Alleen admins kunnen na PrintNightmare-patch nog printers en drivers installeren

Microsoft heeft een patch uitgebracht voor de PrintNightmare-bugs. Die repareert niet alleen de kwetsbaarheid, maar verandert ook de manier waarop printerdrivers kunnen worden geïnstalleerd. Dat kunnen voortaan alleen systeembeheerders nog doen.

De verandering komt samen met een patch voor PrintNightmare, een serie van bugs in de Print Spooler-functie van Windows. Daarvan bleek begin juli al dat die actief werd uitgebuit, totdat Microsoft daar een noodpatch voor uitbracht. Die maakte het echter nog steeds mogelijk een local privilege escalation uit te voeren op een systeem. De nieuwe patch die Microsoft heeft uitgebracht moet ook dat laatste voorkomen.

De verandering zit in KB500652. Microsoft schrijft in een bijbehorende blogpost dat het daarin een mitigatie voor de PrintNightmare-problemen heeft. De patch repareert de bug niet, maar verandert de manier waarop gebruikers Print Spooler moeten gebruiken. Na de installatie is het alleen nog maar voor systeembeheerders en gebruikers met adminrechten mogelijk nieuwe printers en printerdrivers te installeren via Point&Print. "De installatie van deze update met standaardinstellingen mitigeert de publieke bekende kwetsbaarheden in de Windows Print Spooler-functie", schrijft Microsoft. "We geloven sterk dat de veiligheidsrisico's deze verandering rechtvaardigen."

Beheerders hebben wel de mogelijkheid de mitigatie weer uit te zetten. Dat moet via een value in de registry. Microsoft raadt gebruikers wel af dat te doen, omdat ze daarmee opnieuw kwetsbaar zijn voor de bug.

Door Tijs Hofmans

Redacteur

12-08-2021 • 08:19

117 Linkedin

Reacties (117)

Wijzig sortering
Iets wat mij niet volledig duidelijk is, is of het hier gaat om het geheel niet meer toevoegen van nieuwe printers of het hier gaat om niet meer kunnen toevoegen van nieuwe drivers. Windows wordt standaard geleverd met behoorlijk veel drivers van verschillende printers. In de meeste gevallen is een andere driver niet nodig om alvast de basis opties van de printer te kunnen gebruiken.
Het is ook een beetje onduidelijk in alle communicatie van MS, maar als ik deze kbase mag geloven ga je nog wel printers kunnen toevoegen als de drivers al lokaal geinstalleerd staan.
By default, non-administrator users will no longer be able to do the following using Point and Print without an elevation of privilege to administrator:
  • Install new printers using drivers on a remote computer or server
  • Update existing printer drivers using drivers from remote computer or server
Note If you are not using Point and Print, you should not be affected by this change and will be protected by default after installing updates released August 10, 2021 or later.
Point and Print gaat over het toevoegen van remote printers van een printserver

[Reactie gewijzigd door Blokker_1999 op 12 augustus 2021 10:00]

Om nieuwe printer drivers toe te voegen heb je nu Administrator rechten nodig.

Om een nieuwe printer met een bestaande driver toe te voegen, heb je geen speciale rechten nodig.

Ook geen speciale rechten als die 'printer' wat extra CopyFiles instructies heeft om malware te installeren die als SYSTEM gaat draaien.

[Reactie gewijzigd door Henk Poley op 12 augustus 2021 10:12]

Ik denk ook dat het in die zin zichzelf versterkt. Iemand komt een bug tegen in de printer-stack, en vervolgens komt er veel aandacht op het geheel. Dit zorgt er vervolgens voor dat er op vele andere plekken, waar nog nooit echt naar is gekeken, ook opeens bugs worden gevonden.

Net als met de hardware-cpu bugs van een paar jaar geleden, iemand vond een paar beveiligingsgaten in de speculative execution, en vervolgens blijven er nieuwe bugs volgen, omdat er gewoon nog (bijna) nooit iemand had gedacht om in die hoek naar bugs/beveiligingsgaten te zoeken.

Erg interessant, maar voor een bedrijf als Microsoft op de korte termijn wel stressvol lijkt me (op de lange termijn wordt windows veiliger dus dat is positief voor ze natuurlijk).
Op zich prima natuurlijk, mits het niet leidt tot halsbrekende toeren door gebruikers om op de nieuwe printer te kunnen printen omdat ICT geen tijd heeft om de nieuwe driver te installeren.

Vanuit de gebruiker gezien moet dat contract “vandaag nog” de deur uit natuurlijk.

Op veel ICT afdelingen wordt nogal eens vergeten dat het een support organisatie is en geen core business. (Maar gelukkig zijn er ook veel goed gestroomlijnde organisaties)
Gelukkig stappen veel bedrijven over op 'Follow me'. Hoef je als gebruiker niet te weten welke printer het is..
Behalve dat het helaas in deze tijd, het vele thuiswerken, natuurlijk niet geheel werkt zoals je zou willen.

