Windows-OEM-Automatische Installation

Zielsetzung

Vom Hersteller vorinstallierte #Windows 10 Pro Installationen enthalten vielfach nicht benötigte Software-Beigaben und Demoversionen von beworbener Drittsoftware, sowie zahlreiche ungewünschte Werbe-Apps. Mit diesen Unattended Installationsverfahren wird erreicht, dass der Administrator durch Einstecken eines USB-Datenträgers das System löscht und ein bereinigtes, weitgehend werbefreies Windows mit im Firmennetzwerk benötigten Komponenten erhält.

Das Ganze ist anwendbar auf Windows OEM Activated Fujitsu oder lenovo Rechner mit Windows 10 Pro (jeweils in der aktuellen Halbjahres-Version JJMM), bzw. ab Erscheinen Windows 11 Pro.

Wichtiger Lizenz-Hinweis: Wer einen solchen „Betankungs-Stick“ erstellt und einsetzt, muss vorab sicherstellen, dass er über die benötigten Lizenzen für Betriebssystem und Anwendersoftware verfügt.

Das hier benutzte Verfahren ist KEIN RE-IMAGING, sondern basiert auf einer „Entrümpelung“  der frei herunterladbaren Datenträger aus dem Media Creation Toolkit von Microsoft. Es ist daher mit den Nutzungsbedingungen von Microsoft vereinbar. Im Gegensatz dazu bedeutet „Re-Imaging“: Die Lizenzierung bleibt OEM, es wird aber ein Volumenlizenzdatenträger und –Schlüssel zur Installation verwendet (nur dann zulässig, wenn der Lizenznehmer über einen aktiven eOPEN oder SELECT Vertrag mit aktivem Betriebssystempool verfügt).

Werkzeugkiste für Entwickler der Tankstelle

• Media Creation Toolkit – Website von Microsoft zum Herunterladen der .ISO Betriebssystem-Datenträger
• Deploy-admin-tools.zip – Sammlung von BATCH- und Powershell- Skripten zum „Debloaten“ und Erstellen eines optimierten Installationsdatenträgers (.ISO)
• Treiber und kumlative Updates .MSU (zum Herunterladen aus dem Microsoft Update Katalog)

oder optional

• Windows ADK (Assessment and Deployment Kit) installieren auf Windows 10 Admin-Rechner
• DISM verwenden, um Treiber einzubinden
• WSIM verwenden, um autounattended.xml anzupassen
• ggf. SYSPREP verwenden, wenn ein maschinenspezifisches Image erstellt werden soll, das bereits Software und Tools enthält. Danach mit ImageX eine install.wim aufzeichnen

und optional

• die lenovo vantage app aus dem Microsoft Store installieren und Systemaktualisienurg starten.

Werkzeuge für Mitarbeiter, die betanken und Anleitung zum Erstellen der Sticks

• RUFUS – Kostenlose, quelloffene Software zum Erstellen von startfähigen USB-Sticks aus der oben genannten ISO-Datei.
• vom Admin erstelltes, optimiertes ISO-Image (win10-autoinstall.iso)
• USB-Stick (USB3 empfohlen) mit mindestens 8 GB Speicherkapazität

Stick einstecken in vorhandenen PC, Rufus aufrufen, ISO-Datei in Rufus auswählen, Stick erstellen.

Windows 10 Installation am Beispiel eines lenovo Thinkpad

1. Vom USB-Stick starten (F12 beim Kaltstart des zu betankenden Gerätes), damit Windows installiert werden kann. Direkt nach dem Starten die Leertaste drücken, um das Löschen und Setup zu starten
2. Wenn Installation beendet, den lokalen Administrator mit dem bekannten Kennwort anmelden (lokale Anmeldung am Gerät)
3. Gerätenamen ändern und Gerät in die Domäne bringen (domain join)
4. Weitere Software aus dem Deploy Depot installieren
5. System neu starten und nun als designierter Benutzer anmelden (vorausgesetzt, dieser wurde schon im Active Directory angelegt)
6. Über \\printservername per Doppelklick alle Drucker anklicken, die der Benutzer verwenden soll und einen davon zum Standarddrucker machen. Die Checkbox „Windows verwaltet Standarddrucker automatisch“ rausnehmen.
7. Über den Microsoft Store die „lenovo vantage app“ installieren und Systemaktualisierung ausführen

Drucker - die Dritte (HP/Samsung)

viele von Ihnen setzen Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel („affected Products“ aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen.

