Để khắc phục Cơn ác mộng khi in, tôi đã vô hiệu hóa nhu cầu về đặc quyền của quản trị viên để cài đặt trình điều khiển in (điều này đang hoạt động). Điều này thực sự giống như việc phơi bày bản thân trước sự khai thác của Print Nightmare. Đó là lý do tại sao tôi muốn đưa một số máy chủ in vào "danh sách trắng" để giảm thiểu phần nào việc khai thác.
Để làm điều này, tôi đã thử kích hoạt GPO:
"Cấu hình máy tính\Chính sách\Mẫu quản trị\Máy in\Hạn chế điểm và in".
GPO này được cấu hình như sau:
Người dùng chỉ có thể trỏ và in tới các máy chủ này: Đã bật
Nhập tên máy chủ đủ điều kiện được phân tách bằng dấu chấm phẩy: kiểm tra.[DOMAIN].int
Người dùng chỉ có thể trỏ và in tới các máy trong nhóm của họ: Vô hiệu hóa
Lời nhắc bảo mật:
- Khi cài đặt trình điều khiển cho kết nối mới: Không hiển thị lời nhắc cảnh báo hoặc độ cao
- Khi cập nhật trình điều khiển cho kết nối hiện có: Không hiển thị lời nhắc cảnh báo hoặc độ cao
Nhưng vấn đề là khách hàng của tôi vẫn có thể in tới máy chủ in của chúng tôi, mặc dù nó không có FQDN kiểm tra.[DOMAIN].int. Vì vậy, tôi không tin rằng cách tôi thiết lập test-GPO thực sự là đưa bất kỳ thứ gì vào danh sách trắng, do đó khiến chúng tôi tiếp xúc với việc khai thác Print Nightmare.
Tôi cũng đã thử kích hoạt GPO "Điểm gói và in - Máy chủ được phê duyệt" với test.[DOMAIN].int, nhưng không có kết quả.
Tôi cần trợ giúp để hiểu những gì tôi cần làm khác đi để danh sách cho phép hoạt động.
Tôi đã theo dõi bài viết MS này về chủ đề này: KB5005652âQuản lý hành vi cài đặt trình điều khiển mặc định Point and Print mới (CVE-2021-34481)