Follow Me op de printer thuis :+

Dus het is wel een dingetje, de gebruikers krijgen of kopen zelf een printer uit de catalogus, deze kon voorheen zelf geïnstalleerd worden, maar nu gaat dat dus standaard veranderen. Dat zorgt dus ook voor meer druk op de workplace zijde en daarnaast ook voor uitdagingen (je kan niet even langs bij iemand thuis)
Ik vraag me af of je dat als bedrijf zou moeten willen, dat gebruikers thuis hun documenten kunnen printen. Contracten zijn vaak al vertrouwelijk, maar het eerste waar ik aan moet denken is die ziekenhuismedewerker die thuis een stapel patientendossiers geprint heeft liggen, omdat dat zo fijn leest.
Ja er zijn best dingen die beter niet thuis geprint zouden moeten worden. Daartegen kan je ook gewoon op je werk iets printen en mee naar huis nemen. Over het algemeen (ja er zijn uitzonderingen) worden koffers en tassen niet gecontroleerd als je naar huis gaat. Ook heeft het als voordeel dat als je iets voor een klant moet printen waar je zo eem afspraak mee hebt dat je niet eerst naar je werk moet om de papieren op te halen.
en vervolgens wordt dat contract via een prive mail naar de prive computer gestuurd om hem als nog te printen. Waar een wil is is een weg, en het wordt alleen onveiliger
De oplossing voor contracten is om digitaal ondertekenen te ondersteunen. ;)
Mijn werkgever maakt producten voor digitaal tekenen van documenten en kan u zeggen: het is een behoorlijk moeilijke business binnen bedrijven.
Met Corona is er weliswaar een nieuwe golf van interesse, maar de echt grote bedrijven zijn moeilijk te overhalen. De mix van digitaal en papier en de verschillende platformen (samen met haar technische problemen) zorgt dat veel grotere bedrijven liever alles op papier tekenen. Het is nu eenmaal eenvoudiger om een bundel papieren af te geven aan het hoger management om te tekenen dan links naar 3 verschillende platformen met elk hun eigen flows en daarnaast nog steeds een bundel papieren waar digitaal dan geen optie was.
Dit houdt veel grotere bedrijven toch wel tegen om de sprong naar digitaal te maken.

Zelfde overigens met elektronische facturen. Hoewel dat ook een zeer groeiende markt is, is het voor veel bedrijven een complex gebeuren door de verscheidenheid aan aanbieders en soms de gedachte van veel bedrijven dat een PDF in een mail een "elektronisch factuur" is (yeah right, bezorgd in veel gevallen zelfs meer last).
Het is ook gewoon lastig, omdat het erg beperkend is. Papier is altijd en overal 'compatibel'. Getekende digitale documenten zijn vaak ofwel aan te passen, ofwel alleen beschikbaar in 1 stuk software. Situatie 1 is onwenselijk, en situatie 2 is lastig mee te werken (persé dat stuk software/internettoegang voor site nodig om te lezen).
Dit is begrijpelijk, als leidinggevende moet ik bepaalde facturen aftekenen. Onderliggende informatie is vaak meerdere documenten/varianten, soms van verschilly partijen. Dus ook hier intern hebben we wel een overzicht dat digitaal is, echter ook die wordt weer geprint en ik dien deze te tekenen en de onderliggende af te stempelen. Dit zie ik dan ook niet snel veranderen. Ondanks dat we misschien al 15 jaar met een DMS werken.
Vind dat we sowieso af moeten van het printen, voor foto's kan ik het nog begrijpen, maar voor documenten ontgaat mij het nut volledig.

Tegenwoordig hebben mensen een tablet, PC, telefoon, etc. - waarom moet dan alsnog een heel dossier worden geprint (erger nog, weer worden ingescand)? Een handschrift kan ik niet altijd lezen en een archief kan je ook kwijtraken (Riagg anyone?). Voor het milieu is het ook beter, al is dat meer een gok van mijn kant. ;)
Niet iedereen vind het natuurlijk fijn om serieus dingen te lezen vanaf een scherm. Met met serieus bedoel ik ingewikkelde teksten (en dus niet facebook berichten) en als het ook nog ter controle is kijken voor (type)fouten. En aantekeningen maken op papier is ook vaak makkelijker voor mensen. Ik zelf vind het ook gewoon fijner op papier. Al ik zulke teksten moet lezen op de computer of telefoon vind ik het vaak moeilijk concentreren. Ik denk mede de helderheid van het scherm en de hoeveelheid tekst op het scherm. Vooral de telefoon scherm vind ik eigenlijk te klein waardoor je de tekst te veel moet inzoomen en scrollen. Bij papier pak je gewoon de volgende pagina en klaar. Ook is het misschien het gevoel van dat ik achter me computer of telefoon meer leuke dingen kan doen en dus meer energie in moet stoppen om de focus te houden.
Nou, het is heel simpel, dat jij het fijn vindt om teksten op een monitor te lezen, ok, maar zelf lees ik grote teksten toch echt liever gewoon op papier. En lappen teksten lezen op een telefoon vind ik al helemaal niet fijn, en een tablet heb ik niet.
Naast de info die ik hier al heb geschreven SMGGM in 'nieuws: Alleen admins kunnen na PrintNightmare-patch nog printers e... speelt ook het legaal aspect wat mee. Er is vaak nog veel twijfel over wat nu rechtsgeldig is van elektronische handtekening en wat niet.

In België heb je de eID maar dat is zo'n omslachtig iets om altijd werkend te krijgen en is er itsme. itsme biedt weliswaar een eIDAS gekwalificeerde handtekening aan, maar die kostprijs is hoger dan je zou verwachten per handtekening (ik mag de prijzen niet publiek zeggen helaas, zijn gesloten contracten).

Daarnaast, ga je elektronisch tekenen, dan moet ook iedereen elektronisch tekenen. Veel documenten vereisen (omwille van mandaten) meerdere handtekeningen van verschillende board of management leden. Er moet maar 1 persoon zijn die niet digitaal wil tekenen en heel het digitaal tekenen valt in het water.
En in grote bedrijven zit er dan soms nog wel eens iemand tussen dat van een ander land komt en de pret kan niet meer op.
Voor de gemiddelde Tweaker misschien. Mensen in de zorg zijn vaak niet zo technisch onderlegd als de gemiddelde Tweaker.
Daar zijn wij mee begonnen, maar in de praktijk is dat niet zo eenvoudig. Gewone gebruikers moeten meestal op hun PC al iets installeren om te kunnen ondertekenen en dat blijkt vaak al te moeilijk.
Maar niet om te lezen.

Als jij 50 pagina's juridische tekst moet lezen en becommentariëren werkt dat niet fijn via een scherm.