HP Security Bulletin zur kritischen Lücke

https://support.hp.com/us-en/document/ish_3900395-3833905-16

In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT „Universal Printer Driver“ – PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen.

Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind:

• PCL6: 61.250.1.24832
• PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein

Sicherheitslücke in HP-Druckertreibern

viele von Ihnen setzen #Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel („affected Products“ aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen.

HP Security Bulletin zur kritischen Lücke

https://support.hp.com/us-en/document/ish_3900395-3833905-16

In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT „Universal Printer Driver“ – PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen.

Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind:

• PCL6: 61.250.1.24832
• PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein

Jetzt auch noch HIVE Nightmare

Elm Street lässt grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft die Print Nightmare Lücke nicht vollständig gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht.

Zusätzlich wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE #Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen.

Betroffen sind die SAM, SYSTEM, and SECURITY registry #hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems.

Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren.

Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen.

Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat.

Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen, sowie Windows 10 (ab Version 1809) und Windows 11, es geht aber nur um die lokalen Benutzer und nciht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.

Quelle: Microsoft Security Bulletin

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Print- und HIVE-Nightmare Sicherheitslücken

Die Elm Street und Freddy lassen grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft etwas nicht gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht.

Zusätzlich zum #Print-Nightmare wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen.

Betroffen sind die SAM, SYSTEM, and SECURITY registry hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems.

Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren.

Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen.

Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat.

Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen, sowie Windows 10 (ab Version 1809) und Windows 11, es geht aber nur um die lokalen Benutzer und nciht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.

Quelle: Microsoft Security Bulletin

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Windows 10 und 11 Roadmap, Windows 365

Windows 11, Windows 365 und AVD

Im Herbst 2021 erscheinen sowohl Windows 11, als auch das Halbjahresupdate von Windows 10.

• #Windows 11 ist für neuere Rechner tauglich, die über TPM 2.0, UEFI, Secure Boot und mindestens 4GB RAM verfügen – möglicherweise sogar mindestens einen Prozessor ab der 8. Generation.
• Das Betriebssystem erhält einmal pro Jahr große Funktionsupgrades (mit Veränderung der Codebasis) – vermutlich immer im Herbst eines Jahres
• Die Codebasis ist (für das Herbst-Update 2021): 22000.x – x ist der Patchlevel
  • Patchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)T
  • Kleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im Monat
• Neue PCs und Notebooks werden von den Herstellern ab Herbst 2021 nur noch mit Windows 11 ausgeliefert
• Die Bezeichnungen der Editionen bleiben:
  • Windows 11 = Consumer Version (quasi Home ohne Domänenfunktionen, ohne GPOs, mit Werbung)
  • Windows 11 Pro = Business Version mit Domäne, GPOs, Netzwerkintegration, mit Werbung
  • Windows 11 für Workstation = Funktionen von Pro, es werden aber mehr RAM und mehr Cores unterstützt, für High Performance Rechner wie CAD Anwendungen und Videobearbeitung
  • Windows 11 Enterprise = Firmenversion (weitgehend) ohne Werbung
  • NEU: Windows 365 = Miet-Version von Windows 11 (wahlweise auch erst noch Windows 10), Online-Dienst von Microsoft. Windows wird dabei (wenn das so kommt) über eine RDP-Verbindung in der Cloud bereitgestellt und ist eine single Session virtuelle Maschine mit jeweils dem aktuellen Betriebssystem und Patches von Microsoft aus der Cloud. Zentrale Management Features sind eingeschränkt oder in der Einstiegsvariante nicht vorhanden.
  • AVD: derzeit kennen die Microsoft 365 Abonnenten ähnliche Umgebungen schon schon als Azure virtual Desktop (ehemals Windows Virtual Desktop). AVD wird es weiter geben, sozusagen als Profiversion von Windows 365. AVD arbeitet wie ein Terminalserver im Multi-Session-Betrieb.
• Die LTSC (Long Term Service Channel) Enterprise Version auf Basis Windows 11 erscheint erst 2024. Bis dahin werden die LTSC Versionen auf der Windows 10 Basis 190xx bleiben. LTSC-Versionen erhalten keine Funktionsupdates, sondern nur die monatlichen Sicherheitsupdates.

