Printspooler - Neue Sicherheitslücke

[mwiederkehr 373]

Das Problem bei dieser und vieler weiterer Lücken ist, dass Microsoft extrem viel Wert auf Rückwärtskompatibilität legt. So können in der Vergangenheit gemachte Fehler nicht sauber korrigiert werden, sondern man schleppt Altlasten über Jahrzehnte mit. Die gemachten Fehler selbst möchte ich Microsoft nicht mal vorwerfen, denn viele Sachen haben auch die besten Leute einfach nicht kommen sehen. NFS oder X betreibt man auch nicht einfach so übers Internet, da ist Unix nicht einfach "besser".

 

Schade ist nur, dass aus meiner Sicht zu wenig geht in Richtung Erneuerung. Revolutionären Sachen wie Nano Server ist meist kein langes Leben vergönnt.

[zahni 554]

Leider legen aber eben auch viele Kunden Wert auf diese Rückwärtskompatibilität. Das Problem ist hier eher, dass Microsoft wohl eher ein gründliches code refactoring vermissen lässt, vor allen Dingen durch die Security-Brille.

Wir wissen alle, dass sich "unter der Haube" kaum etwas ändert, sondern die Kunden ständig mit neuen GUI's genervt werden. Was ist der größte Unterschied zwischen Server 2016 und 2019? Genau: Die Updates installieren schneller.

 

[NorbertFe 2.034]

vor 3 Stunden schrieb zahni:

Genau: Die Updates installieren schneller.

 Das is super ;)

[daabm 1.354]

vor 8 Stunden schrieb zahni:

dass Microsoft wohl eher ein gründliches code refactoring vermissen lässt,

 

Zeig mir eine große Klitsche, die das im Griff hat... Ich kenne keine. Das dauert immer Jahrzehnte.

[Userle 145]

Na ja - das Problem ist nicht unbedingt nur MS hausgemacht. Ich meine schaut Euch doch einmal in der Softwarewelt um. Insbesondere alles was in irgendeiner Form Unternehmensspezifisch ist, wie ERP und Co. ist technisch oftmals auf einem Stand von Anno Tuck Tuck. Der Aufwand bestimmte Software unter Security Gesichtspunkten am Laufen zu halten wird immer größer. 

Ich beiß mir jetzt aber schnell auf die Lippen und schweige. Das Thema ist nicht gut für meinen Blutdruck.

[MurdocX 949]

Hat einer von euch auch zufällig nach dem neuesten KB5006672 Probleme auf dem Printserver zu drucken?

bearbeitet 14. Oktober 2021 von MurdocX

[NorbertFe 2.034]

Ich hatte das Problem, dass scheinbar einige "ältere" Windows 10 Versionen auf einmal der Meinung waren jetzt nicht mehr mit einem Windows 2012R2 Printserver kommunizieren zu können. Da war das Problem das hier am Printserver zu deaktivieren:

Zitat

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print - RpcAuthnLevelPrivacyEnabled=0 setzen

 

bearbeitet 14. Oktober 2021 von NorbertFe

[MurdocX 949]

@NorbertFe Danke, leider hat es nichts gebracht. Ich glaube da bahnt sich wieder was an. Bei mir ist das nach dem neuen Windows-Update KB5006670 aufgetreten

 

Windows Oktober 2021-Updates: PrintNightmare-Stand und Netzwerk-Druckprobleme | Borns IT- und Windows-Blog (borncity.com)

[NorbertFe 2.034]

Hmm naja das kann schon sein. Ich kanns zumindest bei den Kunden die diesbezüglich konfiguriert wurden nur bedingt nachvollziehen (abgesehen von oben geschildertem Problem gabs nix). Aber die Druckertreiber will ja leider auch niemand wirklich aktualisieren. Immer noch gibts viel zu selten Typ4 Treiber usw. usf.

[MurdocX 949]

Hmm. Ich konnte es unbefriedigend lösen. 

Server neu installiert, alle Updates drauf, Dienst hochgezogen und die Einstellungen von Gruppenrichtlinien.de (PrintNightmare - 3 Richtlinien werden benötigt - Gruppenrichtlinien) auf die Clients anwenden lassen. Der "alte" Printserver auf 2019 ist irgendwie hin.

[NorbertFe 2.034]

Schräg das alles. :/

[Weingeist 159]

vor 16 Stunden schrieb NorbertFe:

Immer noch gibts viel zu selten Typ4 Treiber usw. usf.

Ich glaube die normalen Typ 4 werden sowieso abgelöst. Ich bekam jedenfalls eine Mitteilung von einem grossen Druckerhersteller, dass die Typ 4 Druckertreiber ab 2022 nicht mehr weiterentwickelt werden. Man solle entweder auf Typ3 "upgraden" (sie nannten es einsetzen) oder das neue Super Duper Treibermodell via Store umsetzen.

