micha42 29 Geschrieben 19. August 2021 Melden Teilen Geschrieben 19. August 2021 Moin, seit Montag verlangt Windows bei uns ein Admin-Passwort für einen Druckerinstallation vom Printserver. Die Gruppenrichtlinien "Point and Print" sind korrekt gesetzt und haben bislang tadellos funktioniert. Ich weiß noch nicht, welches Update uns das eingebrockt hat. Ich konnte es auf 3 eingrenzen. (KB5005260, KB5005033 und KB5004331) Welches auch immer Schuld hat ist ja eher unwichtig, die Einstellung wird bestimmt in späteren Updates auch immer wieder gesetzt werden. Aber wichtiger ist ja eher: Wie kann ich das Problem lösen. Ich kann ja jetzt nicht rumrennen und überall das Passwort eingeben. Mir ist klar, dass diese Einstellungen wegen PrintNightmare gesetzt wurden und dies nun eine halbe Reparatur ist, aber für den laufenden Betrieb muss ich halt gucken, wie ich das hier einstellen kann. Grüße Micha gefunden: KB5005652 – Verwalten des Installationsverhaltens für neuen Point- und Print-Treiber (CVE-2021-34481) (microsoft.com) mit dem Reg-Key geht es jetzt ohne Admin-PW. Ich bin gerade noch am gucken, ob ich damit irgendwelche Sicherheitslücken wieder aufreiße. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 20. August 2021 Melden Teilen Geschrieben 20. August 2021 Eigentlich tust Du das ja. Ist ja gerade das Ziel, das Nicht-Admins die Treiber nicht installieren können. Prinzipiell Du musst einfach schauen, dass Du die Treiber schon vorher auf die Kisten verteilst, dann kann ein User den Drucker auch verbinden. Ist mit einem gewissen Aufwand verbunden. Wie genau das praktikabel geht, weiss ich auch noch nicht. Aber meine Anzahl Maschinen pro Umgebung sind auch relativ beschränkt, insofern verschmerzbar sich kurz auf jede Kiste zu verbinden. Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 20. August 2021 Autor Melden Teilen Geschrieben 20. August 2021 Naja, kommt auf die Umgebung an. Wir haben 280 user, die haben alle einen Rechner und viele für den Fernzugriff noch einen Virtuellen Desktop (Citrix) Ich müsste mich also "eben kurz" auf ca. 500 Clients verbinden. Und wenn ich einen neuen Treiber einbinde "mal eben" nochmal. Ja klar, das geht natürlich auch automatisiert, aber ich muss dann bei jedem neuen Treiber einen großen Aufwand betreiben. Aktuell haben wir mit den Gruppenrichtlinien über die Point-and-Print-Einstellungen die Beschränkung, dass ausschließlich von unserem Printserver Treiber bezogen werden können. Das Papier das ich oben erwähnt habe kommt von Microsoft. Das ist direkt nach dem Update veröffentlich worden, dass PrintNightmare schließen soll (tut es nicht, ich weiß). Ich habe nur noch keine verlässlichen Informationen gefunden, ob MS selbst nach dem Schließen der Lücke direkt einfach empfiehlt die Lücke wieder zu öffnen, ohne mal in einem Nebensatz auf die Gefahr hinzuweisen (das wäre m.E. grob fahrlässig) Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 20. August 2021 Melden Teilen Geschrieben 20. August 2021 (bearbeitet) vor 3 Stunden schrieb micha42: aber ich muss dann bei jedem neuen Treiber einen großen Aufwand betreiben. Genau so sieht es leider im Grundsatz aus aus. Klar, dass das bei 500 Clients nicht praktikabel ist. Möglicherweise kann man das ja mit WSUS oder einem Task mit erweiterten Rechten und/oder Kombi mit GPO erschlagen. Beim anmelden eines Users wird dann z.Bsp. der Task mit erhöhten Privilegien ausgeführt welcher sich pro Drucker- bzw. Treibertyp auf einen Dummy-Printer verbindet der sonst nicht