Windows 10 – bis 2025

• Windows 10 wird nur noch bis September 2025 mit Sicherheitsupdates versorgt. Das gilt auch für die LTSC, Enterprise und Education Versionen dieses Betriebssystems.
• Funktionsupgrades soll es keine mehr geben. Das bedeutet, dass die Zahl vor dem Punkt sich alle sechs Monate um eins erhöht.
• Die Basis bleibt auf dem Stand vom 06.12.2019 (19041). Durch die Funktionsupdates sind wird derzeit bei 21H1 (19043), im Herbst dann bei (19044).
  • Patchday bleibt am zweiten Dienstag im Monat, 19 Uhr ME(S)T
  • Kleine Funktionsupdates und Fehlerkorrekturen gibt es am vierten Dienstag im Monat
• Azure Virtual Desktop – #AvD – soll zunächst bei Windows 10 bleiben. Wer Windows 11 aus der Cloud mieten möchte, wählt dazu den Windows 365 Plan. Für Azure Virtual Desktop ist entweder ein Windows E3 Plan oder Microsoft 365 Business Premium erforderlich.

Weiterführende Literatur

Zu Windows 365 im Vergleich zu Azure Virtual Desktop (AVD) gibt es einen interessanten Fachartikel im Internet (auf englisch):

https://getnerdio.com/academy-enterprise/microsoft-windows-365-vs-azure-virtual-desktop-avd-comparing-two-daas-products/

Crypto-Angriffe - wenn nur noch eine Datensicherung hilft

Wenn ein Crypto Angriff erfolgt, ist trotz technischer Sicherungsmaßnahmen meist ein Mitarbeiter Schuld, der auf Links oder Anhänge klickt, die nicht das enthalten, was sie vorgeben. Ein Restrisiko bleibt also trotz aktuellem Virenscanner und einer Gen2 Firewall mit SSL-Interception und Content Filtering.

Hat man eine #Datensicherung – egal auf welchem Medium – würde diese aber auch schon verschlüsselte Daten wegsichern. Die meisten Trojaner installieren sich zunächst und legen dann zeitverzögert los. Sie verschlüsseln Dokumente und machen sie unbrauchbar, die im Schreibzugriff des Benutzers liegen oder verschaffen sich über Zero-Day-Lücken Adminrechte.

Wer dann eine Bandsicherung von der Zeit vor dem Befall hat, kann man in der Regel noch unversehrte Dateien rücksichern. Entscheidend ist also die letzte erfolgreiche Datensicherung, bevor Daten verschlüsselt wurden.

Generell gibt die Faustformel 3 – 2 – 1 für Datensicherungen, d.h. auf einem Band, auf einem Datenträger und in der Cloud oder auf einem Offline-Medium in anderem Brandabschnitt).

• Zusätzlich gilt: Nach BSI sind erfüllen nur Offline-Sicherungen (physikalisch getrennt) auf passive Medien (Geräte ohne Elektronik wie LTO-Bänder) den Grundschutz.
• Ferner müssen die Daten ordnungsgemäß und sicher gelagert und beide Stufen der Datensicherung (SQL-Backup und Veeam Backup Reports) täglich kontrolliert werden
• Zusätzlich müssen regelmäßige Bandsicherungsprüfungen (Proberücksicherungen auf anderem Gerät) durchgeführt werden, um sicher zu sein, dass das, was gesichert wurde, auch wiederherstellbar ist.

Den Check Ihrer #Datensicherung (Bandprüfungen) können Sie bei uns hier beauftragen. Im Dutzend etwas günstiger.

Wenn Sie das komplette Szenario und die Anforderungen nach BSI Grundschutz testiert haben möchten, buchen Sie bitte unseren IT-Sicherheitscheck. Dieser liefert Ihnen ein mit Prüfungsverbänden abgestimmtes Dokument und zeigt potenzielle Mängel auf.

Juli Patchday findet trotzdem statt

Obwohl Microsoft letzte Woche wegen der #Print-Nightmare Lücke das kumulative Update eine Woche vor dem regulären Patchday verteilt hat, findet der Juli #Patchday dennoch statt. Bei Windows 10 (Version 21H1/20H2/2004) erhöht sich der Patchlevel auf Build 1110. Da mit diesem Build auch andere, nicht so prominente Sicherheitslücken geschlossen wurden, installieren Sie bitte auch diese regulären Patches in Ihrem dafür 1x im Monat geplanten Wartungsfenster.

