Habe gerade das update an allen Servern/Clients durchgeführt und die Deaktivierung der "Annahme von Client-Verbindungen zum Druckspooler zulassen" auf dem DC über Gruppenrichtlinie wieder zurückgenommen.

Das "Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available" der Sicherheitsfirma Truesec nehme ich aber vorerst nicht zurück, solange mich die Zugriffsverweigerung auf "C:\Windows\System32\spool\drivers" nicht stört.

---

@metalposaunist  schrieb:

 

Dann entfällt wohl am DI, 13. Juli der klassische Patchday? 

---

Glauben Sie noch an den Weihnachtsmann?😉  Freitag steht doch auch wieder ein DATEV SR an. - Nur damit es den Admins nicht langweilig wird.😎

---

@agmü schrieb:

Glauben Sie noch an den Weihnachtsmann?

---

Da muss ich ja gleich wieder quer verweisen: QR-Code in Rechnungen 😬

---

@agmü schrieb:

Freitag steht doch auch wieder ein DATEV SR an.

---

Nein, Samstag. Habe ich meine Ruhe. Freitag steht noch ein DATEV SQL Server Umzug an 🤓.   

EDITH: Wie man den Kommentaren vom Born Blog entnehmen kann, schließt der Fix nicht sämtliche Lücken. Windows Server 2016 fehlt noch immer komplett. 

@metalposaunist 

Oder hier: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

auf den obigen MS-Update_Workflow verweist heise https://www.heise.de/news/Notfallpatch-Microsoft-schliesst-PrintNightmare-Luecke-in-Windows-6130503.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag

Na dann hoffen wir mal, dass dieses „Gepatche“ die Lücken wirklich beseitigt, da gibt es ja auch Informationen die einen hinsichtlich des lokalen Angriffsvektors zweifeln lassen (dann frage ich mich natürlich naiv, ob die in wenigen Minuten umsetzbare Deaktivierung von Remote-Druck über GPO hier nicht schon ähnlich wirkt – Achtung: gpupdate und Neustart Spooler notwendig?). Vielleicht lese ich mir dies aber nicht mehr weiter durch um ruhiger schlafen zu können?! Nächste Woche kommt ja eh der nächste Update-Nerv.

Verstehe auch nicht, dass hier ein riesiges CU notwendig ist (bedeutet bei uns bei den beiden Servern 2016: ca. 40 min Download, 20 min. Installation, 20 min. Neustart, 2 h bis Sytemmaintenance fertig und Performance voll da ist!)

Freue mich jedenfalls darauf heute Abend stundenlag die Updates zu installieren und dann tagelang zu bangen, dass uns die ggf. vorhandenen Kollateralschäden nicht betreffen.

Auch die Workarounds und Konfigurationsempfehlungen sind wirklich „top“ und man sollte bei den mäßigen Beschreibungen immer auf die englischen originale setzten bzw. geistesgegenwärtig die möglicherweise aber auch fehlerhaft übersetzten Richtlinienbeschreibungen im gpeditior lesen! Hier gibt es bei www.borncity.com in der Regel viele wertvolle Ratschläge und Erkenntnisse aus Erfahrungen dich man sicher nicht selber machen möchte.

PS: Die Systeme sind aktuell offenbar zu komplex und funktionsüberladen. Die damit verbundenen Sicherheitslücken sind dann der Nightmare von Digitalisierung, Automatisierung und Remote-Arbeit. Wir Nutzer sind halt die „dummen“ Geiseln dieser Situation, die den Motor (SW-Hersteller, IT-Dienstleister und natürlich auch die Hacker) am Laufen halten (müssen).

Sorry, bin gerade etwas in Rage. Ich habe fertig!

Der lokale Angriffsfall wird durch das Update nicht geschlossen. Kommuniziert Microsoft aber auch sehr offen.
Das Remote-Risiko wird dadurch aber soweit gesenkt, dass das Drucken via Netzwerk freigegeben werden kann. Ein Restrisiko wird sowieso immer bleiben - natürlich müssen wir hier auf die Aussagen von Microsoft vertrauen.

