Nach der Ankündigung im September setzt Microsoft seine Pläne in die Tat um und plant eine Neuausrichtung der Druckertreiber-Politik in Windows 11. Der erste Schritt wurde kürzlich im Insider-Kanal Canary unternommen, wo Freiwillige den sogenannten Windows Protected Print Mode (WPP) im Voraus testen können. Um was es hierbei geht, soll der nachfolgende Ratgeber zeigen.
Standardisierung des Drucksystems
Im aktuellen Vorabversion Build 26016 von Windows 11 führt Microsoft erstmals öffentlich den sogenannten Windows Protected Print Mode (WPP) ein, der darauf abzielt, das gesamte Drucksystem des Betriebssystems nicht nur zu standardisieren, sondern auch erheblich zu stärken. Hierfür wird der Microsoft IPP Class Driver verwendet, der die Nutzung von Druckertreibern von Drittanbietern ersetzen soll.
Die Unterstützung des IPP-Drucksystems durch Microsoft-Betriebssysteme besteht bereits seit einiger Zeit. In seinem Techcommunity-Forum betont der Hersteller sogar, dass die Verwendung dieser Technik offiziell in der Dokumentation als bevorzugte Option empfohlen wird. Zur Anpassung stehen spezielle UWP-Apps zur Verfügung, und die Funktion „Point and Print“ zur Nutzung nicht-lokaler Drucker wird bereits durch IPP unterstützt.
Bisher liefen Herstellertreiber und IPP parallel, insbesondere Netzwerkdrucker nutzten bei der Funktion „Point and Print“ das, was der Server verlangte. Dies ermöglichte potenziell schädlichem Code, einen Wechsel zu erzwingen.
Druckertreiber von Drittanbietern nur noch in Ausnahmefällen verwendbar
Mit dem neu eingeführten WPP deaktiviert Microsoft erstmals die Möglichkeit, Druckertreiber von Drittanbietern zu verwenden. Dennoch haben Benutzer jederzeit die Möglichkeit, zum alten System zurückzukehren, falls ihre Drucker nur von diesen Treibern unterstützt werden. Der Verzicht auf die alten Treiber ermöglicht jedoch wichtige sicherheitsrelevante Funktionen.
Dieser Ansatz soll auch langfristig Bestand haben, und Microsoft plant einen schrittweisen Übergang bis zum Jahr 2027. Selbst nach dieser Zeitspanne sollen Besitzer älterer Drucker ohne WPP-Unterstützung weiterhin Sicherheitsupdates erhalten.
Es wird sicherer
Verbesserte Sicherheit steht im Vordergrund des Wechsels von Microsoft. Druckertreiber operieren mit Systemrechten, eine Ebene über den Administratorrechten. Angriffe wie Print Nightmare machen sich Schwachstellen zunutze, bei denen Drucker beispielsweise unsignierte DLL-Dateien laden. Durch den Verzicht auf Treiber von Drittanbietern fehlen auch Bibliotheken (DLLs) oder Verknüpfungen, die häufig bei Angriffen ausgenutzt werden.
Da die Treiberschnittstellen eliminiert sind, können Angreifer das Drucksystem nicht mehr einfach dazu verwenden, Module nachzuladen. Schließlich kann Microsoft auch die Binärtechnik zum Schutz einsetzen, da nur noch die Binärdateien von Microsoft selbst verwendet werden. Dazu gehört beispielsweise die Control Flow Enforcement Technology.
Auch das Erzeugen von Child-Prozessen und die dynamische Code-Erzeugung können verhindert werden. Gemäß den eigenen Angaben von Microsoft gehen 9 Prozent aller Berichte an das Microsoft Security Response Center (MSRC) auf Drucker zurück. Microsoft gibt an, dass der Windows Protected Print Mode mehr als die Hälfte dieser Schwachstellen entschärft.
Vermeidung vieler alter Treiber
Ein erhebliches Problem besteht in der unzureichenden Pflege von Treibern durch die Druckhersteller, was die bisherigen Bemühungen im Zusammenhang mit IPP untergräbt. Viele dieser Treiber sollen über 10 Jahre alt sein. Hingegen sind alle Drucker und Multifunktionsgeräte, die von der Mobile Printing Alliance (Mopria) zertifiziert sind, mit WPP kompatibel.
Mopria ist ein Zusammenschluss verschiedener Hersteller, der von Canon, HP, Samsung und Xerox gegründet wurde. Offensichtlich strebt Microsoft an, den Übergang zu Mopria-Geräten zu fördern. Diese Geräte verwenden einen „IPP Class“-Treiber, den Microsoft bereitstellt und aktuell hält. Hersteller können im Windows Store eigene Zusatz-Apps auf Basis der Universal Windows Platform (UWP) anbieten, um den Funktionsumfang zu erweitern, ohne jedoch eigene Treiber zu integrieren. Diese Apps von Drittanbietern laufen in einem AppContainer, um die Sicherheit zu erhöhen.
Zudem sollen Sicherheitslücken durch Maßnahmen wie die Limitierung der Printer Document Languages (PDL) und Funktionen wie Control Flow Guard (CFG), Control Flow Enforcement Technology (CET) und Arbitrary Code Guard (ACG) vermieden werden. Ein weiterer Vorteil besteht darin, dass Microsoft den Support übernimmt, wenn eine neue Windows-Version veröffentlicht wird. Somit sollten (Mopria-)Drucker zeitnah unterstützt werden.
Weiterführende Hilfen
- Anleitung: Drucker installieren
- Anleitung: Drucker deinstallieren
- Drucker mit Laptop verbinden
- Drucker mit Smartphone verbinden
- Drucker mit Tablet verbinden
- Drucker mit Fritz!Box verbinden
- Druckerpatronen auf Rechnung
- Toner auf Rechnung
- Drucker wird nicht erkannt
- Standarddrucker einrichten
- Netzwerkdrucker einrichten
- WLAN Drucker einrichten
- Druckerserver einrichten