Windows 11 21H2 Bilder

Im Juni 2021 hat #Microsoft die erste Beta von Windows 11 (Windows #Eleven) an seine Jünger verteilt. Hier ein paar Screenshots, die getreu der Promo-Veranstaltung Neues und Altes zeigen. Ein ppar Sachen sind noch nicht übersetzt, man kann aber gut erkennen, wo die Rechnung hin geht. Im Moment wird auch TPM2.0 noch nicht gefordert, zumindest habe ich in der virtuellen Maschine vTPM nicht eingeschaltet und glaube nicht, dass Windows 11 durch den Hypervisor auf den TPM Chip des Notebooks zugreift…

Datenübertragungen richtig verschlüsseln

Lange Zeit gab es verschiedene Verschlüsselungsverfahren, um Daten sicher von A nach B zu übertragen. Einige davon (SSL 3.0, TLS 1.0 und 1.1 und #Verschlüsselung mit RC4-Hashwerten) sind so alt, dass Sie leicht zu entschlüsseln sind. Viele Provider haben daher längst die alten Verfahren abgeschaltet.

Versucht man nun Daten zu übertragen, kommt eine Fehlermeldung und die Verbindung kommt nicht zustande. Viele – fast alle – Schnittstellen und Programme basieren dabei auf der Programmierschnittstelle „Microsoft .net Framework“. Da je nach verwendeter .net Version unterschiedliche Fehler auftreten, sollte auf allen Systemen mit einem Registry-Schlüssel dafür gesorgt werden, dass nur noch sichere Verfahren ausgewählt werden.

Zusätzlich muss natürlich die versendene Software überhaupt in der Lage sein, nach TLS 1.2 Standard zu verschlüsseln. Ein Beispiel: Seit das frühere s.net „Managed Transfer“ heißt, unterstützt es nur noch die sicheren Standards. Dennoch sollte auch hier der Registry-Schlüssel gesetzt werden:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
„DisabledByDefault“ = dword:00000000

Sollten die Schlüssel „TLS 1.1“ und „TLS 1.2“ und „Client“ noch nicht existieren, dann bitte anlegen. Damit .NET das Systemdefault-TLS-Protokoll verwendet, müssen die folgenden Schüssel gesetzt werden:

Hier für x64 bzw. Eine 64-Bit .NET-Anwendung
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

und für x86 bzw. eine 32-Bit .NET-Anwendung
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

Windows Print Nightmare Lücken – geschlossen

Updates verfügbar: 07.07.2021

Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10 Versionen. Diese schließen die Print Nightmare Lücke. Die Updates werden allerdings nur für alle Produkte, die noch nicht „end of life“ sind, unterstützt (auch wenn in der Liste Fixes für ältere Betriebssysteme gelistet werden). Windows 7 PCs und Server 2008 R2 bleiben damit grundsätzlich ungeschützt, es sei denn man hat das ESU (extended Support Abo) gebucht. Auf diesen Systemen sollte kein Druckdienst gestartet sein. Wer Sitzungsdrucker unter RDP oder Citrix über den Windows Druckserver auf Server 2008 R2 Basis betreibt, sollte jetzt erst recht über eine Cloud Migration (bei IaaS Installation auf Azure 2019 Servern) nachdenken. Denn dort werden in der Regel nur Betriebssysteme eingesetzt, die aktuell bzw im erweiterten Support sind.

Zusätzlich wichtig (weil sich die Lücke sonst trotz Patches ausnutzen lässt):

In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – standardmäßig der Fall – beziehungsweise deaktiviert sind:

• NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
• UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden

In allen #Windows Betriebssystemen (für Clients und Server) steckt eine neue #Sicherheitslücke, die bisher noch nicht geschlossen wurde. Betroffen sind alle Server und auch PCs und Notebooks, wo der Dienst „Druckwarteschlange“ gestartet ist. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den #Druckspooler (Druckwarteschlange) Dienst zu deaktivieren – was nicht zielführend ist. Schließlich kann dann nicht mehr über den Server gedruckt werden.
Update: Mittlerweile hat Microsoft die Lücke als kritisch auf einer Skala von 1 bis 10 mit 8.1 eingestuft. Mit einem offiziellen Patch ist nicht vor nächstem Dienstag, dem Juli-Patchday 2021 zu rechnen.