Meer dan 5 pagina's print ik ook gewoon.
Soms moet je ook weleens even iets inscannen ipv printen. Dat zou dan ook niet gaan. Of wil je dat ik voor elk velletje dat ik wil printen of scannen naar kantoor moet. Is in de thuiswerksituatie nogal omslachtig.

Het laatste wat je als baas wilt, is dat je personeel in zodanig moeilijke bochten worden gewrongen dat ze hun werk nauwelijks meer kunnen doen. Als je baas dat wel doet, moet ie toch eens gaan nadenken of ie wel goed bezig is (maar dat is een andere discussie).

[Reactie gewijzigd door Zeror op 12 augustus 2021 09:29]

Die ziekenhuismedewerker zou dan wel wat uit te leggen hebben bij ons. Wij monitoren actief op dat soort zaken, en voor het uitprinten van een patientendossier heb je een héle goede reden nodig. En "Dat leest zo makkelijk" is geen goede reden. Sowieso is het uitprinten van een volledig dossier al vrij lastig want we hebben (bewust) geen "Print alles" knop.
Rights management goed inrichten, scheelt een hoop ellende.
Je hebt ergens wel gelijk. Maar voor alles is een oplossing. Awareness creëren en je werkvolk op de vloer het concept confidential printing leren. Hierdoor zal de print er pas uitkomen als je het juiste (zelf gekozen) pincode of wachtwoord intoetst. Werkt super goed als je printer het ondersteund uiteraard.

Edit: reactie aangepast. Ik dacht even dat het over printen van thuis uit op een printer op kantoor ging.

Hoe zit dat dan bij een huisarts? Zij printen toch ook confidentiële data dikwijls op hun kantoor thuis af. Want dat is dikwijls gewoon in hun eigen huis. Nu kan je er wel vanuit gaan dat medisch personeel weet hoe om te gaan met zulke data. Niet?

Vergeet niet dat iedereen tegenwoordig een camera op zak heeft en evengoed foto's kan nemen. Dan staat die confidentiële data 9 van de 10 ook ineens ook in de cloud. 8)7

Mensen moeten echt eens leren minder te printen en meer digitaal te lezen. Scheelt al heel wat bomen en inkt.

[Reactie gewijzigd door I8pp op 12 augustus 2021 12:43]

Contracten zijn vaak al vertrouwelijk, maar het eerste waar ik aan moet denken is die ziekenhuismedewerker die thuis een stapel patientendossiers geprint heeft liggen, omdat dat zo fijn leest.
Dat dossiers met medische gegevens 'onversleuteld' (op papier) worden verwerkt is natuurlijk überhaupt al een kwalijke zaak.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 09:19]

Ik heb thuis nog nooit de behoefte gehad om een document te printen. We tekenen digitaal en wisselen documenten daarom in PDF-vorm uit via Sharepoint. Er is geen enkele noodzaak voor mij om thuis te gaan printen. Het enige wat nog in papieren vorm geprint wordt, zijn werkinstructies en formulieren die in productie worden gebruikt. Maar ja, waarom zou ik die thuis gaan printen als ze daar niet gebruikt worden?

Ik vraag me af hoeveel gevallen er zijn waarbij je echt thuis moet gaan printen, ik kan zo 1-2-3 geen voorbeelden bedenken :)
Yes, ik heb er een.

Ik heb een zakelijke bankrekening bij de ING en moest een naamswijziging van de BV doorvoeren. Digitaal ondertekenen (plaatje handtekening) van het aangeleverde PDF formulier mocht niet. Moest met blauwe balpen ondertekend worden... Vervolgens zo'n 15 blaadjes geprint, 1 ondertekend en toen alles gescand (ja zeker... |:( ) en gemaild (per post hoefde niet :X ). Toen mocht het wel....
Wat ik vaak doe is handtekening inscannen en dan digitaal in het formulier verwerken.
Genoeg tools om PDF of dergelijke te kunnen editen.
Anoniem: 470811
@Zackito12 augustus 2021 09:22
Dat is wat ik eerst deed en dat mocht juist niet. Ik deel je verbazing :D
Is gewoon een juridisch dingetje. Een fysiek ondertekend document dat daarna gescand wordt is rechtsgeldig, maar een document waarin een gescande handtekening wordt geplaatst feitelijk niet. Ook al kun je het verschil vaak niet meer zien als het eenmaal een pdf is, kan een instantie natuurlijk niet zeggen dat ze akkoord gaan met het toevoegen van een gescande handtekening.
Nee, dat is onzin. Er wordt veel te veel magische kracht toegedicht aan een fysieke handtekening.

Er zíjn specifieke processen waarvoor de procedures wettelijk zijn voorgeschreven, zoals bijvoorbeeld de aankoop van een huis via de notaris. Daar moet de handtekening zelfs in persoon gezet worden, onder toezicht van de notaris.

