Das Script muss auf allen Domain Member Computern ausgeführt werden auf denen der Spooldienst läuft! Also nicht nut der/die PrintServer.

Der in Frage stehede Dienst läuft auf jedem Windows Rechner, also mithin auch auf einem DomainController. Das liegt an der Standardinstallation des WinXPS/PDF Printers. DATEV hat bei der Installation den SkyPDF und die DMSclassic Drucker auch auf dem File Server installiert und damit dann den SpoolerService automatisch aktiviert.

Der Startpunkt kann schon eine von den berühmt berüchtigten Mails sein von denen @deusex letztens eine vorgestellt hat.

Hier hilft nur eins: MACHEN

Das ist mal wieder ein weiteres Beispiel, das zeigt, dass man im professionellen Umfeld dringend von Windows runter muss. DATEV ist aber wohl damit verheiratet, was mich zu der Frage führt: Laufen die DATEV-Programme eigentlich unter Wine?

---

@JörgW schrieb:

Laufen die DATEV-Programme eigentlich unter Wine?

---

Technisch sollte das machbar sein: Leitfaden für die Installation von SQL Server unter Linux Das gepaart mit: Selbst lizenzierten Microsoft SQL Server für DATEV-Programme verwenden sollte doch klappen, oder? 🤔 

Fragt sich, ob das sicherheitstechnisch so viel besser ist, als wenn man gleich eine reine Microsoft Umgebung nutzt und die entsprechend patcht. 

Citrix ist nun seit ein paar Monaten auch nicht besser, wo man jetzt das 2. Mal schon kritische Lücken gefunden hat. Und da DATEV ja 2026/2029 sowieso in der Cloud sein will, kann man dann auch mit Linux und einem Browser arbeiten: Microsoft Edge, Google Chrome oder im besten Falle auch mit Apple Safari und damit auch auf iPad und iPhone. Zumindest soll das das ganz große Ziel ja sein 😊. 

Wie kommen Angreifer an den Dienst dran? 

Das hat der René beim Günter kurz erläutert. So wie immer eben und da man ja nie so weiß, auf was die User klicken, wenn man nicht hinschaut 😬. Jetzt davon auszugehen, dass externe sowieso nicht an eine Domänenkennung kommen, halte ich für riskant.

Passwörter gibt's ja genug: 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

Wenn heise.de schon einen ⚠️ alert ausgibt, hat das seinen Grund. Seit dem Exchange Hack im März bin ich wirklich auf Draht, wenn sowas viral geht 😫.

EDITH: PrintNightmare: Microsoft warnt vor Sicherheitslücke in Windows und veröffentlicht Workaround

---

Dort, wo das nicht möglich ist, soll zumindest das Drucken übers Netzwerk via Gruppenrichtlinie deaktiviert werden. Dazu muss die Richtlinie „Annahme von Clientverbindungen zum Druckspooler zulassen“ auf „Deaktiviert“ gesetzt werden, man findet diese im Gruppenrichtlinieneditor (gpedit.msc) unter Computerkonfiguration \ Administrative Vorlagen \ Drucker.

---

ja gut, da hoff ich auf die firewall datevnet .. sei es mail oder letzten endes dann der zugriff.

da sind wir vermutlich weit besser abgesichert als - sehr viele - andere.

Moin !

Wir lassen Windows grundsätzlich nicht drucken, es kann nicht einmal die Drucker erreichen.   Druckausgaben selbst werden über den "Windows LPR Monitor" gehandhabt, der an einen zentralen Druckserver schickt.

In der Windows-Druckerdefinition haben wir das "Kontrollkästchen" aktiviert "Daten direkt an das Gerät senden".  Es erfolgt also eine direkte Ausgabe an den Druckserver (der eine ordentliche Leistung aufweist).

FRAGE:

Kann ich den Windows-Spooler nicht sicherheitshalber dauerhaft abschalten in der "Diensteverwaltung" ?   Oder verweigert Windows dann auch die Operation als LPR-Client ?  Ich trau' mich nicht, den Spooler auf unserem ausnahmsweise einmal ordentlich funktionerenden WTS probehalber abzuschalten.

