Seit den Print Nightmare Updates im vergangenen Jahr (2021) hat sich einiges in der Verteilung der Drucker geändert. Dies hat damit zu tun, dass Microsoft zusätzliche Schutzmechanismen zur Prävention eingeführt hat. Dass die Verteilung und Installation von Treibern via Druckserver wieder funktioniert, kann man "ganz einfach" einen Registry Key setzte, das via Intune oder GPO. Aber ACHTUNG, damit ist ein Grossteil der Lücke wieder offen. Wenn du aber weisst wie kannst du die "Point and Print"-Richtlinien, mit den richtigen Einstellungen und Intune verteilen.

Weitere Infos zum Exploit: CVE-2021-34527 - Security Update Guide - Microsoft - Windows Print Spooler Remote Code Execution Vulnerability

Table of Contents

Alles erlauben - RestrictDriverInstallationToAdministrators

Mit dem Deaktivieren der Installation von Treibern nur durch Administratoren, funktioniert das Verbinden wieder. Aber eben, damit ist auch die Sicherheitslücke, durchwelche Print Nightmare gross geworden ist wieder offen. Darum sind auch alle nachstehenden Schritte nötig (auch wenn nach dem setzten dieses Keys alles funktioniert).

KeyPathValueType
RestrictDriverInstallationToAdministratorsHKLM:\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint0DWord

Um diesen Registry Key zu verteilen, musst du in Intune ein PowerShell Script unter "Devices > Windows > PowerShell scrips" hochladen. Das vorbereitete Script habe ich dir auf GitHub abgelegt:

Hier ein Beispiel der Verteilung:

Intune PowerShell script, RestrictDriverInstallationToAdministrators

Point and Print Restriction

Um die Sicherheit wieder hochzuschrauben, nehmen wir den Benutzern das Recht, Installationen durchzuführen, für alle unbekannten Server und nicht Drucker-Treiber, wieder weg.

Für das erstellen wir eine neue Konfigurationsrichtline (Settings catalog):
Devices > Windows > Configuration profiles

Diese geben wir einen aussagekräftigen Namen, beispielsweise "WIN Printer Restrictions".

In der Intune Richtline fügst du nun die "Point and Print Restrictions" hinzu. Diese findest du am schnellsten über das Suchfeld.
Achte bei der Auswahl darauf, dass unten in den Resultaten "Device" und nicht "User" steht. Denn Usereinstellungen kann jeder User überschrieben.

Point and Print Restrictions

In den Einstellungen aktivierst du nun die "Point and Print Restrictions" und konfigurierst sie gemäss nachstehendem Screenshot.
"yourprintserver.domain.com" ersetzt du mit dem FQDN deines oder deiner Printserver.
Bei mehreren Servern: yourprintserver-1.domain.com;yourprintserver-2.domain.com

Point and Print settings

Device Installation Restrictions

Zusätzlich zu den oben erstellten Einschränkungen definieren wir auch noch, welche Klasse von Treibern installiert werden darf.
Dazu fügst du entweder in derselben oder einer neuen Richtlinie die Unterkategorie "Allow installation of devices using drivers that match these device setup classes" unter "Device Installation Restrictions" hinzu und aktivierst sie.

Allow installation of devices using drivers that match these device setup classes

In den "Allowed classes" fügst du nun die der Drucker-Treiber hinzu:

  • {4658ee7e-f050-11d1-b6bd-00c04fa372a7}
  • {4d36e979-e325-11ce-bfc1-08002be10318}
  • {1ed2bbf9-11f0-4084-b21f-ad83a8e6dcdc}
Allowed classes, Printer

Alle Klassen: System-Defined Device Setup Classes Available to Vendors - Windows drivers | Microsoft Learn

Zum Schluss weist du die Richtlinie(n) noch einer Gruppe zu und speicherst sie ab.

Möchtest du einen oder mehrere freigegebene Drucker mit Intune verteilen?
Dann habe ich dir hier einen Artikel dazu: Freigegebene Drucker mit Intune | scloud

Diese Drucker Richtlinien, die ich hier für Intune beschrieben habe, findest du übrigens auch in den klassischen GPOs.