Maar voor een willekeurig document zijn er niet zulke regels. De juridische norm voor ondertekening is dat een mens (dus geen computer in een automatisch proces) een bepaald document authenticeert. Hoe die mens dat precies doet is niet eens heel erg van belang. Als jij het structureel doet door een vingerafdruk te zetten, dan is dat ook goed.
Klopt, maar het plakken van een gescande handtekening in een document valt daar dus niet onder. Op die manier zou ik namelijk met een scan van de koning namens Willem Alexander allerlei documenten rechtsgeldig kunnen ondertekenen.
Een getekend document scannen en doorsturen mag, een gescande handtekening in een document plaatsen mag niet.
Ook dat voorbeeld van WIllem-Alexander laat weer zien dat de techniek niet uitmaakt. Of je nu met pen of Paint een handtekening namaakt, het blijft valsheid in geschrifte.
Moet je van zo'n fysiek ondertekend document dat daarna gescand is, dan ook geen archivering doen? Ik weet dat het bij ons op werk belangrijk was dat er een afdruk van de pen in het gearchiveerde document te zien was. Zo niet, dan was het geen geldige handtekening. Dat maakt het aardig complex als er nieuwe collega's zijn die nog geen digitale handtekening kunnen zetten die tussen de digitale handtekeningen door ook tekenen, soms heb je dan meerdere versies van het document in geprinte toestand die allemaal gearchiveerd moeten worden. Bijvoorbeeld als de auteur eerst fysiek getekend heeft, daarna de reviewers digitaal en de releaser weer fysiek.
Klopt, dat besef ik. Maar vond gewoon vooral vervelend dat voor een bedrijf dat 100% online claimt te zijn, dat feitelijk niet is. Maak gewoon een online formulier en laat het ondertekenen alsof je een financiiële transactie doet. Maar goed, het is uiteindelijk allemaal wel goed gekomen, maar snel ging het niet :).
Dit herken ik. Wat dat soms wel weer geaccepteerd wordt is digitaal ondertekenen, met een certificaat dus.
Ja klopt, maar goed. Normaal gaat het ookaltijd goed en tot nu toe alleen bij de ING hier gedoe mee gehad.
Moest zeker ook nog een kopie paspoort bij? En alles lekker in de e-mail en gokje bij ing op een of andere file share opgeslagen
Anoniem: 470811
@bommel12 augustus 2021 11:35
;) ja helaas
https://www.security.nl/p...dtekening+rechtsgeldig%3F

Ik denk dat Arnoud Engelfriet een betrouwbare bron is als het aankomt op zaken met betrekking tot ICT en wetgeving.

Ik denk daarnaast dat het met onderstaande zin samen te vatten is waarom ik wel mijn maandoverzicht naar mijn werkgever doorstuur met een jpg van mijn handtekening, maar niet mijn bank
De gewone elektronische handtekening is de eenvoudigste variant. Denk hierbij aan een een gescande handtekening op papier, die bijvoorbeeld onder een e-mail geplakt kan worden als afbeelding. Deze variant wordt meestal niet aangeraden omdat hij eenvoudig te vervalsen is. Maar als de betrouwbaarheid voldoende vaststaat (bijvoorbeeld bij e-mail binnen een bedrijf), dan is zo’n handtekening rechtsgeldig.
Anoniem: 470811
@amx13 augustus 2021 12:23
Ja klopt, ik vond het nogal strict bij ING, want we communiceerden via de zakelijke domeinen.

Maar gelukkig ging het om een administratieve handeling die niet vaak voorkomt :)
Verplicht thuiswerk, overheid die je verplicht om documenten te ondertekenen, maar hun PDF is zo oud dat je niet digitaal kan ondertekenen.

uittreksels uit de KBO die moeten gelegaliseerd worden voor het buitenland: eerst afstempelen voor je ze digitaal kan laten legaliseren.
Publicaties / papers moeten doorwerken gaat wat mij betreft (en ik weet dat vele het met mij eens zijn) gewoon beter op papier dan op een laptop. Een tablet is waarschijnlijk een redelijk alternatief, maar dan moet mijn werkgever mij een tablet geven :P
hoi,
als project engineer print ik per maand meer dan 2000 vellen papier.
omdat tot nog toe elke klant naast een digitale ook een hardcopy eist van al onze documentatie zowel in Nederland al België.
en dan met Corona is het dan toch wel fijn om thuis te kunne printen, hoewel ik het er ook wel op kantoor kan uit laten komen.Maar wie gaat het dan opsturen?

[Reactie gewijzigd door Mr-D. op 12 augustus 2021 10:03]

Ja de repro-afdeling.

Oh wacht, die zijn veelal wegbezuinigd.
Dat jij geen voorbeeld kunt bedenken wil nog niet zeggen dat het niet gebeurd. Genoeg mensen die het fijner vinden om documenten op papier te lezen ipv op een scherm. Dat jij het fijn of geen probleem vindt wil nog niet zeggen dat anderen dat ook zo vinden, en zeker niet om iemand dan te verplichten omdat jij het fijn vindt.
Le-zen. Ik zeg dat ik er zo 1-2-3 geen kan bedenken, niet dat iedereen het maar fijn moet vinden. Als je iets dwars zit, praat er dan over ipv het op anderen af te reageren.

Ik zie hierboven een paar voorbeelden van printergebruik thuis. Het gros van de voorbeelden toont aan dat veel organisaties nog op papier gericht zijn. Met het steeds belangrijker wordend maatschappelijk verantwoord ondernemen is dat ronduit bizar. Overheidsinstellingen die papier vereisen? Dat is echt niet meer van deze tijd en kan zeker anders.

En voor de duidelijkheid: ik ben niet principieel tegen papier, het heeft zeker een rol in onze maatschappij, maar ik vind wel dat er te makkelijk maar van alles geprint wordt omdat het fijner/makkelijker is of omdat we het gewoon gewend zijn.

[Reactie gewijzigd door Grrrrrene op 13 augustus 2021 08:28]

Als je bijvoorbeeld eens zo'n Brother printer met een nette scanner en veegvaste inkt enzo hebt aangeschaft, dan kan 'Follow Me' theoretisch. Heeft natuurlijk niet iedereen nee.
Het lijkt erop dat als de drivers als op de computer staan je deze wel zelf kan toevoegen zonder admin rechten.
Aangezien Windows wordt geleverd met een gigantische hoeveelheid aan drivers vooraf zal een printer uit de catalogus hoogstwaarschijnlijk wel werken, maar dat valt nog te bezien met die nieuwe systeem.
Welke thuiswerker print? Ik heb niet eens een printer
"ik" is het sleutelwoord in jouw bijdrage.
onze gebruikers zeggen altijd "ik gebruik geen prive materiaal voor het werk" en wij installeren geen privé materiaal op laptops van het werk. Niet de eerste keer dat er een brother driver problemen op het netwerk geeft met zijn netwerk scans enzo.
Genoeg mensen hebben dat dus wel. Hier hebben ze zelfs printers uitgedeelt voor thuiswerken.
Helaas moet je voor veel van deze oplossingen nog steeds een printerdriver installeren
Met Microsoft universal print niet. Oke je moet wat cloud "diensten" afnemen, maar de driver zit standaard al in windows. Installeren van drivers is dus verledentijd
Veel van deze oplossingen gebruiken (aan de client kant) ook een generieke PCL 6 driver welke in windows gebundeld zit.

