6 sposobów na MicrosoftNightmare

6 sposobów na Microsoft PrintNightmare KB5005652

Drukowanie to jedna z najbardziej rutynowych czynności w niemal każdym biznesie. Nawet w dobie postępującego przenoszenia wszelkich obszarów ludzkiej działalności w cyberprzestrzeń, posiadanie oraz tworzenie dokumentów w formie papierowej jest nieodłącznym elementem pracy w firmie. W sierpniu – wszystkim tym, dla których drukowanie to część obowiązków, albo po prostu czynność niezbędna do pracy – na drodze stanęła aktualizacja systemu Windows KB5005652.  

Źródło problemu  

Firma Microsoft wprowadziła zmiany w sposobie obsługi drukarek, ze względu na zidentyfikowaną lukę w zabezpieczeniach tych urządzeń. Exploit został nazwany „PrintNightmare” i dotyczył opcji – Point And Print (Wskaż i Drukuj). Wiązał się on z ryzykiem nieautoryzowanego dostępu do systemu. Aktualizacja KB5005652, mająca na celu rozwiązanie tej luki, okazała się źródłem innego problemu, związanego z uprawnieniami do drukowania. A ściślej – ich brakiem. 

Co to oznacza? Zgodnie z aktualizacją, użytkownicy, którzy nie mają podniesionych uprawnień, nie mogą wykonywać czynności, do których wcześniej mieli dostęp. Prawa administratora są teraz niezbędne do: 

  • Instalacji nowych drukarek za pomocą sterowników na zdalnym komputerze lub serwerze 
  • Aktualizacji drukarek za pomocą sterowników na zdalnym komputerze lub serwerze  

W praktyce oznacza to, że zwykły użytkownik z dnia na dzień stracił możliwość drukowania i korzystania z opcji Point and Print (Wskaż i Drukuj). Pracownicy korzystający z drukarek monitowani są o ponowną instalację niezbędnych sterowników – czego nie mogą zrobić bez uprawnień administratora.  

W poprzednich artykułach szeroko poruszaliśmy temat świadomego ograniczania dostępu administratora pracownikom w obszarze infrastruktury IT firmy oraz o zasadzie PoLP (Principle of Least Privilege). Z punktu widzenia cyberbezpieczeństwa, oczywiście jest to najlepsza praktyka stosowana w wielu organizacjach. Jak więc pogodzić tę kwestię, z ograniczeniami narzuconymi przez aktualizację KB5005652? Jak odzyskać możliwość drukowania oraz opcję Point and Print (Wskaż i Drukuj), przy zachowaniu zasady PoLP?  

Jakie kroki możesz podjąć? 

Opcja 1 – nie rób nic  

W zależności od tego, czy aktualizacja KB5005652 została wdrożona na w Twoim urządzeniu, czy nie – takie działanie może przynieść różne skutki.  

Komputery z systemem Windows, na których nie miała miejsca aktualizacja, będą działały standardowo i nie wystąpi ograniczenie zarządzania drukarkami. Po dodaniu czy aktualizacji sterowników, pojawi się jednak ryzyko związane z exploitem “PrintNightmare”, który był wykluczony dzięki KB5005652

Urządzenia, na których aktualizacja KB5005652 nie spowodowała usunięcia uprzednio zainstalowanych sterowników, początkowo będą działały bezproblemowo. Po aktualizacji sterowników jednak, użytkownik chcący skorzystać z drukarki, spotka się z zabezpieczeniem UACmechanizmem kontroli użytkownika. Zabezpieczenie to sprawia, że do dalszych działań potrzebne są poświadczenia administratora. Sprowadza się to do jednego rozwiązania – podwyższone uprawnienia będzie musiał mieć każdy użytkownik systemu. Jest to oczywiście niezgodne z zasadą PoLP i często prowadzi do niekontrolowanej eskalacji uprawnień. 

Podobna sytuacja wystąpi na urządzeniach, na których niezbędne będzie zainstalowanie nowej drukarki po aktualizacji. W tym wypadku, nieuniknionym krokiem, również będzie potwierdzenie poświadczeń administratora, w ramach zabezpieczenia UAC. 

Opcja 2 – cofnij domyślne ustawienia 

Firma Microsoft zazwyczaj zapewnia możliwość cofnięcia zmiany domyślnych zmian – aktualizacja KB5005652 nie jest wyjątkiem. Masz możliwość skorzystania z tej opcji, poprzez edycję klucza rejestru:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint 

a następnie ustawienie wartości RestrictDriverInstallationToAdministrators na wartość 0.  

Należy wiedzieć, że krok ten, pozostawia niezabezpieczoną lukę i naraża tym samym całą infrastrukturę IT Twojej organizacji na exploit „PrintNightmare” oraz potencjalny atak spowodowany tą furtką do systemu.   

Opcja 3 – przypisz poprzez GPO uprawnienia drukowania do komputerów, a nie do użytkowników  

Przypisanie drukarek do komputerów, a nie do użytkowników odbywa się bez interwencji użytkownika i działa na poziomie systemu operacyjnego. Dzięki temu można uniknąć potrzeby nadawania użytkownikom uprawnień administracyjnych, aby mogli dodać drukarki/rozwiązać problem z aktualizacją sterowników. 

