Schutzmaßnahmen für die Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Windows-Druckspooler

„PrintNightmare“ war eine weit verbreitete Sicherheitslücke im Windows-Druckspoolerdienst. Diese Sicherheitsanfälligkeit betraf fast alle Windows 10-Versionen, einschließlich der neuesten Updates vom Mai 2021 (Version 21H1) und Oktober 2020 (Version 20H2).

Glücklicherweise hat Microsoft diese Sicherheitsanfälligkeit durch die Veröffentlichung mehrerer Windows-Updates behoben. Suchen Sie unter Updates & Sicherheit > Windows Update nach den Updates und wenden Sie das Juni-Update an.

Sie können das Notfallupdate auch manuell aus dem Microsoft Update-Katalog installieren, wenn Sie das automatische Windows Update-Verfahren nicht durchführen können.

Dieser Patch ist jedoch nicht vollständig und Angreifer können die Sicherheitsanfälligkeit weiterhin ausnutzen. Daher ist es besser, wenn Sie Ihren Windows Point Spooler-Dienst deaktiviert lassen, bis der richtige Fix veröffentlicht wird.

Sie können den Druckspooler-Dienst unter Windows auf zwei Arten deaktivieren, nämlich über PowerShell und über den Gruppenrichtlinien-Editor.

Minderung der PrintNightmare-Sicherheitslücke mit PowerShell

  • Drücken Sie Windows + X, um zum Startmenü zu gelangen.
  • Klicken Sie dann auf Windows PowerShell und führen Sie es als Administrator aus.

  • Geben Sie nun diesen Befehl ein, um den Spooler-Dienst zu stoppen: Stop-Service -Name Spooler –Force,

  • Geben Sie als Nächstes diesen Befehl ein, um zu verhindern, dass der Druckdienst in Zukunft erneut gestartet wird: Set-Service -Name Spooler -StartupType Disabled.

Sie können es jederzeit später wieder aktivieren, indem Sie die folgenden beiden Befehle verwenden:

  • Set-Service -Name Spooler -StartupType Automatic
  • Start-Service -Namenspooler

Deaktivieren Sie den Druckspooler-Dienst in Windows 10 mit dem Gruppenrichtlinien-Editor

  • Öffnen Sie die Windows-Suche und geben Sie gpedit.msc ein. Dadurch wird eine Seite mit dem Namen Editor für lokale Gruppenrichtlinien geöffnet.
  • Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration > Administrative Vorlagen > Drucker,
  • Doppelklicken Sie nun auf Druckspooler erlauben, Client-Verbindungsrichtlinie zu akzeptieren,
  • Wählen Sie dann die Option zum Deaktivieren aus und bestätigen Sie mit Ok.

Microsoft bestätigt, dass der Spooler die Clientverbindungen automatisch ablehnt, wenn diese Richtlinie deaktiviert ist, und verhindert, dass Sie Drucker freigeben. Die bereits freigegebenen Drucker werden jedoch weiterhin freigegeben.

Sie müssen den Spooler-Dienst neu starten, wenn die Änderungen an der Richtlinie vorgenommen werden. Sehen Sie sich unten die Schritte an, um dies zu tun:

  • Geben Sie im Startmenü Dienste ein,
  • Doppelklicken Sie in der Liste auf Druckerspooler,

  • Klicken Sie auf Neustart und bestätigen Sie mit Ok.

Sie können den Druckspooler-Dienst jederzeit später mit dem Gruppenrichtlinien-Editor wieder aktivieren, indem Sie einfach die Option Nicht konfiguriert oder Aktiviert in der Richtlinie „Druckspooler erlauben, Client-Verbindungen zu akzeptieren“ auswählen und dann auf die Schaltfläche Übernehmen und dann auf OK tippen.