Der Windows Protected Print Mode (WPP) stellt eine neue Systemeinstellung von Windows dar, die Sicherheitsrisiken durch das Drucken ausschließen soll. Hier stellen wir die Auswirkungen von WPP auf deine Druckumgebung dar und bietet dir Anhaltspunkte, ob du dies aktivieren solltest.
WICHTIGER HINWEIS: Bitte informiere dich bevor du den Windows Protected Print Mode einschaltest. Die Einstellung ist nicht reversible. Aktuell unterstützt ezeep das Drucken aus dem Office Plug-in, über Print Now sowie über das Chrome Plug-in, an einer weitergehenden Unterstützung arbeiten wir bereits.
Was ist der Windows Protected Print Mode?
Nach über zwei Jahrzehnten überarbeitet Microsoft die Windows-Druckarchitektur grundlegend, um besser auf moderne Sicherheitsanforderungen einzugehen und die Industrie auf das IPP-basierte Drucken (Internet Printing Protocol) umzustellen.
Sicherheitslücken beim Drucken sind ein ernstes Problem – bekannte Fälle wie Stuxnet und Print Nightmare zeigen die Risiken. Tatsächlich machen diese Schwachstellen etwa 9 % aller an das Microsoft Security Response Center (MSRC) gemeldeten Windows-Probleme aus. Eine der größten Herausforderungen bei der Absicherung des Drucksystems ist der häufige Einsatz von Drittanbietertreibern, was den Schutz erschwert. Setzt du bereits ezeep ein, hast du aber diese Risiken bereits adressiert.
Mit WPP will Microsoft eine „Secure-by-Default“-Umgebung als neuen Standard schaffen, d. h. aber auch, dass Drittanbietertreiber, also quasi die Druckertreiber die hier und heute meisten eingesetzt werden, schrittweise abgeschafft werden. So soll die Komplexität der Druckarchitektur verringert und Sicherheitsrisiken wie SYSTEM-Level-Schwachstellen minimiert werden.
Spannend ist hier zu sehen, dass Microsoft auf den eigentlich für Android entwickelten Standard Mopria setzt.
Hier findest du Microsofts offizielle Ankündigung mit weiteren Hintergrundinfos: Eine neue, moderne und sichere Druckerfahrung mit Windows
Wie funktioniert der Windows Protected Print Mode?
WPP bringt drei wesentliche Änderungen mit, um die Sicherheit zu erhöhen und das Drucken zu vereinfachen:
Internet Printing Protocol (IPP)
Der Windows Protected Print Mode (WPP) setzt auf das Internet Printing Protocol (IPP) – einen offenen Standard, der sich besonders durch seine Cloud-Kompatibilität und umfangreiche Sicherheitsfeatures auszeichnet. Im Vergleich zu älteren Protokollen wie LPD oder SMB bietet IPP eine verbesserte Unterstützung für erweiterte Druckfunktionen und eine flexiblere Handhabung moderner Druckanforderungen.
Mopria
WPP setzt auf den ursprünglich für Android entwickelten Standard Mopria, der ohne Treiber auskommt.
Privilegienverwaltung
Aufgaben des Druckspoolers laufen nun mit Benutzerrechten statt mit SYSTEM-Rechten, um die Auswirkungen potenzieller Sicherheitslücken zu minimieren.
WPP-Aktivierung und Auswirkungen auf Druckertreiber
Sobald WPP auf einem Gerät aktiviert ist, werden alle Nicht-IPP-Treiber und Standard-TCP/IP-Ports dauerhaft entfernt. Nur IPP-kompatible Ports und Treiber bleiben aktiv. Diese Änderung ist unumkehrbar; wenn WPP später deaktiviert wird, werden vorherige Drucker und Konfigurationen nicht wiederhergestellt. WPP beeinflusst auch die Art und Weise, wie neue Drucker in Windows hinzugefügt werden, da IPP der einzige verfügbare Gerätetyp ist und Drittanbietertreiber nicht mehr installiert werden können.
Wenn du WPP aktivierst, solltest du folgende Auswirkungen beachten:
Kompatibilitätseinschränkungen: Erweiterte Funktionen wie Finishing-Optionen und Zugangskontrollen werden größtenteils durch IPP unterstützt, jedoch nicht von allen Druckern. Drucker ohne IPP/Mopria-Kompatibilität können nicht mehr verwendet werden.
Administrative Anpassungen: Administratoren, die auf Skripte oder Bereitstellungsmethoden angewiesen sind, die herkömmliche Treiber erfordern, müssen ihre Konfigurationen anpassen oder alternative Lösungen prüfen.
So aktivierst du den Windows Protected Print Mode
Aktivierung über die Einstellungen
- Öffne die Einstellungen: Gehe zu Einstellungen > Bluetooth & Geräte > Drucker & Scanner > Druckereinstellungen.
- WPP aktivieren: Klicke auf „Einrichten“, was eine Warnmeldung zur Auswirkung von WPP auslöst.
- Aktivierung bestätigen: Folge den Anweisungen, bis WPP erfolgreich auf dem Gerät aktiviert ist.
Aktivierung über Gruppenrichtlinien:
- Öffne den Gruppenrichtlinien-Editor: Gehe zu Gruppenrichtlinien-Editor > Administrative Vorlagen > Drucker.
- Einstellungen aktivieren: Wähle „Windows Protected Print konfigurieren“ und aktiviere es.
Vorbereitung auf den Windows Protected Print Mode
Für Organisationen, die WPP in Erwägung ziehen, sind hier einige wichtige Vorbereitungsschritte:
- Kompatibilität testen: Um zu prüfen, ob ein Drucker mit WPP kompatibel ist, aktiviere WPP auf einem Testgerät und versuche zu drucken. Wenn der Drucker nicht angezeigt wird oder nicht funktioniert, unterstützt er wahrscheinlich kein IPP. Ein Test wird empfohlen, vor allem für erweiterte Funktionen wie Heften oder Fachauswahl, wenn das Gerät diese Funktionen unterstützt.
- IPP-Warteschlangen einrichten: Stelle im Voraus auf IPP-Druckerwarteschlangen um, damit Benutzer beim Aktivieren von WPP auf IPP-kompatible Druckoptionen zugreifen können.
- Veraltete Treiber entfernen: Entferne oder entziehe Nicht-IPP-Treiber aus Bereitstellungssystemen, bevor du WPP aktivierst.
- Zentrale Standortumgebungen: Stelle sicher, dass Benutzer, die zwischen verschiedenen Standorten unterwegs sind, keine herkömmlichen Treiberinstallationen vorfinden. Andernfalls kann es wiederholt zu Fehlermeldungen wie „Druckerkonfiguration fehlgeschlagen“ kommen.
Wie wirkt sich die Einführung des Windows Protected Mode auf ezeep-Kunden aus?
ezeep unterstützt die Entscheidung von Windows, den geschützten Druckmodus einzuführen, und planen eine vollständige Unterstützung mit allen ezeep Apps.
Bereits heute kann im WPP Mode ezeep mit folgenden Apps genutzt werden:
- Print Now
- Office 365 Plug ins
- Chrome Extension
- (API Drucken über Make, Zapier, Pabbly oder eigene Webapps)