Aggiornamento KB5005043 e modifica del comportamento di default della funzionalità Point and Print

Gli aggiornamenti di Windows rilasciati dopo il 10 agosto 2021, come la KB5005043, richiederanno, per impostazione predefinita, privilegi amministrativi per installare i driver tramite la funzionalità Point and Print (ovvero la funzionalità introdotta in Windows 2000 che consente ad un client di installare un driver di stampa scaricandolo da un server di stampa remoto).

Tale modifica si è resa necessaria per risolvere la vunerabilità CVE-2021-34481, per maggiori dettagli si veda anche il seguente Point and Print Default Behavior Change, pubblicato il 10 Agosto 2021, in cui viene riportato quanto segue:

“Our investigation into several vulnerabilities collectively referred to as “PrintNightmare” has determined that the default behavior of Point and Print does not provide customers with the level of security required to protect against potential attacks.

 

Today, we are addressing this risk by changing the default Point and Print driver installation and update behavior to require administrator privileges. The installation of this update with default settings will mitigate the publicly documented vulnerabilities in the Windows Print Spooler service. This change will take effect with the installation of the security updates released on August 10, 2021 for all supported versions of Windows, and is documented as CVE-2021-34481.

 

This change may impact Windows print clients in scenarios where non-elevated users were previously able to add or update printers. However, we strongly believe that the security risk justifies this change. While not recommended, customers can manually disable this mitigation with a registry key, which is outlined in the following KB Article:

 

KB5005652 How to manage new Point and Print default driver installation behavior

 

Disabling this mitigation will expose your environment to the publicly known vulnerabilities in the Windows Print Spooler service and we recommend administrators assess their security needs before assuming this risk.

Scendendo nel dettaglio, come descritto nella KB5005652 How to manage new Point and Print default driver installation behavior, per default l’installazione e l’aggiornamento dei driver tramite Point and Print per default richiederanno privilegi amministrativi a meno di non disabilitare tale funzionalità di sicurezza impostato a 0 la chiave di registro RestrictDriverInstallationToAdministrators di tipo DWORD in HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint. Nel caso la chiave non sia presente o impostata a 1 la funzionalità di sicurezza sarà attivata.

Le indicazioni fornite nella KB5005652 How to manage new Point and Print default driver installation behavior per distribuire i driver di stampa mantenendo tale funzionalità di sicurezza attivata come consigliato sono le seguenti:

– Provide an administrator username and password when prompted for credentials when attempting to install a printer driver.
– Include the necessary printer drivers in the OS image.

-Use Microsoft System Center, Microsoft Endpoint Configuration Manager, or an equivalent tool to remotely install printer drivers.

-Temporarily set RestrictDriverInstallationToAdministrators to 0 to install printer drivers.

Se non si dispone di Microsoft System Center – Microsoft Endpoint Configuration Manager o equivalente una soluzione per mantenere attiva la funzionalità di sicurezza potrebbe essere quella di creare una una Gruop Policy Preferences per copiare in una directory locale i driver necessari e i relativi aggiornamenti e specificare tramite la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DevicePath per indicare al sistema di ricercare i driver in tale percorso (a riguardo si veda How Windows selects a driver for a device e il mio precedente post Installazione centralizzata dei driver).

Se invece risulta necessario disabilitare la funzionalità di sicurezza occorre almeno configurare quali sono i server di stampa autorizzati a distribuire i driver tramite la funzionalità Point and Print, tramite le seguenti Group Policies:

  • Computer Configuration\Administrative Templates\Printers\Point and Print Restrictions (permette di consentire agli utenti di connettersi solo a server di stampa specifici attendibili)
    dopo aver abilitato la GPO selezionare Users can only point and print to these servers quindi specificare gli IP o gli FQDN dei printer server autorizzati separati da punto e virgola (si noti che se possibile è consigliabile specificare gli indirizzi IP per maggior sicurezza) quindi selezionare Show warning and Elevated Prompt in When installing drivers for a new connection box e Show warning and Elevated Prompt in When updating drivers for an existing connection.
  • Computer Configuration\Administrative Templates\Printers\Package Point and Print – Approved servers (permette di consentire agli utenti di connettersi solo a specifici server di punti di pacchetto e di stampa attendibili)
    dopo avere abilitato la GPO selezionare Show… e aggiungere gli IP o gli FQDN dei printer server autorizzati separati da punto e virgola (si noti che se possibile è consigliabile specificare gli indirizzi IP per maggior sicurezza)

Si tenga presente che questa soluzione non va garantire una protezione completa contro la vulnerabilità CVE-2021-34481 come indicato nella KB5005652 How to manage new Point and Print default driver installation behavior:

“The following mitigations can help secure your environment if you must set RestrictDriverInstallationToAdministrators to 0. These mitigations do not completely address the vulnerabilities in CVE-2021-34481.”