Microsoft wird höchstwahrscheinlich den Patch-Day einfach vorgezogen haben. Durch das Update werden also noch mehr Fehler behoben. Daher ist die Größe des Updates logisch.

Die Installation gehört nun mal dazu. Wenn ich um 18 Uhr Feierabend mache klicke ich auf allen Server auf "Update herunterladen". Dann ist abends noch einmal kurz der Neustart ausstehend, was bequem aus dem Home Office heraus gestartet wird um 21 Uhr. Dann haben die Server genügend Zeit die Updates zu installieren und die Systemperformance wieder herzustellen. Sehe den Vorgang eigentlich sehr entspannt.

---

@Nutzer_8888 schrieb:

Verstehe auch nicht, dass hier ein riesiges CU notwendig ist (bedeutet bei uns bei den beiden Servern 2016: ca. 40 min Download, 20 min. Installation, 20 min. Neustart, 2 h bis Sytemmaintenance fertig und Performance voll da ist!)

---

Willkommen bei Windows Server 2016 😉. Server 2019 hat das gefixt; da geht alles schneller.

---

@Nutzer_8888 schrieb:

Sorry, bin gerade etwas in Rage. Ich habe fertig!

---

Über genau die Situation gibt's in den Kommentaren vom Born Blog eine schöne Diskussion und viele EDV'ler kehren der EDV den Rücken zu. Ich spiele auch mit dem Gedanken bzw. wechsle das Gebiet. Zwar auch EDV aber eher Schnittstellen und ähnliches aber keine PrntNightmare oder Exchange Lücken mehr. Das macht einen kaputt 😫. 

Das mit der klaren Kommunikation sehe ich nicht so. Ich würde - gemäß den Beschreibungen von MS -  annehmen: Patch drauf und PrintNichtmare-Sicherheitslücke geschlossen?!

Ansonsten gebe ich Ihnen Recht, das Vertrauen in deren Fähigkeiten ist - notwendigerweise - das Haar, an dem wir uns alle festhalten müssen.

Der Rest wird sich zeigen, in der Patchbeschreibung steht nichts von anderen geschlossenen Lücken - aber das wäre ja auch wieder das Thema "klare" Kommunikation von MS?! Hoffen tue ich trotzdem auch, dass damit ggf. der Dienstagspatch wegefällt (wir werden sehen).

Habe schon so einiges an Update-Pannen mit Server 2016 erlebt (alles MS interne Ursachen), weshalb ich dies nicht so entspannt verfolgen kann und die Kontrolle nach Neustart essenziell empfinde (gebe aber zu, dass seit Ende 2019 das Ganze zwar nicht gerade schnell aber zumindes fehlerfrei lief). Natürlich hat jeder auch mittlerweise seine Strategie, um mit den Unzulänglichkeiten des Server 2016 beim CU-Aufspielen klar zu kommmen (ich sitze normalerweise auch nicht wirklich 4 h vor dem Bildschirm ;-)).

... wollte gestern auch einen ausrangierten (jetzt privat genutzten) Windows Server "SBS2011" mit dem Notfall-Update versorgen.

... "Windows Update" ist allerdings der Meinung, dass der "SBS 2011" auf dem neuesten Stand ist.

Auch die Online-Suche findet keine wichtigen Updates.

... könnte/sollte man manuell etwas herunterladen und installieren, z.B. das Update für Windows Server 2008R2 ?

Leicht themenfrender Beitrag (Stichwort Server 2016 vs 2019):

Möchte den Beitrag nicht in eine falsche Richtung abändern, aber ja Server 2019 ist hier wohl besser. Dies ist übrigens auch die - in diesem Falle - deutlich kommuniziert Aussage von MS. Mann solle halt auf 2019 wechseln (braucht halt nur alle Lizenzen neu ....). Ist doch ein Top-Service, für ein Produkt was noch nicht sehr nah am EOL ist ...

Ich fände es schade, wenn EDV'ler mit Engagement und Verstand ihrem Job den Rücken kehren.

Wir werden jedenfalls auch - aber nicht ausschließlich - aus solchen Gründen in die Smart-IT wechseln. Für unsere kleine "Bude" ist mir der Aufwand mittlerweise zu hoch und Sache auch zu komplex...