Ursprünglicher Artikel

In allen #Windows Betriebssystemen (für Clients und Server) steckt eine neue #Sicherheitslücke, die bisher noch nicht geschlossen wurde. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den #Druckspooler (Druckwarteschlange) Dienst zu deaktivieren – was nicht zielführend ist. Schließlich kann dann nicht mehr über den Server gedruckt werden.

Funktionsweise eines Angriffs

Im Prinzip stehen einem Angreifer an jedem Gerät Angriffspunkte zur Verfügung, wo der Druckerwarteschlangen Dienst läuft. Das ist ab Werk auf allen Windows Clients – unabhängig von der Version der Fall und auf Druckservern. Wie ein Angreifer diese Geräte erreicht, steht auf einem anderen Blatt – meistens indem er Benutzer in Mails oder Webseiten auffordert, auf irgendwas zu klicken. Das angeklickte Schadprogramm wird dann im Benutzerkontext ausgeführt und greift als erstes alle Systeme an, wo der Druckdienst läuft. Hier werden dann Schadprogramme injiziert und verschlüsseln zB alle Daten.

Bis zum Patchday bzw. bis ein Fix zur Verfügung steht, ist es also eine Risikoabwägung, ob man den Workaround nutzt und nachher wieder deaktiviert (auch hier können Nebenwirkungen entstehen) oder das Risiko eingeht, dass etwas eingeschleust wird.

Möglicher Workaround 

Es gibt aber auch einen Workaround, der den Zugriff auf den Druckserver sperrt. Damit soll weiterhin gedruckt werden können. Möchte man eine Konfigurations-Änderung am Druckserver vornehmen (also zum Beispiel einen neuen Drucker installieren oder eine Einstellung ändern), muss man die Änderung wieder zurücknehmen. Das Ganze gilt, solange bis Microsoft einen Notfall Patch liefert.

Die benötigten (administrativen) Powershell-Skripte hier (Benutzung auf eigenes Risiko, Nebenwirkungen sind nicht ausgeschlossen)

$Path = "C:\Windows\System32\spool\drivers" $Acl = (Get-Item $Path).GetAccessControl('Access') $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny") $Acl.AddAccessRule($Ar) Set-Acl $Path $Acl

und zum Deaktivieren der Sperre:

$Path = "C:\Windows\System32\spool\drivers" $Acl = (Get-Item $Path).GetAccessControl('Access') $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny") $Acl.RemoveAccessRule($Ar) Set-Acl $Path $Acl

Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available

Fabio Viggiani, Blog-Artikel

Windows Druckserver Exploit - Print Nightmare (gefixt)

Updates verfügbar: 07.07.2021

Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10 Versionen. Diese schließen die #Print-Nightmare Lücke. Die Updates werden allerdings nur für alle Produkte, die noch nicht „end of life“ sind, unterstützt (auch wenn in der Liste Fixes für ältere Betriebssysteme gelistet werden). Windows 7 PCs und Server 2008 R2 bleiben damit grundsätzlich ungeschützt, es sei denn man hat das ESU (extended Support Abo) gebucht. Auf diesen Systemen sollte kein Druckdienst gestartet sein. Wer Sitzungsdrucker unter RDP oder Citrix über den Windows Druckserver auf Server 2008 R2 Basis betreibt, sollte jetzt erst recht über eine Cloud Migration (bei IaaS Installation auf Azure 2019 Servern) nachdenken. Denn dort werden in der Regel nur Betriebssysteme eingesetzt, die aktuell bzw im erweiterten Support sind.

Zusätzlich wichtig (weil sich die Lücke sonst trotz Patches ausnutzen lässt):

In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – standardmäßig der Fall – beziehungsweise deaktiviert sind:

• NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
• UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden

In allen #Windows Betriebssystemen (für Clients und Server) steckt eine neue #Sicherheitslücke, die bisher noch nicht geschlossen wurde. Betroffen sind alle Server und auch PCs und Notebooks, wo der Dienst „Druckwarteschlange“ gestartet ist. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den Druckspooler (Druckwarteschlange) Dienst zu deaktivieren – was nicht zielführend ist. Schließlich kann dann nicht mehr über den Server gedruckt werden.
Update: Mittlerweile hat Microsoft die Lücke als kritisch auf einer Skala von 1 bis 10 mit 8.1 eingestuft. Mit einem offiziellen Patch ist nicht vor nächstem Dienstag, dem Juli-Patchday 2021 zu rechnen.

