Nach Patch KB5005010: Wie Sie jetzt Drucker per GPO in Netzwerken wieder richtig verbinden

Die Welt der IT-Administratoren kann manchmal einem Minenfeld gleichen, besonders wenn Microsoft einen neuen Patch veröffentlicht. Und wenn dieser Patch, wie KB5005010, die Art und Weise beeinflusst, wie Benutzer seit Jahrzehnten Drucker in Netzwerken verbinden, ist das Chaos vorprogrammiert. Wenn Sie sich nach der Installation dieses Updates plötzlich mit unzähligen Support-Tickets konfrontiert sehen, weil Ihre Benutzer keine Netzwerkdrucker mehr verbinden können, sind Sie nicht allein. Dieser Artikel taucht tief in die Problematik ein und bietet Ihnen eine umfassende, detaillierte und vor allem eine sichere Lösung, um Ihre Drucker per GPO in Netzwerken wieder reibungslos zu verbinden.

Das Ursprungsproblem: PrintNightmare und die Reaktion von Microsoft

Bevor wir uns der Lösung widmen, ist es wichtig zu verstehen, warum dieser Patch überhaupt existiert und welche Auswirkungen er hat. Im Sommer 2021 wurde eine kritische Schwachstelle im Windows Print Spooler Dienst entdeckt, die als „PrintNightmare” bekannt wurde. Diese Lücke ermöglichte es Angreifern, über den Print Spooler Remote Code mit Systemrechten auszuführen – eine extrem gefährliche Situation, die sofortiges Handeln erforderte.

Microsoft reagierte mit einer Reihe von Sicherheitspatches, darunter KB5005010 (und nachfolgende Updates wie KB5006670, KB5007186), die darauf abzielten, diese Schwachstelle zu schließen. Die Kehrseite der Medaille: Um die PrintNightmare-Sicherheitslücke effektiv zu beheben, wurden die Privilegien, die ein normaler Benutzer benötigt, um Druckertreiber zu installieren oder zu aktualisieren, drastisch eingeschränkt. Insbesondere wurde das Verhalten von „Point and Print” – eine Funktion, die es Benutzern ermöglicht, Drucker von einem freigegebenen Printserver zu installieren, ohne Admin-Rechte zu besitzen – grundlegend geändert. Standardmäßig können nun nur noch Administratoren Druckertreiber installieren. Dies führt zu Fehlermeldungen wie „Sie haben nicht die erforderlichen Berechtigungen zum Installieren dieses Treibers” oder „Der Vorgang konnte nicht abgeschlossen werden (Fehler 0x00000bc4)”.

Für viele Unternehmen, die sich auf zentrale Printserver und die automatische Bereitstellung von Druckern über Gruppenrichtlinien (GPO) verlassen, war dies eine Katastrophe. Plötzlich standen ganze Abteilungen ohne funktionsfähige Drucker da, und die IT-Abteilungen suchten händeringend nach einer Lösung, die sowohl sicher ist als auch die Arbeitsfähigkeit der Benutzer wiederherstellt.

Die Herausforderung: Sicherheit versus Benutzerfreundlichkeit

Die von Microsoft eingeführten Änderungen sind aus Sicherheitssicht absolut nachvollziehbar. Die Möglichkeit, dass ein Angreifer über einen Druckertreiber Schadcode einschleust, ist ein enormes Risiko. Doch in der Praxis bedeutet es, dass die etablierten Prozesse zur Treiberinstallation für Nicht-Administratoren nicht mehr funktionieren. Die Balance zwischen robuster Sicherheit und einer funktionsfähigen, benutzerfreundlichen IT-Infrastruktur ist hier der Kern des Problems.

Einfach die Sicherheitspatches zu deinstallieren ist keine Option, da dies Ihr Netzwerk wieder den PrintNightmare-Angriffen aussetzen würde. Ebenso ist es keine nachhaltige Lösung, jedem Benutzer lokale Administratorrechte zu geben oder jeden Drucker manuell zu installieren. Wir brauchen eine Lösung, die die neuen Sicherheitsmechanismen respektiert, aber gleichzeitig die gewohnte Funktionalität der automatisierten Druckerbereitstellung via GPO wiederherstellt.

Die empfohlene Lösung: Paket-Point-and-Print mit genehmigten Servern

Die effektivste und sicherste Methode, um die Druckerproblematik nach KB5005010 zu lösen, ist die Implementierung von „Package Point and Print – Approved Servers” in Verbindung mit den erweiterten „Point and Print Restrictions” über Gruppenrichtlinien. Dieser Ansatz ermöglicht es Nicht-Administratoren, Druckertreiber von *vertrauenswürdigen* Printservern zu installieren, ohne dass dafür eine Benutzeraufforderung oder eine Erhöhung der Berechtigungen erforderlich ist. Der Schlüssel liegt hier in der expliziten Deklaration Ihrer Printserver als vertrauenswürdige Quellen für Druckertreiber.