Gruß,

Hans Bonfigt

Update: 0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)

Nutzt jemand von Euch 0patch? 

So, anstatt wie geplant in die Sauna zu gehen habe ich jetzt folgendes probiert, gemäß

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Option 1:   Spooler stoppen.

Damit kann man aber gar nicht mehr drucken, AUCH DANN NICHT, wenn man bei der Druckerdefinition angegeben hat, "Nicht über Spooler drucken".  Ganz allerliebst.

Option 2:   Druck von extern eingehend unterbinden.

Das wäre für uns die optimale Lösung, sozusagen der "Gold-Standard".

You can also configure the settings via Group Policy as follows:

Computer Configuration / Administrative Templates / Printers

Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks.

Impact of workaround This policy will block the remote attack vector by preventing inbound remote printing operations. The system will no longer function as a print server, but local printing to a directly attached device will still be possible.

Zwei Fragen:  "a directly attached device", das meint auch Drucker, die über LPR oder JetDirect angebunden sind ?

Schlimmer:   Was ist mit diesen "Group Policys" ?  Ich höre immer von den Turnschuhadmins, "Die GPOs ziehen nicht".   Ist das ein besonderer Teil der "Registry" oder wie kommt man dort 'ran, ohne das System zu zerstören ?

---

@Koppelfeld schrieb:

Option 1: Spooler stoppen.
Damit kann man aber gar nicht mehr drucken, AUCH DANN NICHT, wenn man bei der Druckerdefinition angegeben hat, "Nicht über Spooler drucken". Ganz allerliebst.

---

Jupp, im Übrigen auch kein PDF Druck mehr, weil es unter Windows tatsächlich als Druck gehandhabt wird. Speichern unter/als PDF sollte aber funktionieren. Das nutzt nur DATEV meines Wissens nach nicht und selbst eine simple Vorschau braucht bei DATEV die Möglichkeit des Drucks. 

---

@Koppelfeld schrieb:

Schlimmer: Was ist mit diesen "Group Policys" ? Ich höre immer von den Turnschuhadmins, "Die GPOs ziehen nicht". Ist das ein besonderer Teil der "Registry" oder wie kommt man dort 'ran, ohne das System zu zerstören ?

---

Dann sind es zu Recht Turnschuh-Admins, wenn man sich damit nicht auskennt. Die Gruppenrichtlinienverwaltung ist aber auch nicht einfach zu verstehen und eher so wie die Rechteverwaltung online für einige Admins. Aber: So verhält sie sich auch. Heißt, wenn eine GPO nicht zieht, hat das zu 105% einen triftigen Grund. Immer. Der ist aber eben nicht immer einfach zu finden; ist eher der Teufel im Detail.

Einfach am Windows Domänencontroller (also an jedem, wenn Sie mehr als 1 haben für z.B. 2 Standorte: an jedem einen) das Programm Gruppenrichtlinien suchen. Dort können Sie alles einstellen. Ich will Ihnen nichts unterstellen aber ohne grobe Vorahnung sich dort auszutoben bringt einen nervlich eher ins Grab. Ich habe mir einige grundlegenden Dinge selbst in etlichen Stunden beigebracht und hatte auch einen Testbenutzer zum Testen da, weil sich Einstellungen zum Teil als Benutzer anders verhalten als Admin und es auch an den Rechten dazu liegen kann. Zudem setzt die Gruppenrichtlinien ein strukturiertes Windows Active Directory voraus: alle Terminalserver in einer OU, alle Clients in eine OU oder diese nochmal nach Clients und Notebooks unterteilt, weil für Notebooks andere Vorgaben als für Clients gelten sollen, tbc ... 

Wenn Sie's ganz einfach haben wollen und domänenweit diese Einstellung auf allen PCs / Servern setzen wollen: die GPO an die Domäne ganz oben im Baum setzen, weil sie sich dann den Baum hinab durchvererbt. Deshalb ist es auch wichtig auch alle PCs / Windows Clients ins AD aufzunehmen, da man sonst wirklich an allen PCs manuell von Hand alles einstellen muss. 

Im Post #6 habe ich die Information / Abhilfe durch GPO auch nochmal auf Deutsch zitiert. 