Möglicher Workaround (Sysko in Eigenverantwortung)

Es gibt aber auch einen Workaround, der den Zugriff auf den Druckserver sperrt. Damit soll weiterhin gedruckt werden können. Möchte man eine Konfigurations-Änderung am Druckserver vornehmen (also zum Beispiel einen neuen Drucker installieren oder eine Einstellung ändern), muss man die Änderung wieder zurücknehmen. Das Ganze gilt, solange bis Microsoft einen Notfall Patch liefert.

Die benötigten (administrativen) Powershell-Skripte hier (Benutzung auf eigenes Risiko, Nebenwirkungen sind nicht ausgeschlossen)

$Path = "C:\Windows\System32\spool\drivers"

$Acl = (Get-Item $Path).GetAccessControl('Access')

$Ar = New-Object  System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")

$Acl.AddAccessRule($Ar)

Set-Acl $Path $Acl

und zum Deaktivieren der Sperre:

$Path = "C:\Windows\System32\spool\drivers"

$Acl = (Get-Item $Path).GetAccessControl('Access')

$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")

$Acl.RemoveAccessRule($Ar)

Set-Acl $Path $Acl

Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available

Fabio Viggiani, Blog-Artikel

Funktionsweise eines Angriffs

Im Prinzip stehen einem Angreifer an jedem Gerät Angriffspunkte zur Verfügung, wo der Druckerwarteschlangen Dienst läuft. Das ist ab Werk auf allen Windows Clients – unabhängig von der Version der Fall und auf Druckservern. Wie ein Angreifer diese Geräte erreicht, steht auf einem anderen Blatt – meistens indem er Benutzer in Mails oder Webseiten auffordert, auf irgendwas zu klicken. Das angeklickte Schadprogramm wird dann im Benutzerkontext ausgeführt und greift als erstes alle Systeme an, wo der Druckdienst läuft. Hier werden dann Schadprogramme injiziert und verschlüsseln zB alle Daten.

Bis zum Patchday bzw. bis ein Fix zur Verfügung steht, ist es also eine Risikoabwägung, ob man den Workaround nutzt und nachher wieder deaktiviert (auch hier können Nebenwirkungen entstehen) oder das Risiko eingeht, dass etwas eingeschleust wird.

Support: Nein

Dieser Artikel soll Sie über diese kritische Sicherheitslücke informieren. Bitte haben Sie dafür Verständnis, dass wir den Workaround nicht in Ihrem Auftrag auf all Ihren Systemen für Sie ausführen werden. Erfahrene Systemkoordinatoren müssen selbst abschätzen, inwieweit die Möglichkeit für sie Sinn macht und können dann eigenverantwortlich tätig werden.

Quiz: Bilderraten

Rätseln Sie mit. In diesem #Quiz aus #Fotos werden nach und nach Teile des Bildes freigelegt. Sobald Sie raten können, drücken Sie die Taste 3 und notieren die Punktzahl.

Windows 10 wird Windows 11

Update: am 28. Juni gibt es die Insider-Versionen von Windows 11, der offizielle Rollout wird über Windows Update ab Oktober 2021! verteilt. Windows 11 ist also NICHT die 22H1 Version, sondern quasi die 21H2 Version und der direkte Nachfolger von build 19043 von Windows 10. Die 11er-Versionen tragen den Codnamen CO_21H2 wie Cobalt.

Am 24. Juni 2021 um 17:00 Uhr mitteleuropäischer Sommerzeit wurde es offiziell verkündet, bereits jetzt zeigt der aktuelle Insider-Build der vnext-Version 22H1 beim Installieren „Windows 11“ an. Während es lange hieß, Windows 10 sei die letzte Windows Version und man mache „nur“ 2x im Jahr kontinuierlich Funktions-Updates, ist auf der Support-Ende Seite nun ein Ablaufdatum für Updates für Windows 10 angegeben: 14.10.2025. Dahinter steht „Deaktivierungsdatum“ für die Pro und Home Versionen.