为了修复“打印噩梦”,我禁用了安装打印驱动程序所需的管理员权限(这很有效)。这实际上与将自己暴露于“打印噩梦”漏洞相同。这就是为什么我想将某些打印服务器列入“白名单”,以便部分缓解漏洞。
为此,我尝试启用 GPO:
“计算机配置\策略\管理模板\打印机\指向和打印限制“。
此 GPO 配置如下:
用户只能指向这些服务器并进行打印:已启用
输入完全限定的服务器名称(以分号分隔):测试.[域].int
用户只能指向并打印到他们林中的机器:已禁用
安全提示:
- 为新连接安装驱动程序时:不显示警告或提升提示
- 更新现有连接的驱动程序时:不显示警告或提升提示
但问题是,我的客户端仍然能够打印到我们的打印服务器,尽管它没有 FQDN测试.[域].int。因此,我不确定我设置测试 GPO 的方式是否真的将任何东西列入白名单,从而让我们暴露于 Print Nightmare 漏洞。
我还尝试使用 test.[DOMAIN].int 启用 GPO“Package Point and Print - Approved server”,但无济于事。
我需要帮助来了解我需要做哪些不同的事情才能使白名单发挥作用。我一直在关注有关该主题的这篇 MS 文章:KB5005652—管理新的指向和打印默认驱动程序安装行为(CVE-2021-34481)