Diese Methode basiert auf der Annahme, dass Ihre Druckertreiber „paketfähig” (package-aware) sind, was in der Regel bei neueren Treibern der Fall ist (insbesondere bei Type 4/V4-Treibern oder signierten Type 3-Treibern). Sie stellt sicher, dass die Installation von Treibern von diesen spezifischen Servern als sicher angesehen und zugelassen wird.

Schritt-für-Schritt-Anleitung zur Konfiguration der GPO

Folgen Sie diesen Schritten, um Ihre Drucker über GPO wieder korrekt zu verbinden:

Voraussetzung: Vorbereitung der Printserver und Treiber

1. Aktualisieren Sie Ihre Printserver: Stellen Sie sicher, dass alle Ihre Printserver die neuesten Sicherheitsupdates von Microsoft installiert haben, einschließlich der Patches, die die PrintNightmare-Lücke schließen.
2. Überprüfen und aktualisieren Sie die Druckertreiber:
   • Verwenden Sie nach Möglichkeit Type 4 (V4) Treiber. Diese sind in der Regel paketfähig und erfordern auf dem Client weniger Privilegien, da der Render-Prozess oft auf dem Server stattfindet.
   • Wenn Sie Type 3 (V3) Treiber verwenden müssen, stellen Sie sicher, dass diese digital signiert sind (von einem vertrauenswürdigen Herausgeber). Unsichtliche oder selbstsignierte Treiber werden weiterhin Probleme verursachen, es sei denn, Sie umgehen die Sicherheitsmaßnahmen auf eine Weise, die wir nicht empfehlen.
   • Installieren Sie die aktuellsten Versionen dieser Treiber auf allen Ihren Printservern.
3. Treiberisolierung aktivieren (optional, aber empfohlen): Konfigurieren Sie die Treiberisolierung für Ihre Druckertreiber auf den Printservern. Dies erhöht die Stabilität, indem Druckertreiber in isolierten Prozessen ausgeführt werden, was Abstürze des Spooler-Dienstes durch fehlerhafte Treiber verhindert. Sie finden diese Einstellung im Druckerverwaltungskonsolen unter „Druckerservereigenschaften” -> „Treiber” -> Rechtsklick auf den Treiber -> „Treiberisolierung festlegen”.

Schritt 1: Gruppenrichtlinienobjekt (GPO) erstellen oder bearbeiten

1. Öffnen Sie die Gruppenrichtlinienverwaltung (GPMC.msc) auf einem Domänencontroller oder einem Computer mit den RSAT-Tools.
2. Erstellen Sie ein neues GPO oder bearbeiten Sie ein bestehendes GPO, das auf die Computer angewendet wird, die die Netzwerkdrucker verbinden sollen. Es ist entscheidend, dass dieses GPO auf die Computerkonfiguration angewendet wird, nicht auf die Benutzerkonfiguration, da die kritischen Einstellungen Computereinstellungen sind.
3. Verknüpfen Sie das GPO mit der entsprechenden Organisationseinheit (OU), die Ihre Client-Computer enthält.

Schritt 2: Konfiguration der GPO-Einstellungen für Point and Print Restrictions

Navigieren Sie in Ihrem GPO zu:

Computer Configuration -> Policies -> Administrative Templates -> Printers

Suchen Sie die Einstellung „Point and Print Restrictions” und konfigurieren Sie sie wie folgt:

• Wählen Sie „Enabled„.
• Aktivieren Sie das Kontrollkästchen „Users can only point and print to these servers„.
• Fügen Sie unter „Enter the FQDNs or IP addresses of approved servers, separated by semicolons” die vollständig qualifizierten Domänennamen (FQDNs) aller Ihrer Printserver hinzu. Beispiel: printserver01.ihredomain.local;printserver02.ihredomain.local
• Setzen Sie „When installing drivers for a new connection” auf „Do not show warning or elevation prompt„.
• Setzen Sie „When updating drivers for an existing connection” auf „Do not show warning or elevation prompt„.

Diese Einstellung weist die Clients an, nur von den angegebenen Servern Druckertreiber zu beziehen und dabei keine Sicherheitswarnungen anzuzeigen. Dies ist ein wichtiger Schritt, um die Benutzerfreundlichkeit wiederherzustellen, aber es reicht allein nicht aus, um die durch KB5005010 eingeführte Administrationspflicht für Treiberinstallationen zu umgehen.

Schritt 3: Konfiguration der GPO-Einstellungen für Package Point and Print – Approved Servers (Der entscheidende Schritt!)