verwendet wird und anschliessend die Verbindung wieder kappt. Dummy-Printer damit nicht erwünschte Printer gekappt werden. Dann ist der Driver auf dem Client. Vielleicht gehts auch eleganter mit einer Softwareverteilung wie WSUS oder etwas "besserem". Zitat Aktuell haben wir mit den Gruppenrichtlinien über die Point-and-Print-Einstellungen die Beschränkung, dass ausschließlich von unserem Printserver Treiber bezogen werden können. Das Papier das ich oben erwähnt habe kommt von Microsoft. Das ist direkt nach dem Update veröffentlich worden, dass PrintNightmare schließen soll (tut es nicht, ich weiß). Ich habe nur noch keine verlässlichen Informationen gefunden, ob MS selbst nach dem Schließen der Lücke direkt einfach empfiehlt die Lücke wieder zu öffnen, ohne mal in einem Nebensatz auf die Gefahr hinzuweisen (das wäre m.E. grob fahrlässig) Nunja, so ist es aber. Die Lücke ist weder mit den härtesten empfohlenen Einstellungen komplett geschlossen und schon gar nicht wenn man es wieder ermöglicht. Kann man drehen und wenden wie man möchte. Mögicherweise ist es aber dennoch etwas besser wie vorher. MS kann nicht einfach alles verbieten was gut wäre. Da gibts immer etwas Vorlaufzeit sonst laufen die Firmen sturm. Bei einschneidenden Massnahmen hat man fast immer 6 Monate bis 1 Jahr zeit das umzusetzen. bearbeitet 20. August 2021 von Weingeist Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 26. August 2021 Melden Teilen Geschrieben 26. August 2021 (bearbeitet) Hi Zs, wollte eben einen Artikel zu dem Thema öffnen da bin ich über die Suche hier gelandet. Das Verteilen der Drucktreiber interessiert mich, hat da schon jemand Erfahrungen damit? Bei uns in der Umgebung sprechen wir über 1500 Clients und ca 300 Drucker. Bisher wurden die per GPO und AD-Gruppen verteilt. Das geht jetzt so nicht mehr, wenn der Drucktreiber nicht schon vorher auf dem Gerät ist. Da wir aktuell noch in der Rolloutphase 20h2 sind ist das natürlich doppelt geil, da sind viele Neuinstallationen dabei. Wäre sehr interessiert an fachlichem Austausch wie man das evtl. lösen könnte. WSUS und MEMCM setzen wir aktuell ein. bearbeitet 26. August 2021 von TiWu Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 26. August 2021 Melden Teilen Geschrieben 26. August 2021 vor 14 Minuten schrieb TiWu: Wäre sehr interessiert an fachlichem Austausch wie man das evtl. lösen könnte. WSUS und MEMCM setzen wir aktuell ein. Hmmm. Die Treiber... einfach verteilen? Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 26. August 2021 Melden Teilen Geschrieben 26. August 2021 vor 1 Minute schrieb cj_berlin: Hmmm. Die Treiber... einfach verteilen? ist es so simpel ja? Also die inf Dateien auf den Client in das korrekte Verzeichnis? Sorry hab das bisher nie machen müssen. :) Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 26. August 2021 Melden Teilen Geschrieben 26. August 2021 Nee, man muss die Treiber schon installieren, aber Du hast ja eine Software-Verteilung.... Sind nur zwei Befehle, wenn ich mich recht erinnere. Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 26. August 2021 Melden Teilen Geschrieben 26. August 2021 (bearbeitet) vor 1 Minute schrieb cj_berlin: Nee, man muss die Treiber schon installieren, aber Du hast ja eine Software-Verteilung.... Sind nur zwei Befehle, wenn ich mich recht erinnere. Ok Danke Dir ich spreche mal mit unserem Spezi. Evtl. ist das ja schon die Lösung. Danke! bearbeitet 26. August 2021 von TiWu Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.