Viele Grüße

Wiedervorlage in 4 Wochen, bis dahin betrachte ich das Problem als nicht gefixt.: https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforscher-umgehen-PrintNightmare-Patch-6131519.html

---

@vogtsburger schrieb:

... könnte/sollte man manuell etwas herunterladen und installieren, z.B. das Update für Windows Server 2008R2 ?

---

Ja, geht: Microsoft Update-Katalog KB Nummer eintippen > Download und manuelle Installation. Habe ich gestern auch 2x gemacht. Blöd nur, wenn nicht mal der 2008 R2 bis 01/2020 durchgepatcht war und z.B. das SHA2 Update fehlt. Dann bekommt man bei der Installation weitere Fehler und muss erst weitere KBs manuell nach installieren, bevor man das 07/2021 Update installiert. 

Oder point & print deaktivieren, dann reicht der MS-Fix. 

"nicht konfiguriert" sollte auch schon ausreichen oder muss es "deaktiviert" sein?

Nicht konfiguriert kann m.E. beides bedeuten, deaktiviert ist eindeutig... 

Im englischen MRSC-Artikel zu CVE-2021-34527 wird dagegen darauf verwiesen, dass die Registry-Keys (im deutschen Artikel steht so ziemlich das Gegenteil, was sehr problematisch wäre):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

NoWarningNoElevationOnUpdate = 0 (DWORD) or not defined (default setting)

geprüft werden sollen (entweder 0 oder nicht gesetzt sollen diese sein!).

Heise hat angemerkt, dass der Fix nicht funktionieren würde, wenn „NoWarningNoElevationOnInstall“ aktiv (also 1 ?) ist.

Letztlich wird in KB5005010 dann noch der Registry key (nach installiertem Patch) RestrictDriverInstallationToAdministrators thematisiert (1 ist wohl restriktiver und erlaubt nur Admins Druckertreiber zu installieren).

Es scheint mir möglich, dass einige dieser Keys durch die GPO „Point-and-Print-Einschränkungen“ gesteuert werden. Der Zusammenhang wird aber aus der "klaren" Beschreibung von MS nicht klar.

Wir sollten hier bei Hinweisen zu Konfiguration besser immer klar unterstreichen, welche Einstellung wir meinen. Aktuell werden im Netz und hier m.E. viele ähnlich klingende aber zum Teil gegensätzliche Einstellungen diskutiert (auf keine Fall sollte m.E. die GPO „Point-and-Print-Einschränkungen“ deaktiviert werden (dies würde die NoWarning flags der Registry wohl auf 1 setzen oder diese gar nicht auswerten, falls die deutsche Beschreibung im GPO-Editor stimmen sollte?!).

---

@JörgW schrieb:

Laufen die DATEV-Programme eigentlich unter Wine?

---

Microsoft stellt SQL Server für Windows Container ein

Sie würden auf keinen Fall das tun, was MS empfiehlt? 

Wie ist die „Point and Print“-Technologie von dieser speziellen Sicherheitsanfälligkeit betroffen?

Point and Print steht nicht in einem direkten Zusammenhang mit dieser Sicherheitsanfälligkeit, aber die Technologie schwächt die lokale Sicherheitsstufe in einer Weise, dass ein Ausnutzen möglich wird. Um „Point and Print“ über die Gruppenrichtlinien zu deaktivieren, können Sie die Einstellungen über Gruppenrichtlinien wie folgt konfigurieren:

• Computerkonfiguration / Administrative Vorlagen / Drucker
• Setzen Sie die Richtlinie „Point and Print Einschränkungen“ auf „Deaktiviert“, um diese Funktion auszuschalten
• Weitere Informationen finden Sie unter: Introduction to Point and Print - Windows drivers | Microsoft Docs

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 

Englisch... 

How is Point and Print technology affected by this particular vulnerability?

Point and Print is not directly related to this vulnerability, but the technology weakens the local security posture in such a way that exploitation will be possible. To disallow Point and Print for non-administrators make sure that warning and elevation prompts are shown for printer installs and updates. The following registry keys are not present by default. Verify that the keys are not present or change the following registry values to 0 (zero):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD)
NoWarningNoElevationOnUpdate = 0 (DWORD)
We also recommend explicitly listing specific print servers which should be used by clients.