Problem z tym podejściem jest taki, że czasami możesz mieć potrzebę, aby uprawnienia do drukarek “podążały” za użytkownikiem, w zależności od tego, gdzie się znajduje. Rozwiązanie to nie będzie działało w miejscach, gdzie stanowiska pracy są współdzielone. 

Istnieje również ryzyko większego uzależnienia i trudniejszego zarządzania obiektami GPO, a odświeżanie sprzętu może okazać się uciążliwe. 

Jak Admin By Request może pomóc z printnightmare i aktualizacją KB5005652

Jak może pomóc Admin By Request? 

Powyższe trzy opcje niejako rozwiązują problem związany z aktualizacją KB5005652 i ograniczonymi możliwościami korzystania z drukarek. Są to jednak dość ryzykowne i czasochłonne sposoby, które niewątpliwie będą wymagały dużego nakładu pracy.  

Dzięki Admin By Request masz możliwość skorzystania z trzech dodatkowych opcji. Wszystkie z nich są szybkie we wdrożeniu i proste w użyciu!  

Opcja 4 – użyj Admin By Request, aby uzyskać bezhasłowy system zarządzania drukarkami  

Admin By Request to rozwiązanie, które umożliwia użytkownikom przyznanie uprzywilejowanego dostępu, w czasie rzeczywistym – natychmiastowo. Wystarczy, że użytkownik, który chce skorzystać z drukarki, wystosuje odpowiednią prośbę o jednorazowy dostęp administratora. Wniosek kierowany jest do zespołu IT i w zależności od sytuacji może on zostać zatwierdzony lub odrzucony. Po autoryzacji, pracownik z łatwością może przejść do konfiguracji drukarki, a cała jego aktywność w czasie sesji uprzywilejowanego dostępu zostanie w pełni zarejestrowana.  

Opcja 5 – zezwól na „Automatyczne zatwierdzanie”  

Istnieje możliwość dodania aplikacji i wszelkich niezbędnych sterowników do tzw. “białej listy”. Dostęp do konfiguracji drukarek będzie wówczas ogólnodostępny, a prośby o uprawnienia uprzywilejowane będą automatycznie zatwierdzane.  

Ponieważ w Admin By Request wszystkie operacje podczas sesji administratora są rejestrowane w ramach audytu – ryzyko związane z przyznaniem podwyższonych uprawnień każdemu nieuprzywilejowanemu użytkownikowi jest w pełni kontrolowane. Sposób ten, pozwoli na pomyślne przejście kontroli konta użytkownika (mechanizm UAC), jednocześnie nie wymagając od użytkownika podawania poświadczeń administracyjnych. Umożliwi to każdemu pracownikowi w Twojej firmie korzystanie z drukarek oraz możliwość ich ewentualnej konfiguracji. Aktywność użytkowników, dzięki Admin By Request, jest oczywiście raportowana, co pozwala na uniknięcie potencjalnie niebezpiecznych dla systemu działań.  

Opcja 6 – skonfiguruj „Czarną listę” w Admin By Request 

Admin By Request może zostać użyty jako dodatkowa warstwa ochrony. Opcja ta, pozwala na natychmiastowe zablokowanie użytkownikom zwykłym i uprzywilejowanym możliwości instalacji i konfiguracji drukarek, poprzez zdefiniowanie tzw. “czarnej listy” wybranych aplikacji. W skrócie – rozwiązanie to, uniemożliwi użytkownikom dodawanie czy aktualizowanie własnych sterowników i drukarek. Dlaczego może być to jedno ze słusznych i uzasadnionych działań? Jest prewencją przed nieświadomym dodaniem do systemu złośliwie zmodyfikowanej drukarki czy sterownika.  

Jednocześnie – Admin By Request umożliwia bezpieczną i kontrolowaną eskalację uprawnień niezbędnych do skonfigurowania zaufanej drukarki. W szczególnej sytuacji może zostać wygenerowany unikatowy kod PIN, który pozwoli na przyznanie jednorazowego dostępu administratora, niezbędnego do skonfigurowania odpowiednich uprawnień i sterowników, aby móc korzystać z firmowej drukarki. 

Admin By Request – wszystko czego potrzebujesz 

W zależności od potrzeb Twojej firmy, możesz skorzystać z szeregu opcji bezpiecznej elewacji uprawnień, oferowanych przez Admin By Request. Wszystkie rozwiązania są szybkie i łatwe we wdrożeniu, a także bezproblemowe w zarządzaniu. Dodatkowo – narzędzie pozwala na darmowe zabezpieczenie do 25 urządzeń w Twojej firmowej sieci.  

Jeśli dotknęło Cię ograniczenie związane z aktualizacją KB5005652 i pracownicy w Twojej firmie stracili możliwość drukowania i konfiguracji drukarek, skontaktuj się z nami, aby dowiedzieć się więcej. Możesz uzyskać od naszego zespołu cenne wskazówki, które pozwolą na rozwiązanie omawianego problemu.  

  • Po co odwoływać lokalne uprawnienia pracownikom?
  • Jak przygotować się do wdrożenia zarządzania dostępem?
  • W jaki sposób odebrać uprawnienia administracyjne na komputerach?