Dies ist der kritischste Teil, um die Einschränkungen von KB5005010 sicher zu umgehen. Suchen Sie in demselben Pfad:

Computer Configuration -> Policies -> Administrative Templates -> Printers

Nach der Einstellung „Package Point and Print – Approved Servers” und konfigurieren Sie sie wie folgt:

• Wählen Sie „Enabled„.
• Klicken Sie auf die Schaltfläche „Show…” neben „Enter the FQDNs or IP addresses of approved servers„.
• Fügen Sie hier erneut die vollständig qualifizierten Domänennamen (FQDNs) aller Ihrer Printserver hinzu, die Sie bereits in den „Point and Print Restrictions” eingetragen haben. Stellen Sie sicher, dass die Liste identisch ist.

Diese Einstellung ist der Game Changer. Sie überschreibt die standardmäßige Anforderung für administrative Rechte, wenn ein „paketfähiger” Druckertreiber von einem der hier gelisteten Printserver installiert wird. Dadurch können normale Benutzer wieder problemlos Netzwerkdrucker installieren, ohne dass sie zur Eingabe von Administrator-Anmeldeinformationen aufgefordert werden.

Schritt 4: GPO anwenden und testen

1. Nachdem Sie die GPO-Einstellungen vorgenommen haben, schließen Sie den Gruppenrichtlinieneditor.
2. Erzwingen Sie die Aktualisierung der Gruppenrichtlinien auf einem Client-Computer, der von dem Problem betroffen ist. Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie gpupdate /force ein.
3. Starten Sie den Client-Computer neu. Ein Neustart ist oft notwendig, damit alle Druckerdienste und -einstellungen korrekt übernommen werden.
4. Versuchen Sie nun, von diesem Client aus einen Netzwerkdrucker von einem der genehmigten Printserver zu verbinden. Es sollte ohne Fehlermeldungen oder Aufforderungen zur Rechteerhöhung funktionieren.

Zusätzliche Überlegungen und Best Practices

• Konsistenz ist der Schlüssel: Stellen Sie sicher, dass die Liste der genehmigten Server in beiden GPO-Einstellungen („Point and Print Restrictions” und „Package Point and Print – Approved Servers”) absolut identisch ist.
• FQDNs verwenden: Es wird dringend empfohlen, FQDNs (Fully Qualified Domain Names) anstelle von IP-Adressen zu verwenden, da dies robuster und oft sicherer ist.
• Verwaltung von Druckertreibern: Halten Sie Ihre Druckertreiber auf den Printservern stets aktuell und verwenden Sie, wann immer möglich, von den Herstellern digital signierte und paketfähige Treiber. Dies minimiert zukünftige Probleme und erhöht die Sicherheit.
• Testen in einer Staging-Umgebung: Bevor Sie diese GPO-Änderungen in Ihrer gesamten Produktion anwenden, testen Sie sie gründlich in einer Test- oder Staging-Umgebung.
• Alte GPO-Einstellungen prüfen: Überprüfen Sie, ob es möglicherweise ältere GPOs gibt, die ebenfalls „Point and Print Restrictions” oder ähnliche Druckereinstellungen konfigurieren. GPO-Vererbung und -Priorität können zu Konflikten führen.
• Deaktivieren Sie nicht „Limit print driver installation to administrators”: Eine weitere GPO-Einstellung unter Computer Configuration -> Policies -> Administrative Templates -> Printers namens „Limit print driver installation to administrators” sollte *nicht* explizit deaktiviert werden, um das Problem zu lösen. Die „Package Point and Print – Approved Servers”-Einstellung dient gerade dazu, diese Administratorbeschränkung für vertrauenswürdige Quellen zu umgehen, ohne die allgemeine Sicherheitslage zu schwächen.

Fazit: Sicher und wieder funktionsfähig

Die Sicherheitsmaßnahmen, die Microsoft mit KB5005010 und nachfolgenden Patches eingeführt hat, waren eine notwendige Reaktion auf die PrintNightmare-Schwachstelle. Obwohl sie für viele IT-Administratoren Kopfzerbrechen bereitet haben, bieten die Gruppenrichtlinien die notwendigen Werkzeuge, um die Funktionalität der Netzwerkdrucker auf sichere und verwaltbare Weise wiederherzustellen.

Durch die konsequente Nutzung von „Point and Print Restrictions” und insbesondere „Package Point and Print – Approved Servers” stellen Sie sicher, dass Ihre Benutzer weiterhin mühelos Drucker installieren können, während gleichzeitig die Gefahr durch nicht vertrauenswürdige Druckertreiber gebannt wird. Dieser Ansatz balanciert die Anforderungen an Sicherheit und Benutzerfreundlichkeit perfekt aus und bringt Ruhe in Ihr Netzwerk. Nehmen Sie sich die Zeit, diese Einstellungen sorgfältig zu implementieren und zu testen – es wird sich langfristig auszahlen und Sie vor weiteren Drucker-GPO-Problemen bewahren.