[Reactie gewijzigd door ZinloosGeweldig op 12 augustus 2021 10:24]

Voor zoiets als follow me printing zal de lokale IT-afdeling wel alles installeren met adminrechten. Dat lijkt me geen enkel probleem. Het gaat er juist om dat gebruikers geen rechten meer hoeven te hebben om printers te installeren, en dat hoeft bij dat soort oplossingen niet.
Bij ons is dat inmiddels opgelost. Je print gewoon, loopt naar een willekeurige printer en met je badge activeer je je printopdracht. Geen gedoe meer met top secret printjes bij de secretaresse.
Helaas is dat bij veel kleinere MKB bedrijven nog niet mogelijk.
Dat is follow me printen....
er was eerst nog een tussenweg waarbij het document uit de dichtstbijzijnde printer kwam, zonder badge activatie. Niet echt handig
Of je koos per ongeluk de verkeerde printer en moest naar buiten om het drukwerk uit een ander gebouw te halen....
Hehe, inderdaad. Dat is me ook geregeld overkomen bij mijn vorige werkgever, 2 locaties, 15 minuten fietsen uit elkaar en dan je printopdracht van 200 pagina's uit de verkeerde printer laten komen omdat die gisteren (toen je op de andere locatie was) het laatst gebruikt was. Argh!

Dat kan ongetwijfeld handiger, maar onze ICNeeër (zo noemden we hem, omdat hij alles teveel moeite vond), vond dit een prima oplossing. Hij werkte alleen op de ene locatie en was nooit op de andere, dus had er zelf geen last van. VPN om thuis te kunnen werken was ook een ouderwetse oplossing, alles moest in de cloud. Dat dat met CAD-modellen niet zo handig is, had hij geen boodschap aan, want je raadt het al: daar deed hij niks mee. Uiteindelijk heeft de engineeringafdeling een NAS neergezet, maar toen was ik al weg.

Ik werk nu bij een bedrijf met 'Follow Me' en ik vind het echt briljant. Het enige nadeel is dat je fysiek naar de printer moet lopen om je opdracht te starten, wat een klein beetje tijd kost t.o.v. ouderwets je opdracht naar de dichtstbijzijde printer sturen en blijven zitten op je werkplek, omdat je hoort dat hij nog aan het printen is. Het voordeel (en de hoofdreden dat het ingevoerd is), is dat we zo honderdduizenden onnodige prints besparen, omdat je vaak net na het verzenden van de opdracht bedenkt dat het in kleur had gemoeten of enkelzijdig, of wat dan ook.

[Reactie gewijzigd door Grrrrrene op 12 augustus 2021 09:11]

Heb een keer 40 CV’s voor m’n snufferd gehad omdat m’n collega op een andere vestiging niet goed had gekeken 🤣

Mensen mopperen vervolgens weer over codes (pasjes zijn ook niet alles) maar ik vind follow me fantastisch. Enige jammere is dat de complete service bij ons een paar keer per jaar vastloopt, en dan kan gewoon niemand printen.
In een moderne organisatie is ICT juist wel geïntegreerd met de business en geen gescheiden support organisatie. Momenteel is ICT dermate bepalend voor het succes en onderscheidend vermogen van een organisatie dat de ICT-functie zich ook verder moet ontwikkelen waar het de dienstverlening en het onderscheidend vermogen van de organisatie betreft. Zwiggelaar en Luxemburg (CIO 3.0) onderscheiden 3 fases waarin een organisatie zich kan bevinden:

ICT 1.0: ICT-functie als technisch bolwerk.
ICT 2.0: ICT-functie als bruggenbouwer tussen business en ICT.
ICT 3.0: ICT-functie als integraal en strategisch onderdeel van de business.

Zo te horen zitten jullie met je organisatie nog ICT 1.0 en proberen ze naar ICT 2.0 te komen. Het is juist belangrijk om de ICT meer te integreren om problemen zoals je schetst met dat contract te voorkomen. Juist door de ICT integraal onderdeel van de business te maken voorkom je dat ze een eilandje worden met andere, eigen doelen, waardoor dat contractje niet uit de printer komt. Of nog erger, dat degene maar zijn prive laptop gaat gebruiken uit pure wanhoop, met alle veiligheidsrisico’s van dien.
Yo, helemaal mee eens, nu de directie nog.
Kwestie van het juiste directielid dit boek cadeau doen: https://www.managementboe...formatie-karin-zwiggelaar

Dan kan diegene daarna met de eer gaan strijken dat ie een gigantisch goed origineel idee heeft dat de organisatie een flinke voorsprong op de concurrentie gaat geven :)
Momenteel is ICT dermate bepalend voor het succes en onderscheidend vermogen van een organisatie dat de ICT-functie zich ook verder moet ontwikkelen waar het de dienstverlening en het onderscheidend vermogen van de organisatie betreft.
Dat is een mooie voor het marketingteam, maar is verder wat redundant.

