Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Cet été, un ensemble de vulnérabilités connues sous le nom PrintNightmare ont défrayé la chronique. Le problème touche le service Windows Print Spooler. Avec la mise à jour de sécurité d’août 2021, un changement est opéré sur le comportement de la fonctionnalité Point and Print afin de ne plus permettre l’ajout ou la mise à jour d’imprimantes stockés sur des serveurs distants par des utilisateurs sans privilèges (standards). Cette opération requiert maintenant les droits d’administrateur de la machine. Ce changement de paradigme peut avoir un impact pour les entreprises qui permettaient ce genre de scénario.

Microsoft donne une méthode permettant de contourner le mécanisme de sécurité via la création d’une clé de registre. Néanmoins, ceci expose à nouveau l’entreprise à des attaques via ces vulnérabilités.

Si vous souhaitez laisser ce mécanisme activé, vous pouvez inclure les drivers d’impression dans votre image d’installation de système d’exploitation ou utiliser un outil d’administration tels que Microsoft Endpoint Configuration Manager pour installer les drivers.

Plus d’informations sur : KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481) (microsoft.com)

Facebook Like
Anonymous
  • Bonjour,

    Jusqu'à présent, les installations d'imprimantes se font via un logon script et, ayant le nombre de PC sur notre parc qui ont reçu cette cumulative étant de plusieurs milliers, nous avons décidé de déployer en masse  la clé de registre "RestrictDriverInstallationToAdministrators" avec la valeur "0" et d'appliquer en complément une GPO spécifique permettant de déclarer nos serveurs d'impressions. 

  • Inclure les drivers dans l'image d'install, ok, mais ces drivers doivent être mis à jour et là on retombe sur le même problème. De plus si une nouvelle imprimante arrive dans l'entreprise, les postes déjà imagé ne seront formaté juste pour ajouter un drivers... 

    Pour un parc conséquent la seule solution pour le moment est d'autorisé via la clé de registre les non admins à installer les drivers et pour limité l'impact, de spécifier le ou les serveurs d'impressions. 

    Pour les entreprises qui ont encore recours aux partage d'imprimantes entre postes la tâche est plus compliquée.