好的,微软,我们需要谈谈。 或者更确切地说,我们需要打印。 我们真的这样做。 在商业世界中,我们并非都是无纸化的——我们中的许多人仍然需要在我们的业务应用程序中单击“打印”按钮,然后将内容打印到一张实际的纸上,或者将内容发送到 PDF 打印机。 但在过去的几个月里,你几乎不可能保持完全修补和继续打印。
恰当的例子:8 月的安全更新。
Microsoft 在更改默认的指向和打印行为以解决影响 Windows Print Spooler 服务的“PrintNightmare”漏洞时,对组策略打印机的处理方式进行了更改。 正如 KB5005652 中所述,“默认情况下,非管理员用户将无法在不提升管理员权限的情况下使用指向和打印执行以下操作:
使用远程计算机或服务器上的驱动程序安装新打印机
使用来自远程计算机或服务器的驱动程序更新现有的打印机驱动程序”
然而,我们在 PatchManagement.org 列表中看到的是,任何拥有 V3 打印驱动程序的人都会提示其用户重新安装驱动程序或安装新驱动程序。 更确切地说,当打印服务器在Server 2016服务器上时,打印机通过组策略被推出,并且供应商的打印机驱动程序是V3驱动程序,它会触发重新安装打印驱动程序。 我们还看到,当补丁在工作站上而不是在服务器上时,它会触发打印驱动程序的重新安装。
鉴于公司可能会保留没有管理员权限的用户以限制横向移动(坦率地说,因为微软多年来告诉我们以管理员权限运行是一件坏事),我们现在不得不决定给用户本地管理员权限 权利,进行削弱安全性的注册表项调整,或回滚补丁,直到 Microsoft 找出问题所在。
[进一步阅读:Windows 10:更新指南]
那些确实想要更改注册表的人可以打开具有提升权限的命令提示符窗口并输入以下内容:
reg 添加 “HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint” /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
但这样做会使您暴露于众所周知的漏洞之中,Microsoft 和我都不推荐这样做。
触及打印问题的核心
微软在一个支持案例中私下承认,“针对已安装驱动程序和已安装打印机的管理/安装提示是意外行为。” 它继续说,“我们收到了新的报告,这也影响了已经安装了驱动程序/打印机等的客户,并且已经在调查中,我们还没有估计的修复时间,但我们正在 正在努力。” 但是,尽管该公司可能私下承认打印存在问题,但并未在 Windows 健康发布仪表板上展示它。
Anthony J. Fontanez 在这里和这里发表了博客,对正在发生的事情进行了一些精彩的讨论。 正如他指出的那样,解决方案之一是确保您在网络中部署了 V4 打印机驱动程序。 但其中存在一个问题——通常很难确定驱动程序是 V3 还是 V4。 对于惠普打印机,PCL 6 表示 V3,而 PCL-6(注意连字符)表示 V4。 您可能必须在测试虚拟机上部署驱动程序才能准确确定您拥有的打印机驱动程序。
如果您的打印机供应商没有 V4 版本的打印机驱动程序,请确保您联系您的供应商——尤其是如果他们处于有效租约中——并要求他们提供修改后的驱动程序。 正如 Fontanez 所写,“V4 驱动程序在打印服务器端使用特定型号的驱动程序。 当客户端使用 V4 驱动程序连接到服务器上的打印机时,它们不会下载任何驱动程序。 相反,他们使用名为“Microsoft 增强型指向和打印”的通用预加载驱动程序。”但是,一些网络管理员表示 V4 驱动程序也不是解决方案。
但是,即使您可以在网络中安装八月更新,也不意味着您可以完全免受打印后台处理程序漏洞的影响。 还有另一个 CVE (CVE-2021-36958),我们没有补丁,唯一的解决方法是禁用后台打印程序。 目前我们正式知道的是“当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。 然后攻击者可以安装程序; 查看、更改或删除数据; 或创建具有完整用户权限的新帐户。 此漏洞的解决方法是停止并禁用 Print Spooler 服务。”
如果你是消费者,这个问题就没那么糟糕了。 我还没有看到家庭或消费者用户在安装八月更新后出现打印或扫描问题。 也就是说,我们仍然容易受到未修补的 CVE-2021-36958 的攻击。 如果您已经安装了 8 月更新并且打印或扫描没有任何副作用,请保留安装 8 月安全更新。
那么这个时候如果你做生意又要打印怎么办呢?
查看必须打印的服务器和计算机。 显然,打印服务器代码的基本安全问题尚未得到修复,而且似乎不会很快得到修复。
考虑打印您仅授予网络中真正需要该权利的人的特定权利,而不是在整个网络中自动启用后台打印程序服务。
禁用所有域控制器上的服务并保持这种状态,直到另行通知。
限制网络中具有打印服务器角色的服务器。
尽量限制服务器,以便您可以监视和限制这些机器的流量。
除非必须打印,否则禁用工作站上的打印服务器角色。
重新评估您的工作流程和流程,看看是否有办法将此类业务流程转移到基于 Web 的流程或不依赖于纸张、碳粉和打印机的流程。
给微软的最后一句话
微软,你需要做得比现在更好。 因为我们仍然打印。 在过去的一年里,你中断打印的次数太多了。 我意识到您可能已经无纸化并转向电子化,但要更加意识到您的企业客户还没有完全实现。
您的客户不必做出痛苦的选择来删除更新以便在他们的业务中运作,或者更糟糕的是必须执行注册表调整,这允许业务打印但结果使公司面临漏洞。
我已经为系统打补丁 20 多年了,如果此时我们能告诉企业的最好的事情是“卸载更新以继续开展业务”,那么我们 20 年都没有修复任何东西 的更新。 企业仍然无法像您敦促我们那样立即打补丁。 还要等着看有没有副作用,处理好后遗症。
那么,微软? 如果你想让我们立即打补丁,你需要意识到我们中的许多人仍然需要打印。