KISS. :P

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 09:05]

Dat klinkt allemaal mooi maar in sommige sectoren is dit gewoon compleet onrealistisch.
Aangezien het ook niet normaal is om zelf maar software te kunnen kiezen en installeren lijkt het me eerder een redelijke stap dat organisaties zich hierdoor meer bewust worden van afhankelijkheden en verantwoordelijkheid of dat nu beheer is, of verkopers of directie. En vooral de afhankelijkheid om software kennelijk graag te vertrouwen zolang dat goed uit komt, tot het weer een keer onacceptabel lek blijkt en nadelen extra zichtbaar worden voor je bedrijf en werk.
Dat gebruikers zelf geen software kunnen installeren is tot daar aan toe. Dat ik als collega genoegen moet nemen om met software uit letterlijk 2013 te werken, terwijl de open source software inmiddels 18 versies verder is met voor het werk noodzakelijke functionaliteit, is niet meer uit te leggen. Daar gaat toch iets mis bij het besef binnen een IT afdeling.
De opzet van het kunnen printen en zelf installeren leek dus ook niet meer van deze tijd. Dat je vervolgens tegen problemen aan loopt omdat vast houden aan gemak bijvoorbeeld aantrekkelijker leek is dan toch eerder een reden om beter samen te willen werken, in plaats van over anderen te klagen?
Dat gebruikers geen printers kunnen installeren is natuurlijk prima beleid. Mijn punt is dat ICT dan ook moet luisteren naar de wensen van de werkvloer en het proces daar niet in de weg moet zitten door bv heel traag of niet te acteren.

In mijn specifieke geval gebruiken we dure processen voor onderzoek. De hele gemeenschap verwacht dat die data met de laatste OSS verwerkt wordt.
Vergelijk het met een pers fotograaf die wél met de laatste versie camera op pad wordt gestuurd, maar vervolgens zijn files alleen maar met Paint uit 2013 mag verwerken: omdat ict niet up to date wil blijven, ondanks druk vanuit de directie.
De vraag voor de werkvloer is dan: blijf ik trouw aan mij directie(==paycheck) of de ict afdeling.
Je snapt vast wel wat er binnenkort gaat gebeuren….
Jullie gaan voor er iets gaat gebeuren eerst in gesprek voor de mogelijke dilemma's en mogelijke oplossingen te bespreken, voor er iets gaat gebeuren waar jullie als gebruiker te veel last van de ondersteuning gaan hebben?
Ik mag hopen dat admins het geautomatiseerd kunnen laten uitvoeren, eventueel via bijvoorbeeld policies e.d of het login script. Een admin zal in elk geval niet elke werkplek bij langs gaan om een printer toe te voegen.
Je reactie slaat compleet de plank mis, digitaal getekende contracten of contracten die ingescand zijn na ondertekenen (scan to mail is zelfs dan een optie) net zo rechtsgeldig.
dan ken jij de gemiddelde ambtenaar nog niet :-)
technisch gezien wel in een ver ontwikkeld land als NL, vaak genoeg gegdaan, maar zelfs met een leverancier uit België, om de hoek, was het al een probleem. Beide partijen moeten daar vertrouwen in hebben en zelfs dan zijn er soms nog derde partijen die toch echt papier willen zien.
Juist ja, in een IT wereld waarschijnlijk wel.

In andere sectoren daarentegen. Je wil niet weten hoe vaak mijn vrouw elk document moet paraferen en/of afstempelen of de offerte wordt niet aanvaard. Dan is met thuiswerk een printer echt onmisbaar
Ingescand na onderteken? Dan moeten ze toch eerst een keer geprint zijn? Waar staat die printer en de scanner sinds 1.5 jaar? Juist, in the home office!
Contracten worden ook per post opgestuurd? Derp...
Nooit gehoord van een digitale handtekening?
ICT moet vooral faciliterend zijn en daarnaast ondersteunend.
Nee, ICT moet onderdeel worden gemaakt van de business en niet ernaast. Dat levert veel meer op, qua begrip en effectiviteit.
Ik vermoed dat er een groot deel legacy in het printsysteem van Windows zit, waarbij de legacy per se hogere rechten nodig heeft om printen mogelijk te maken. Door dit en door de betreffende bug kunnen dezelfde hogere rechten misbruikt worden als een account met lagere rechten het printsysteem kan beheren.

Vergelijk het met CUPS onder *NIX, dat zelf met beperkte rechten werkt. Gebruikers (zonder root rechten) kunnen aangewezen worden om het te beheren, en krijgen (buiten printgerelateerde zaken om) niet meer rechten daardoor. Daar lijkt de segmentering van rechten een stuk beter uitgewerkt.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 08:24]

Natuurlijk zit er "Legacy" code in het printsysteem.
Dat heeft niets te maken met het operating systeem.
De helft van de Linux kernel is "Legacy".

Code die functioneerd verander je niet alleen maar omdat je een nieuwe versie uitbrengt.

Helaas blijkt in dit geval dat deze code ook ongewenste dingen toeliet buiten de normale functionaliteit om als het op een specifieke manier misbruikt wordt.

Je verhaal over CUPS en segmentering van rechten loopt mank op het feit dat in theorie exact hetzelfde privilege escalatie probleem in CUPS zou kunnen zitten.
Het feit dat je geen admin rechten hoeft te hebben om CUPS te beheren doet niets af aan het feit dat CUPS in potentie ook een privilege escalatie probleem zou kunnen opleveren als er een dergelijke bug in zit.
Voor zover ik het begrijp heeft alles wat met hardware "praat" de potentie om dit probleem te hebben als er een fout in de code zit.
Het feit dat je geen admin rechten hoeft te hebben om CUPS te beheren doet niets af aan het feit dat CUPS in potentie ook een privilege escalatie probleem zou kunnen opleveren als er een dergelijke bug in zit.
Met als verschil dat CUPS niet met root rechten draait (vergelijk SYSTEM rechten in Windows). Het aanvalsoppervlak bij een escalatie is daarom kleiner.
Voor zover ik het begrijp heeft alles wat met hardware "praat" de potentie om dit probleem te hebben als er een fout in de code zit.
Voor een print spooler die bijvoorbeeld enkel met netwerkprinters praat is het echter niet nodig dat er lokaal hogere rechten aanwezig zijn. Dit geldt voor 99+% van alle bedrijfscomputers. De meeste printsystemen zouden daarom prima met beperkte rechten kunnen werken.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 10:36]

Root met SYSTEM vergelijken is niet echt zinnig; zeker niet op een forum zoals dit. Windows heeft een veel robuuster security model dan het zwart/wit root/non-root model. De meest duidelijke en simpele splitsing is SYSTEM/Administrator. Het installeren van deze printer drivers gebeurt met admin rechten, maar drivers runnen met SYSTEM rechten. Dat is omdat Administrator een interactieve login is, en SYSTEM niet gebruikt kan worden om in te loggen. De Linux root account wordt door elkaar voor beiden gebruikt.

