Keine Herstellertreiber mehr: Microsoft testet Windows Protected Print Mode
Druckertreiber von Drittherstellern sind Microsoft ein Dorn im Auge. Die ersten Schritte zur Abschaffung unternimmt die Firma jetzt.
(Bild: Erzeugt mit Midjourney durch heise online)
Auf die Ankündigung im September folgen Taten: Microsoft will die Druckertreiber-Politik in Windows 11 neu ausrichten. Der erste Schritt ist kürzlich im Insider-Kanal Canary erfolgt, in dem Freiwillige den sogenannten Windows Protected Print Mode (WPP) vorab testen können.
WPP baut auf dem bisherigen Internet Print Protocol (IPP) auf, ist aber deutlich konsequenter ausgelegt. Bisher liefen Herstellertreiber und IPP parallel – Netzwerkdrucker etwa nutzen bei Point and Print das, was der Server verlangt. So kann Schadcode einen Wechsel erzwingen.
In der aktuellen Iteration deaktiviert WPP standardmäßig alle Herstellertreiber. Nutzer können jedoch manuell zurückwechseln, primär bei Kompatibilitätsproblemen. Das soll auch langfristig funktionieren: Microsofts Fahrplan sieht einen schrittweisen Wechsel bis zum Jahr 2027 vor. Besitzer eines alten Druckers ohne WPP-Support sollen aber auch danach noch Sicherheits-Updates erhalten.
Mehr Sicherheit
Mit dem Wechsel will Microsoft primär die Sicherheit erhöhen. Druckertreiber laufen mit Systemrechten, also eine Stufe über Adminrechten. Angriffe wie Print Nightmare nutzen Schwachstellen aus, bei denen Drucker beispielsweise unsignierte dll-Dateien laden.
Laut eigenen Angaben gehen 9 Prozent aller Berichte zum Microsoft Security Response Center (MSRC) auf Drucker zurück. "Wir haben festgestellt, dass der Windows Protected Print Mode mehr als die Hälfte dieser Schwachstellen entschärft", schreibt Microsoft.
Zu viele zu alte Treiber im Umlauf
Ein großes Problem ist die mangelnde Treiberpflege der Druckhersteller, was die bisherigen Bemühungen rund um IPP unterwandert. Viele sollen über 10 Jahre alt sein. Zu WPP sind alle Drucker und Multifunktionsgeräte kompatibel, die von der Mobile Printing Alliance (Mopria) zertifiziert sind. Dahinter steckt eine Zusammenkunft verschiedener Hersteller, gegründet von Canon, HP, Samsung und Xerox. Microsoft will den Wechsel zu Mopria-Geräten offensichtlich vorantreiben.
Diese verwenden einen "IPP Class"-Treiber, den Microsoft bereitstellt und aktuell hält. Hersteller können im Windows Store eigene Zusatz-Apps auf Basis der Universal Windows Platform (UWP) anbieten, die den Funktionsumfang erweitern, aber keine eigenen Treiber enthalten.
Diese Drittanbieter-Apps laufen in einem AppContainer, um die Sicherheit zu erhöhen. Zudem sollen unter anderem eine Limitierung der Printer Document Languages (PDL) und Funktionen wie Control Flow Guard (CFG), Control Flow Enforcement Technology (CET) und Arbitrary Code Guard (ACG) Sicherheitslücken vermeiden.
Weiterer Bonus: Microsoft kümmert sich um den Support, wenn eine neue Windows-Version erscheint. (Mopria-)Drucker sollten somit zeitnah unterstützt werden.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(mma)