Als Beispiel, was mit GPOs alles möglich ist: Auf unserer RDS Farm mit 5 Servern und 35 Benutzern füllt sich der %temp% Benutzer Ordner mit der Zeit. Windows löscht (warum auch immer) dort nie was raus. Und weil die User nur ein 8GB Profil haben, läuft der Speicherplatz irgendwann voll und DATEV sagt: Hilfe, kein Platz zum Arbeiten mehr. Also, eine GPO gebaut, die an die RDS Farm geknüpft, die bei jedem Domänen-Benutzer beim jedem Abmelden vollautomatisch den %temp% Ordner löscht; nur bei Domänen-Administratoren nicht, sodass die DATEV Wartung noch ggf. auf diese Dateien bei einem Neustart zugreifen kann. Ich brauche nichts 35x an 5 Servern einstellen. RDS Farmen verhalten sich aber nochmal anders als klassische Clients, sodass hier besondere Einstellungen zu beachten sind. 

Vielen Dank für die "Anleitung für Doofe", habe die EDITH heute morgen übersehen.

Hat auch prima geklappt.

Sowas  wie "AD" und "GPO" braucht die Kanzlei eigentlich nicht, nachdem nur zwei Windows-Geräte dort existieren, FILE und WTS.  Sechzehn Jahre lang hatten wir sogar nur ein einziges Gerät, unter lauter Kakophonie von Datev-Beratern und Systemhäusern.

Das war die schnellste und zuverlässigste DATEV, die wir je hatten.

Whatever, der "Gruppenrichtlinieneditor" war ja gut dokumentiert  --  geändert, Spooler neu gestartet, Geräte und Drucker -> "Testseite Drucken" und:

$ lpc -P PRTDG1

Rank/Owner/ID Pr/Class Job Files Size Time
hold adminst@PAWTS+1 A 1 Testseite 63421 13:07:08
done sabineth@PAWTS+203 A 203 AGZDruckauftrag 86500 14:32:50

Was will man mehr ???

Also DANKE !!!

---

@Koppelfeld schrieb:

Sowas wie "AD" und "GPO" braucht die Kanzlei eigentlich nicht, nachdem nur zwei Windows-Geräte dort existieren, FILE und WTS.

---

Und gerade dann! Haben Sie doch jetzt selber getestet? 🤔 Wie sonst hätte ich mein %temp% Ordner Problem denn smart, einfach, effektiv lösen können? Ob das nun 1 WTS oder 5 ist - spielt keine Rolle, wenn die GPO an die OU geknüpft wird. Ich könnte jetzt noch 10 weitere aufsetzen und müsste nichts ändern. Aber 35x das gleiche einstellen? Arbeit für **bleep**en. 

Gerade auch in kleinen Umgebungen sind GPOs goldwert, weil man so 1x das Ergebnis einstellen muss und dann Ruhe hat. Kommt ein Mitarbeiter oder geht? Egal. GPO greift. Es nutzen viel, viel zu wenige Kanzleien die Möglichkeiten von GPOs aus und machen viel zu viel zu Fuß. Habe ich oft genug erlebt. 

Nur innerhalb der DATEV - da ist noch oft Turnschuh-Administration nötig, weil der DATEV Admin nicht überall Kanzleivorgaben machen kann 😓.

Die Botschaft höre und verstehe ich.

Ich würde SEHR GERNE einige GPOs auf "Disabled" setzen, ibs.

[ x ] lasse ab und zu Usermails im Outlook - PostAUSgang hängen

[ x ] vergesse ab und zu, die gesendeten Mail in 'Gesendete Elemente' zu übertragen

[ x ] blockiere ab und zu die Mailqueue für den User, sodaß er stundenlang Ruhe har vor Mails

[ x ] Verhindere, ohne Fehlermeldung, den "Office 2019" - Update

[ x ] Stürze den Spooljob ab, wenn zwei ähnliche HP-Drucker gleichzeitig benutzt werden

Also, wenn ich DIE disablen könnte ....   bloß, ich finde diese GPOs nirgendwo.