 

 

Irgendwie ist das alle

Am 12.8.2021 um 14:02 schrieb zahni:

Leider legen aber eben auch viele Kunden Wert auf diese Rückwärtskompatibilität. Das Problem ist hier eher, dass Microsoft wohl eher ein gründliches code refactoring vermissen lässt, vor allen Dingen durch die Security-Brille.

Wir wissen alle, dass sich "unter der Haube" kaum etwas ändert, sondern die Kunden ständig mit neuen GUI's genervt werden. Was ist der größte Unterschied zwischen Server 2016 und 2019? Genau: Die Updates installieren schneller.

Man kann auch nicht alle 3 bis 6 Jahre die ganze IT und alles mit dran hängt auf den Kopf stellen. Das ist weder ökologisch noch ökonomisch sinnvoll. Zudem steigt mit neuer Software selten die effektive Effizienz. Eher das Gegenteil ist der Fall.

Irgendwie haben punkte Updates/Aktualität auch viele ITler eine Rosa Brille auf und sehen nur die Büro und Office-Computer, die Produktion ist da jeweils aussen vor obwohl heute oft honchintegriert in ERP etc. Habe es noch nie erlebt, dass ich offiziell Windows Updates auf einer Steuerung einspielen durfte ohne Garantieverlust. Bei XP/W7 habe es jeweils einfach gemacht, alte Festplatte raus, Kopie gezogen und die originale auf die Seite gelegt zur Reproduzierung eines Problems damit es nachweislich nicht von einem Sicherheitsupdate kommt. Aber dieses Vorgehen ist defintiv nicht verbreitet und sollte auch nicht so sein. Unter W10 habe ich den Mumm auch nicht mehr.

Vor einem Monat habe ich eine W95 Steuerung ersetzt. Die Maschine war 16 Jahre alt. Sah optisch aus wie neu, war mechnaisch top. Ging auf den Schrott weil EOL. Neueste mögliche Steuerungsupgrade war vor ein paar Jahren W7 für 40-50k. Völlig unwirtschaftlich. Und alle reden von Ökologie. ;)

In der Industrie kann man froh sein, wenn man auf der Steuerung ein OS bekommt, das noch nicht 10 Jahre auf dem Buckel hat und von MS schon EOL ist.

Im Büro ist ein ständiges Upgrade zwar möglich, aber wie Du ja auch sagst, selbst sorgt es selten für Zufriedenheit. Zumindest nicht bei jenen, die wirklich arbeiten. Insofern würde ich Sicherheitsupdates und Code-Refactoring auch begrüssen, die meisten Probleme betreffen eh alle OS bis zurück nach XP.

[MurdocX 949]

Kurzes Review:

Wir hatten weiterhin Druckprobleme und konnten bei den Sharps den v3-Typ durch den v4-Typ ersetzen. Das ermöglichte das sich Benutzer einen unbekannten Treiber vom PrintServer ziehen konnte. Bei Lexmark müssen wir, trotz der Richtlinie für die erlaubte Installation, den Treiber unter einem Admin-Benutzer und der UAC bestätigen. Die IPS der Sophos XG (SFOS 18.0.5 MR-5-Build586) hat bei der RPC-Kommunikation angeschlagen und musste abgeschaltet werden.

 

0x7c ERROR_INVALID_LEVEL, 0x6 ERROR_INVALID_HANDLE, 0xd ERROR_INVALID_DATA - Diese Fehler konnten durch den Treibertausch behoben werden.

[zahni 554]

Kleiner Hinweis:

 

bei uns hat man gerade zum Teil Urlaub und der Benutzerservice hat es versäumt vor der Auslieferung aus dem Lager die neusten Windows-Updates auf den Desktops zu installieren (passiert ja irgendwann von alleine).

Das Problem ist nun, dass offenbar ältere Stände keine Verbindung mittels Net use zum PrintServer herstellen können. Jener hat den Stand 11/21.

Wenn es also klemmt: Updates installieren.

[Clawhammer 12]

Hm... ich hab jetzt hier ein non Domänen Gerät was auf unserem Domänendruckerserver zugreifen will. Beim einbinden des Druckers sagt er mir immer: Fehler bei Vorgang: 0x0000011b

Die einzigsten Lösungen die ich bisher finden kann sagen mir alle ich soll die Printnightmare Sicherheitsupdates entfernen oder kritische Registryeinträge so editieren das ich wieder anfällig für die ganzen Lücken bin. Gibt es da keine besser Lösung?

 

Danke für Eure Tipps!