw. Treibertyp auf einen Dummy-Printer verbindet der sonst nicht verwendet wird und anschliessend die Verbindung wieder kappt. Dummy-Printer damit nicht erwünschte Printer gekappt werden. Dann ist der Driver auf dem Client. Vielleicht gehts auch eleganter mit einer Softwareverteilung wie WSUS oder etwas "besserem".

 

 

Zitat

Aktuell haben wir mit den Gruppenrichtlinien über die Point-and-Print-Einstellungen die Beschränkung, dass ausschließlich von unserem Printserver Treiber bezogen werden können.

Das Papier das ich oben erwähnt habe kommt von Microsoft. Das ist direkt nach dem Update veröffentlich worden, dass PrintNightmare schließen soll (tut es nicht, ich weiß). Ich habe nur noch keine verlässlichen Informationen gefunden, ob MS selbst nach dem Schließen der Lücke direkt einfach empfiehlt die Lücke wieder zu öffnen, ohne mal in einem Nebensatz auf die Gefahr hinzuweisen (das wäre m.E. grob fahrlässig)

Nunja, so ist es aber. Die Lücke ist weder mit den härtesten empfohlenen Einstellungen komplett geschlossen und schon gar nicht wenn man es wieder ermöglicht. Kann man drehen und wenden wie man möchte. Mögicherweise ist es aber dennoch etwas besser wie vorher. ;-)

MS kann nicht einfach alles verbieten was gut wäre. Da gibts immer etwas Vorlaufzeit sonst laufen die Firmen sturm. Bei einschneidenden Massnahmen hat man fast immer 6 Monate bis 1 Jahr zeit das umzusetzen.

bearbeitet von Weingeist
Link zu diesem Kommentar

Hi Zs,

 

wollte eben einen Artikel zu dem Thema öffnen da bin ich über die Suche hier gelandet.

 

Das Verteilen der Drucktreiber interessiert mich, hat da schon jemand Erfahrungen damit?

 

Bei uns in der Umgebung sprechen wir über 1500 Clients und ca 300 Drucker.

 

Bisher wurden die per GPO und AD-Gruppen verteilt.

 

Das geht jetzt so nicht mehr, wenn der Drucktreiber nicht schon vorher auf dem Gerät ist.

 

Da wir aktuell noch in der Rolloutphase 20h2 sind ist das natürlich doppelt geil, da sind viele Neuinstallationen dabei.

 

Wäre sehr interessiert an fachlichem Austausch wie man das evtl. lösen könnte.

 

WSUS und MEMCM setzen wir aktuell ein.

 

 

bearbeitet von TiWu
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...