Ernsthaft:  Jetzt gleich muß ich mich durch 15 Userprofile klicken und "Outlook erstellt automatisch Kopieen in 'Gesendet'" abschalten und dem Mailserver sagen, daß er das doch bitte übernehmen soll.  Das wäre mit so einem GPO-Editor schon sehr schön, aber alle GPOs, die ich gerne hätte, gibt es nicht.

Gruß,

Hans Bonfigt

Und PrintNightmare ist ein Tropfen auf den heißen Stein 😳: 

REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)

Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang

Exchange Lücke im März ... ja, war ja ein Witz. 

Happy Weekend! 

Das Powershell-Script, welches dem Systemuser den Zugriff auf

"C:\Windows\System32\spool\drivers"

verbietet, ist im Datev-Kontext als Workaround übrigens nicht zu gebrauchen.

Hatte gerade einen Kunden bei dem nach dieser Anpassung Auftragswesen nicht mehr gedruckt hat, weshalb wir dann die Variante mit den lokalen Gruppenrichtlinien genommen haben.

1. Deaktivieren des Spoolers auf allen Rechnern (die nicht drucken müssen)
2. GP für die Client-PCs, die drucken müssen
3. Rechteeinschränkung auf das Treiber-Verzeichnis des Druckservers

funktioniert für mich mit Datev.

1. Deaktivieren der Druckerwarteschlange auf allen Servern (auch der Printserver) außer den Terminalservern (sonst funktioniert PDF-Druck nicht)

2. Gruppenrichtlinie für alle anpassen

3. Drucker lokal einrichten, sodass das Sekretariat drucken kann (Ausgangspost)

Reicht bei einer digitalen Kanzlei vollkommen aus. Muss ein Mitarbeiter zwingend etwas ausdrucken, wird es durch das Sekretariat erledigt (übergangsweise) - war zu mindestens unser schneller Workaround.

---

@pascal_duennebacke  schrieb:

1. Deaktivieren der Druckerwarteschlange auf allen Servern (auch der Printserver) außer den Terminalservern (sonst funktioniert PDF-Druck nicht)

2. Gruppenrichtlinie für alle anpassen

3. Drucker lokal einrichten, sodass das Sekretariat drucken kann (Ausgangspost)

 

 

Reicht bei einer digitalen Kanzlei vollkommen aus. Muss ein Mitarbeiter zwingend etwas ausdrucken, wird es durch das Sekretariat erledigt (übergangsweise) - war zu mindestens unser schneller Workaround.

---

Das "lokale" Einrichten von Druckern ist, nebenher gesagt, kein "Workaround", sondern eine sehr sinnvolle Vorgehensweise.  Machen wir seit 25 Jahren so, minimiert Ärger.

Zwei Hinweise dazu:

Einen zentralen Printserver bereitstellen, der auch dafür sorgt, daß die Mitarbeiter am Heimarbeitsplatz drucken können.

Drucker nicht mit "JET Direct" einbinden, sondern mit "LPR Monitor".   Damit nämlich hat man die Möglichkeit, einen laufenden Druck bei Bedarf abzubrechen.

p.s.:

auch "Ausdrucke" sind digital ...

so ganz versteh ich das noch nicht ganz..

ich würde jetzt für alle:

• Via Gruppenrichtlinieneditor geht man auf den Bereich Computerkonfiguration \ Administrative Vorlagen \ Drucker.
• Nun muss die Richtlinie "Annahme von Clientverbindungen zum Druckspooler zulassen" auf "Deaktiviert" gesetzt werden. Folglich kann man nicht mehr übers Netzwerk ausdrucken.

Kann ich dann dennoch selbst über LAN (direkt) auf den Druckern drucken?  Die haben alle einen Printserver "intus".

---

@boomboom  schrieb:

so ganz versteh ich das noch nicht ganz..

ich würde jetzt für alle:

• Via Gruppenrichtlinieneditor geht man auf den Bereich Computerkonfiguration \ Administrative Vorlagen \ Drucker.
• Nun muss die Richtlinie "Annahme von Clientverbindungen zum Druckspooler zulassen" auf "Deaktiviert" gesetzt werden. Folglich kann man nicht mehr übers Netzwerk ausdrucken.