Vervolgens heb je onder Windows ook nog specifieke service-accounts, zoals NetworkService. Dat is een prima account voor zoiets als een netwerk printer; NetWorkService mist vrijwel alle SYSTEM permissies en veel lokale permissies.
`psexec -s`. There you go, nu ben je System, interactief. Dat het account geen wachtwoord heeft en je dus niet met een username/ww kan inloggen is niet echt een beperking. (Dat je psexec zou moeten hebben is ook geen beperking; die code doet niets wat andere apps niet ook kunnen natuurlijk.)

Verder is het ook op Windows zo dat administrators nu eenmaal administrators zijn en alles kunnen, en System kan in dat opzicht niet meer of minder. Weliswaar worden er hier en daar zaken afgeschermd zodat administrators er standaard niet bij kunnen, maar omdat alle administrators per definitie zichzelf tot System kunnen bombarderen (of code injecten in systeemprocessen of geheugen overschrijven of...) is dat alleen maar een snelheidsdrempel en geen harde scheiding.

Wel heeft Windows in ieder geval nog meerdere smaken adminaccounts en werk je dus niet hard met alleen root, en Windows integreert ACLs op alle plekken waar dat bij Linux vaker nog een extensie is, zodat je accounts makkelijker fijnmaziger rechten kunt geven (zoals jouw NetworkService voorbeeld). Maar de vergelijking root = admin is natuurlijk niet slecht, en System is alleen een specifieke, ingebakken admin waar de permissies standaard iets anders zijn.
https://wiki.archlinux.org/title/CUPS#Permissions

Uh, je hebt wel degelijk bepaalde rechten nodig voor CUPS. Voorheen moest je lid zijn van de lp groep, nu gaat dat zo te zien anders.

Er zal vast wel een security bug inzitten, geen enkel systeem/OS is waterdicht, maar dit is zoals @The Zep Man wel anders van opzet.
Pleister op de wonden, ik mag hopen dat dit geen blijvende "oplossing" is ondanks dat het toevoegen van een printerdriver niet heel spannend hoeft te zijn is dit toch wel even een doorn in het oog.

Het lijkt wel alsof Microsoft niet weet hoe ze het op moeten lossen. Wat nou als iemand elevated rights verkrijgt met een exploit of een gebruikersinteractie. Ook dat zijn risico's dan is het als "admin" ook niet zo heel veilig in mijn optiek.
Alles is eigenlijk spannend, printerdriver of niet.
Zonder root (admin) rechten kan ik dit soort dingen niet onder GNU/Linux en MacOS.
Ik hoop dat Microsoft steeds meer die kant op beweegt en om admin wachtwoord gaat vragen.
Kwestie van de UAC hoog genoeg zetten :)
Maar veel mensen vinden het vervelend als ze voor een wijziging van de printerdriver etc. ineens een wachtwoord moeten invullen. Of als ze iets willen wijzigen in de configuratie. Blijkbaar doen mensen dat heel vaak.
En eerlijk, ik moet toegeven dat ik onder macOS het ook heel vermoeiend vind om telkens dat slotje eraf te halen ;)
Het standaard installatie en setup proces van Windows is hierin mede verantwoordelijk.

Als Windows tijdens de installatie verplicht een extra admin account + ww aanmaakt, naast een standaard user account + ww, is er al minder aan de hand.
Gewoon even goed uitleggen waarom er een admin account nodig is en hoe het werkt, dan heb je al vele malen minder gezeur.
Nu is het user account standaard onderdeel van de Administrators groep, wat echt ongewenst is.

Als je beide accounts zo opzet wordt het proces al wat meer linux-y als je dingen wilt installeren, of aan wilt passen. En het helpt om die 'handige' familieleden wat beter te beschermen tegen zichzelf.
Ook wordt er tijdens gebruik nergens gemeld dat je beter geen 'admin' user account kunt gebruiken, of domweg dicht gegooid na x minuten voor 'shenanigans'.

Ja, je standaard user account is niet helemaal volledig admin, maar kan alsnog een hoop ellende veroorzaken.

Het kan beter binnen Windows, maar gezien de desinteresse van veel mensen rondom beveiliging op hun hardware of accounts, is het waarschijnlijk voor velen alleen maar irritant. ;)
Dat lijkt een redelijk rigoureuze stap, maar het zou fijn zijn als ze de exploit ook echt hadden opgelost.
Jammer dat je met deze beperking nog steeds een triviale user->admin LPE hebt.

(zie onder andere https://twitter.com/gentilkiwi/status/1425154484167188480 en https://twitter.com/GossiTheDog/status/1425193153691279365 )
Als de werkelijke oplossing een dramatische wijziging van de code betreft en de manier waarop printers in Windows werken mag je blij zijn als het tzt in Windows 11 echt opgelost wordt denk ik. De kracht van Windows is compatibiliteit, drastische wijzigingen zijn daarom nog complexer dan normaal al het geval is. Een flinke wijziging aan de printspooler vraagt wellicht om een compleet nieuw driver model wat daar op aansluit en drivers die om kunnen gaan met die verminderde rechten. Je kan dan misschien wel in een week een fix uitbrengen, maar dan kan niemand meer printen omdat geen fabrikant z’n nieuwe drivers zo snel op orde heeft.
Nieuwe drivers? Alleen voor de nieuwste modellen. Nieuwe printers in alle andere gevallen.
De kracht van Windows is compatibiliteit,
Oudere spellen beginnen ondertussen al te kraken (en werken soms beter in Linux met Wine/Proton).