Ich habe die deutsche Anweisung befolgt und gerade geprüft, bei unserem dahingehend unveränderten System waren die Schlüssel nicht gesetzt, ich werde deshalb nach Serverneustart nachher die Drucker wieder freigeben. 

Im GPO-Editor steht zur GPO: Point-and-Print-Einschränkungen:

" Wenn Sie diese Richtlinieneinstellung deaktivieren, geschieht Folgendes:
- Clientcomputer unter Windows Vista können über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn Benutzer über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn ein Treiber für eine vorhandene Druckerverbindung aktualisiert werden muss.
- Clientcomputer unter Windows Server 2003 und Windows XP können über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Die Einstellung "Point-and-Print ist nur mit Computern der eigenen Gesamtstruktur möglich" betrifft nur Windows Server 2003 und Windows XP SP1 (und höhere Service Packs)."

In einigen Foren wird diskutiert, wie das Verhalten dann ist. Ggf. wird gar nicht erst eine Richtlinie gesucht zum auswerten?!

Bitte beachten Sie, dass in der englischen Variant nichts zu dieser GPO steht. Sie haben aber Recht, es ist nichts eindeutig und ggf. ist auch deaktivieren i.O.. Ich wäre hier allerdings vorsichtig hinsichtlich der Konsequenzen für die Wirkung des Patches. Möglicherweise ist man sich bei MS auch nicht so sicher und verweist auf die Registry?! Letztlich könnte deaktviert im Sinne der deutsche GPO-Beschreibung im GPO-Editor die Sicherheitsebene an anderer Stelle aushebeln. Dies wird so auch im Netz bei Borncity oder Administrator.de diskutiert. Übrigens auch kontrovers. Ich würde die GPO auf nicht konfiguriert belassen bzw. setzen.

🤔

Bitte weckt mich, wenn Ihr eine Lösung gefunden habt!  😉

Gefunden! 😎

---

@Nutzer_8888  schrieb:

- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn Benutzer über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn ein Treiber für eine vorhandene Druckerverbindung aktualisiert werden muss.

---

🙄  Vista? Das Supportende ist jetzt aber auch schon 1 oder 2 Tage erreicht möchte ich meinen...

Wie werden sich dann wohl Windows 10 und die Server-Derivate verhalten?

Letztlich bleibt bei all diesen "Dokumentationen" leider häufig ein gewisser Interpretationsspielraum (besonders auch bei den Übersetzungen), der Vermutungen gewissen Raum lässt (möglicherweise auch für den einen oder anderen MS-Mitarbeiter?).

Das kann bei leicht prüfbaren Einstellungen sicher schnell abgeklärt werden, ist bei potenziell sicherheitsrelevanten Einstellungen aber eigentlich ein no-go. Leider werden manchmal einfache "Konfigurationseinstellungen" durch Bugs wie hier auch mal ungeplant sicherheitsrelevant.

Ich vermute übrigens, wenn keine neuere Variante von Windows extra erwähnt wird, dass die Beschreibung ab Vista und damit auch für Windows 10 gilt (die GPO ist ja auch für Windows 10 wirksam).

Letztlich muss jeder selbst entscheiden, wie er sein System konfiguriert und welcher Beschreibung und / oder Interpretation / Vermutung er vertraut.

Ich wollte mit meinem Einwurf vor einer potenziellen "Gefahr" warnen im Zusammenhang mit der Deaktivierung der oben diskutierten GPO.

---

@Nutzer_8888 schrieb:

Letztlich bleibt bei all diesen "Dokumentationen" leider häufig ein gewisser Interpretationsspielraum (besonders auch bei den Übersetzungen), der Vermutungen gewissen Raum lässt (möglicherweise auch für den einen oder anderen MS-Mitarbeiter?).

---

Wie auch den Kommentaren im Born Blog zu entnehmen ist: Die Artikel von Microsoft sollten nur auf Englisch gelesen werden, weil die deutsche Übersetzung fehlerhaft oder nicht aktuell ist.  

https://www.datev.de/web/de/service/antworten-finden/systemplattform/microsoft-updates/