Microsoft Security Update Revisions
Es gibt eine Sicherheitsanfälligkeit PrintNightmare im Windows Print Spooler. Veröffentlicht im CVE-2021-34527. Die CISA (Cybersecurity & Infrastructure Security Agency) schreibt, das Admins den Druckdienst deaktivieren sollten und zwar da wo es geht.
Windows Print Spooler Remote Code Execution Vulnerability.
Der Workaround von Microsoft lautet, den Print Spooler (Druckerwarteschlange) bis zum Fix zu deaktivieren. Bei Print-Servern etwas unglücklich, aber da muss individuell entschieden werden.
Per Powershell außerhalb von Domänen:
Get-Service -Name Spooler
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Als Einzeiler in der Konsole ausführen:
Get-Service -DisplayName “Print Spooler” | Set-Service -Status stopped -StartupType disabled
Innerhalb von Domänen lässt sich das Ganze per Gruppenrichtlinie umsetzen. Aber bitte daran denken, das nach dem Roll-out der Richtlinie der Dienst immer noch läuft. Also muss der GPO auch die Beendigung des Dienstes mitgegeben werden. Wurde in den letzten Tagen oft vergessen!
Hier eine fertige Gruppenrichtlinie zum Download:
BSI-2021-233732_v1.0_IT-SiG_TLPWHITE
Mein umgesetzter Workaround lautet
Neben der Deaktivierung des Dienstes habe ich SYSTEM den Zugriff auf den Ordner C:\Windows\System32\spool\drivers untersagt, also ein Deny ausgesprochen. FERTIG!