 

Kann ich dann dennoch selbst über LAN (direkt) auf den Druckern drucken?  Die haben alle einen Printserver "intus".

---

"That depends".

Generell ist es wünschenswert, wenn die Druckanforderungen serialisiert werden.

Die meisten Drucker haben heutzutage unterdessen einen kompletten Druckspooler eingebaut, der das erledigt.   Also Kyocera und HP können das.

Aber auch den Drucker würde ich mit dem "LPR Monitor" anbinden (muß extra installiert werden), denn damit kann man einen laufenden Job canceln.  Bei JetDirect:  Wenn der Job im Drucker ist, dann muß man hinlaufen...

Der Prozessor im Drucker ist nicht unbedingt der Schnellste.   Bei manchen DATEV-Programmen legt ein Drucker zwischen den Seiten 20 Sekunden Pause ein.  Meistens ist das ein Postscript-Problem.   Ein zentraler Formatierer, der gleich Postscript in PCL6 umsetzt, kann enorm beschleunigen.

Und dann gäbe es noch das häßliche Problem:

Ein Druckerlieferant erzählte uns, daß ein Drucker von einem PC aus "infiziert" wurde, wobei jener so manipuliert worden sei, ausschließlich die Fixiereinheit mit 100% Leistung einzuschalten.  Eine Zeitlang hat HP mit den "Treiber-CDs" die Computerviren gleich mitgeliefert.  Insofern:   Drucker, IP-Telephone und eigentlich auch alles ander, was einen kleinen, gesprächigen Linux-Computer beinhaltet, in ein Extra-Netz.

Das "lokale" Einrichten von Druckern ist, nebenher gesagt, kein "Workaround", sondern eine sehr sinnvolle Vorgehensweise.  Machen wir seit 25 Jahren so, minimiert Ärger.

 

Trotz der lokalen Anbindung kann "Drucken mit Authentifizierung" abgebildet werden? 

---

@pascal_duennebacke  schrieb:

Das "lokale" Einrichten von Druckern ist, nebenher gesagt, kein "Workaround", sondern eine sehr sinnvolle Vorgehensweise.  Machen wir seit 25 Jahren so, minimiert Ärger.

 

 

Trotz der lokalen Anbindung kann "Drucken mit Authentifizierung" abgebildet werden? 

---

Ja.  Der Code, den der Mitarbeiter eingeben muß (resp. was der Transponder zurückgibt), steht im Druckjob.  Die "Authentifizierung" erfolgt lokal im Gerät.

Tja:   "Gruppenrichtlinie" wie empfohlen angepaßt.

Heute Meldung:   Mehrere von 15 Mitarbeitern können aus "Outlook" und "Word" nicht drucken, "das Bild wird erst milchig und dann kringelt der Rechner".

Grupperichtlinie wieder zurück, WTS neu gestartet.

Drucken funktioniert wieder.

Ob hier nur eine zeitliche Koinzidenz oder eine Kausalität vorliegt, vermag ich freilich nicht zu sagen.

Gruß, Hans Bonfigt

Leider noch nicht für Server 16 usw.

---

@witte schrieb:

Updates stehen bereit!

---

Quelle? Sonst kann ich ja gleich selber auf die Suche im Internet gehen 😜. Windows Updates? Auch schon via WSUS? 

Über die Update-Funktion von MS; auch für unserer Server 2019.

Mein Virensanner ESET hat mich heute morgen netterweise darauf hingewiesen, dass Updates zur Verfügung stehen.

Hier z.B.:

https://it-blogger.net/microsoft-veroeffentlicht-kb5004945-fuer-windows-10/

Windows 7!, 10, Server 19 usw. geht, Server 16 nicht. WSUS weiß ich nicht. 

Steuer das mit GPO

---

@metalposaunist  schrieb:

---

@witte schrieb:

Updates stehen bereit!

---

Quelle? Sonst kann ich ja gleich selber auf die Suche im Internet gehen 😜. Windows Updates? Auch schon via WSUS? 

---

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

https://msrc-blog.microsoft.com/2021/07/06/out-of-band-oob-security-update-available-for-cve-2021-34527/

https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7