Voor oudere hardware zijn er soms geen drivers meer beschikbaar, tenzij je diep gaat graven op het internet. Probeer een HP PCL5 printer maar eens aan de praat te helpen met de nieuwste ondersteunde Windows versie en de nieuwste HP universal drivers. Dat gaat niet lukken, terwijl het onder CUPS gewoon ondersteund wordt.

Het enige dat Windows een pluspuntje geeft is het ondersteunen van de meeste oude Win32 programmatuur. Met Windows 11 wordt compatibiliteit in het algemeen ook een stuk beperkter, doordat oudere hardware (officieel) niet ondersteund zal zijn.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 10:55]

Systeem beheerders gaan iedereen local Admin maken, waardoor het probleem erger wordt.
Dit inverband met de thuisgebruikers. of laden mega veel drivers in.

Slechte zaak, maar ik snap het wel.
Dat zijn dan toch de domme Admins , wat mij betreft ... 8)7
Met de hand thuis gebruikers helpen printers installeren omdat ze thuis werken met 90k aan mensen ..... bij 5k al.
Lijkt me niet de bedoeling, bij ons installeren we de printer drivers (we hebben max 3 verschillende smaken qua printers). in de image zelf. Dan kun je altijd een printer installeren. Mensen die een printer nodig hebben voor hun werk krijgen gewoon een printer. Wil je een andere printer installeren dan dat we ondersteunen? Pech.
Precies dat dus, je heb pech als je die printer niet heb, niet erg gebruikers vriendelijk.
Nee hoor, ten eerste heeft niet iedereen een printer nodig, ten tweede wil je niet de support afdeling teveel belasting met teveel aan smaakjes. Zodat je wel goede support kan leveren. Ten derde hoef je niet een heel image te belasten met teveel willekeurige drivers en dus ook onderhoudsvriendelijker.

Als een bepaald persoon echt iets bijzonders wilt kan hij hiervoor een business case aanmaken, kosten worden dan wel doorbelast aan de betreffende afdeling. Goed je scope afbakenen zorgt juist voor een hoge klantvriendelijkheid. Men weet precies wat wel en niet verwacht wordt qua service. Mensen op kantoor kunnen gewoon via follow-you printen. Printen kan dus gewoon wel.
Je kijkt vanaf een systeem beheerders punt en niet vanaf een eind gebruiker.
ik denk dat je de eindgebruiker inderdaad zo min mogelijk moet storen, maar de eindgebruiker is geen koning. Als iemand zijn werk kan uitvoeren is de rest best effort/nice to have. Een prive printer toevoegen hoort geen noodzaak te zijn. Als iemand daadwerkelijk een printer nodig heeft, hoort het bedrijf de printer te verzorgen.

Als het bedrijf plat ligt door een ransomware aanval, kan de gebruiker ook niet werken. Dan is het nog minder gebruikersvriendelijk om een eindgebruiker local admin te maken. De eindgebruiker is namelijk uiteindelijk niet verantwoordelijk voor de exploit die hij opent in de bijlage van de phishing mail. De ICT afdeling wel om te voorkomen dat de exploit een aanvaller volledige controle geeft over het bedrijfsnetwerk.
Of ze gooien de printers in Sandbox mode en probleem is opgelost.
Printers in sandbox gooien is een remedie tegen een single point of failure. Als je de gebruiker local admin maakt is het geen single point of failure meer maar een gatenkaas.

Daarnaast is mijn overtuiging dat continuous service improvement, om eens een ITIL term erbij te pakken, NIET betekent de gebruiker koning maken. Privé apparatuur toevoegen moet je niet willen binnen je support scope, tenzij je bedrijfsvoering gecentreerd is rond cross compabiliteit met alles dat maar een binaire interface heeft. Op de lange termijn moet je je richten op de bedeijfsinfrastructuur en dan blijft je privé apparatuur best effort. De facilities dienst gaat ook je stofzuiger niet onderhouden.
Geen speld tussen te krijgen : beperkte keuze = goede / snelle support.
Alleen RD kregen bij ons 'speciaaltjes' binnen het budget van die afdeling.
En zo hoort het.
Niet echt een "fix" van Microsoft...

Wij deployen Point & Print settings via GPO naar de clients met een allowed printserverlist. Doordat we zelf de allowed printservers opgeven, zetten we ook de elevation prompt af in Point & Print. Als er een nieuwe printer gedeployed wordt via GPO is dit volledig silent hierdoor.

Op onze RDS farm staat de regkey "RestrictDriverInstallationToAdministrators" wel al actief aangezien we daar gewoon zelf manueel de drivers opzetten bij nieuwe devices/updates.

Onze printers zijn hoofzakelijk RICOH & die komen om de zoveel weken met een nieuwe versie van hun Universele Print Driver. SCCM is ook wel in gebruik hier maar denk toch niet dat dat zo optimaal is om PrintDrivers te distribueren...
Er is blijkbaar al een vervolg, nl. CVE-2021-36958

Blijkbaar lost de laatste patch niet alle problemen op, of mis ik iets ?
Gelukkig overuled de CItrix poicy "Allow Client printer redirection" en "Automatic installation of in box printer drivers" deze patch. Anders hadden onze thuiswerkers niet meer via Citrix kunnen printen op hun thuisprinter. In de originele release notes van de printing nightmare patch heb ik hier niets van terug gevonden.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee