В качестве исправления для Print Nightmare я отключил необходимость прав администратора для установки драйверов печати (это работает). Фактически это то же самое, что подвергать себя эксплойту Print Nightmare. Вот почему я хочу внести в «белый список» определенные серверы печати, чтобы частично смягчить эксплойт.
Для этого я попытался включить объект групповой политики:
"Конфигурация компьютера\Политики\Административные шаблоны\Принтеры\Ограничения указания и печати".
Этот объект групповой политики настроен следующим образом:
Пользователи могут указывать и печатать только на этих серверах: Включено
Введите полные имена серверов, разделенные точкой с запятой: тест.[ДОМЕН].int
Пользователи могут указывать и печатать только на машинах в своем лесу: Неполноценный
Подсказки безопасности:
- При установке драйверов для нового подключения: Не показывать предупреждение или запрос на повышение прав
- При обновлении драйверов для существующего соединения: Не показывать предупреждение или запрос на повышение прав
Но проблема в том, что мои клиенты по-прежнему могут печатать на наш сервер печати, хотя у него нет полного доменного имени. тест.[ДОМЕН].int. Так что я не уверен, что то, как я настроил test-GPO, на самом деле заносит что-либо в белый список, тем самым оставляя нас уязвимыми для эксплойта Print Nightmare.
Я также пытался включить GPO «Package Point and Print — Approved server» с помощью test.[DOMAIN].int, но безрезультатно.
Мне нужна помощь, чтобы понять, что мне нужно сделать по-другому, чтобы белый список заработал.
Я следил за этой статьей MS по этому вопросу: KB5005652 — Управление поведением установки нового драйвера Point and Print по умолчанию (CVE-2021-34481)
