Хорошо, Microsoft, нам нужно поговорить. Вернее, нам нужно распечатать. Мы действительно делаем. Здесь, в деловом мире, далеко не все безбумажные — многим из нас по-прежнему нужно нажимать кнопку «Печать» в наших бизнес-приложениях и распечатывать документы на реальном листе бумаги или отправлять что-то на принтер PDF. Но за последние несколько месяцев вы сделали практически невозможным использование исправлений и печать.
Показательный пример: августовские обновления безопасности.
Microsoft внесла изменения в как обрабатываются принтеры групповой политики при изменении поведения по умолчанию Point and Print для устранения уязвимостей PrintNightmare, влияющих на службу диспетчера очереди печати Windows. Как отмечено в KB5005652, «по умолчанию пользователи, не являющиеся администраторами, больше не смогут выполнять следующие действия с помощью функции« Указать и печатать »без повышения прав администратора:
- Устанавливать новые принтеры с помощью драйверов на удаленный компьютер или сервер
- Обновите существующие драйверы принтера, используя драйверы с удаленного компьютера или сервера »
Однако то, что мы видим в списке PatchManagement.org, — это то, что любому пользователю с драйвером печати в стиле V3 предлагается переустановить драйверы или установить новые драйверы. сервер печати находится на сервере Server 2016, принтеры выталкиваются через групповую политику, и драйвер принтера от поставщика является драйвером V3, он запускает переустановку драйверов печати. Мы также наблюдаем что когда патч находится на рабочей станции, а не на сервере, он вызывает переустановку драйверов печати.
Учитывая, что фирмы, скорее всего, сохранят пользователей без прав администратора ts для ограничения бокового перемещения (и, откровенно говоря, потому что Microsoft на протяжении многих лет говорила нам, что работа с правами администратора — это плохо), теперь мы должны решить предоставить пользователям права локального администратора, внести изменения в раздел реестра, которые ослабят безопасность или откатите исправление, пока Microsoft не выяснит, что пошло не так.
Те, кто действительно хочет внести изменения в реестр, могут открыть окно командной строки с повышенными разрешениями и ввести следующее:
reg add "HKEY_LOCAL_MACHINE Software Policies Microsoft Windows NT Printers PointAndPrint" / v RestrictDriverInstallationToAdministrators / t REG_DWORD / d 0 / f
Но при этом вы обнаружите публично известные уязвимости и ни Microsoft, ни я не рекомендую его.
Вникание в суть проблемы печати
Microsoft в частном порядке признала в своем обращении в службу поддержки, что «приглашение администратора / установки для уже установленного наличие установленных драйверов и уже установленных принтеров — неожиданное поведение ». Далее он сказал: «Мы получили новые отчеты о том, что это также влияет на клиентов, у которых уже установлены драйверы / принтеры и т. Д., И это уже расследуется, у нас еще нет приблизительного времени исправления, но мы работаю над этим." Но хотя компания может в частном порядке признавать, что существует проблема с печатью, она не демонстрирует ее на панели мониторинга работоспособности Windows .
Энтони Дж. Фонтанез написал здесь и здесь несколько замечательных Обсуждение происходящего. Как он указывает, одно из решений состоит в том, чтобы убедиться, что в вашей сети развернуты драйверы принтера V4. Но в этом заключается проблема — часто чрезвычайно трудно определить, являются ли драйверы V3 или V4. В случае принтеров Hewlett Packard PCL 6 обозначает V3, тогда как PCL-6 (обратите внимание на дефис) обозначает V4. Возможно, вам придется развернуть драйверы на тестовой виртуальной машине, чтобы точно определить, какой драйвер принтера у вас установлен.
Если у вашего поставщика принтера нет версии драйвера принтера V4, убедитесь, что вы обратились к своему поставщику — особенно если они находятся в активной аренде — и потребовали, чтобы они выпустили исправленный драйвер. Как писал Фонтанез, «Драйверы V4 используют драйвер для конкретной модели на сторона сервера печати. Когда клиенты подключаются к принтеру на сервере с помощью драйвера V4, они не загружают никаких драйверов. Вместо этого они используют общий предустановленный драйвер под названием «Улучшенный Microsoft Point and Print» ». Однако некоторые сетевые администраторы указали, что драйверы V4 тоже не подходят.
Но даже если вы могли бы установить в вашей сети августовские обновления, это не означает, что вы полностью защищены от уязвимостей диспетчера очереди печати. Есть еще одна CVE (CVE-2021-36958), для которой у нас нет исправления, и единственный способ обхода этой проблемы — отключить диспетчер очереди печати. Все, что мы официально знаем в настоящее время, — это то, что «существует уязвимость удаленного выполнения кода, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя. Чтобы обойти эту уязвимость, остановите и отключите службу диспетчера очереди печати ».
Если вы потребитель, проблема не столь очевидна. Я еще не видел, чтобы у домашних или обычных пользователей возникали проблемы с печатью или сканированием после установки августовских обновлений. Тем не менее, мы по-прежнему уязвимы для непропатченной CVE-2021-36958. Если у вас уже установлены августовские обновления и у вас нет никаких побочных эффектов при печати или сканировании, оставьте августовские обновления безопасности установленными.
Итак, что вы можете сделать в это время, если у вас есть бизнес и вы есть для печати?
- Просмотрите, какие серверы и компьютеры обязательно должны печатать. Очевидно, что основные проблемы безопасности с кодом сервера печати еще предстоит исправить, и не похоже, что они будут исправлены в ближайшее время.
- Вместо того, чтобы автоматически включать службу диспетчера очереди печати во всей сети, подумайте о том, чтобы распечатать конкретное право, которое вы предоставляете только тем в вашей сети, кому это действительно необходимо.
- Отключите службу на всех контроллерах домена и оставьте ее в таком состоянии до дальнейшего уведомления.
- Ограничьте количество серверов в вашей сети, которые имеют роли сервера печати.
- Постарайтесь максимально ограничить количество серверов, чтобы вы могли отслеживать и ограничивать трафик на эти машины.
- Отключите роль сервера печати на рабочих станциях, если им не нужно печатать.
- Переоцените свой рабочий процесс и процессы и посмотрите, есть ли способы перенести такие бизнес-процессы на веб-процессы или что-то, что не будет зависеть от бумаги, тонера и принтеров.
Последнее слово Microsoft
Microsoft, вам нужно работать лучше, чем вы делаете сейчас. Потому что мы все еще печатаем. А за последний год вы слишком много раз нарушали печать. Я понимаю, что вы можете отказаться от бумажных документов и перейти на все электронное, но помните, что ваши корпоративные клиенты еще не достигли цели.
Вашим клиентам не придется делать болезненный выбор, чтобы удалить обновления, чтобы функционировать в своем бизнесе, или, что еще хуже, необходимо выполнить настройку реестра, которая позволяет компании печатать, но в результате подвергает фирму уязвимостям.
Я исправлял системы более 20 лет, и если лучшее, что мы можем сказать бизнесу в настоящее время, — это «удалить обновление, чтобы продолжить работу», то за 20 лет обновлений мы ничего не исправили. Компании по-прежнему не могут немедленно исправить ситуацию, как вы нас призываете. Нам все еще нужно подождать, чтобы увидеть, есть ли побочные эффекты, и справиться с ними.
Итак, Microsoft? Если вы хотите, чтобы мы немедленно исправили патч, вы должны понимать, что многим из нас все еще нужно печатать.
Авторские права © 2021 IDG Communications, Inc.
