Ca remediere pentru Print Nightmare, am dezactivat necesitatea privilegiilor de administrator pentru a instala drivere de imprimare (aceasta funcționează). Acest lucru este efectiv același cu a te expune la exploitul Print Nightmare. Motiv pentru care vreau să „lista albă” anumite servere de imprimare, pentru a atenua parțial exploit-ul.
Pentru a face acest lucru, am încercat să activez GPO:
"Configurație computer\Politici\Șabloane administrative\Imprimante\Restricții de tipărire și punctare".
Acest GPO este configurat astfel:
Utilizatorii pot indica și imprima numai către aceste servere: Activat
Introduceți nume de server complet calificate, separate prin punct și virgulă: test.[DOMAIN].int
Utilizatorii pot indica și imprima numai către mașinile din pădurea lor: Dezactivat
Instrucțiuni de securitate:
- Când instalați drivere pentru o nouă conexiune: Nu afișați avertismente sau indicații de elevație
- Când actualizați driverele pentru o conexiune existentă: Nu afișați avertismente sau indicații de elevație
Dar problema este că clienții mei încă pot imprima pe serverul nostru de imprimare, deși nu are FQDN test.[DOMAIN].int. Deci, nu sunt convins că modul în care am configurat GPO-ul de testare include de fapt ceva pe lista albă, lăsându-ne astfel expuși exploit-ului Print Nightmare.
De asemenea, am încercat să activez GPO „Package Point and Print - Approved server” cu test.[DOMAIN].int, fără niciun rezultat.
Am nevoie de ajutor pentru a înțelege ce trebuie să fac diferit pentru ca lista albă să funcționeze.
Am urmărit acest articol MS pe acest subiect: KB5005652âGestionați noul comportament implicit de instalare a driverului Point and Print (CVE-2021-34481)
