PrintNightmare - 3 Richtlinien werden benötigt

27.08.2021 | Autor: Mark Heitbrink

Wer den Patch KB5005030 installiert hat stolpert sehr wahrscheinlich über eine Aufforderung zur Angabe von Administrativen Rechten bei der Druckerinstallation, sobald der Anwender auf einen freigegebenen Drucker klickt oder die Drucker wie auch immer geartet zentral verteilt werden sollen.

Damit es funktkionert gilt es 3 Richtlinien zu konfigurieren. 2 sind schon seit langer Zeit vorhanden und die eine wichtige fehlt und wird nicht von Microsoft ausgeliefert. Microsofts Lösung nennt sich Registry Key und sie gehen davon aus, das ein Administrator diesen immer verteilt bekommt. Egal mit welcher Methode.

Sicherheitsgedanken am Ende des Artikels

1.) Richtlinie
Computerkonfiguration \ Administrative Vorlagen\Drucker
"Point und Print Einschränkungen"

FQDN aller Printserver Semikolon separiert eintragen

2.) Richtlinie
Computerkonfiguration \ Administrative Vorlagen\Drucker
"Point-and-Print für Pakete - Genehmigte Server"

FQDN der Server als Liste eintragen

3.) Richtlinie
Computerkonfiguration \ Administrative Vorlagen\ Drucker \ CVE-2021-34527 'PrintNightmare
"Restrict Driver Installation to Administrators" = DEAKTIVIERT

Diese Richtlinie gibt es nicht von Microsoft. Ein passendes ADM/ADMx findet ihr bei Nils Kaczenski.
ADM und ADMX für CVE-2021-34527 (PrintNightmare) | faq-o-matic.net

oder direkt bei mir: Download printernightmare.admx

gesetzt wird der Wert:
HKLM\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
RestrictDriverInstallationToAdministrators = 0 (DWord) bei Deaktiviert.

Sicherheitsgedanken

Bislang konnte ein Benutzer immer einen freigegebenen Drucker für sich verbinden und nutzen. Das sollte er auch weiterhin können, da die einfachste Verteilungsmethode für Drucker immer noch der Weg ist, das der User das selber macht. Siehe: Drucker verteilen und bereitstellen - Gruppenrichtlinien

Was müsste angepasst werden, wenn ihr aus Sicherheitsbedenken den Wert RestrictDriverInstallationToAdministrators nicht(!) auf 0 setzt?

  1. Der Benutzer müsste Mitglied der Gruppe der Lokalen Administratoren sein. Das ist ein NO GO. Wenn ihr Sicherheitsbedenken habt, dann scheidet das auf jeden Fall aus.
  2. Ihr müsstet über ein Deployment Werkzeug alle notwendigen Druckertreiber auf den Systemen vorsorglich bereitstellen oder auf Zuruf installieren. Zur Not sogar per Monitor Aufschaltung in dem Moment der Installation eure Credentials eigeben, die es dürfen.

Punkt 1. scheidet kategorisch aus. Punkt 2 ist ein Verwaltungsakt der Möglich ist.

Die aus meiner Sicht beste Alternative bleiben die 3 Richtlinien in Kombination. 

  • der Benutzer ist weiterhin Benutzer
  • er kann selber Drucker verbinden, die er benötigt, mein Administrativer Aufwand ist gering
  • Ich als Admin definieren aber die Vertrauenswürdigen Drucker, mit denen es erlaubt und möglich ist die Treinberinstallation auszuführen. Das schafft die Sicherheit.
    Jetzt müsste der Angreifer schon den kompletten Printserver übernehmen. Sollte ihm das gelingen, dann ist er schon so tief im System, das die Druckertreiber euer kleinstes Problem darstellen. Er hat sich schon längst im Netzwerk ausgebreitet und wahrscheinlich gehören ihm die Clients schon seit langem.