Unsere Kollegen vom Client Service haben erfahren müssen, dass Security Update KB3170455 die mittels Gruppenrichtlinie konfigurierten Einstellungen der „Point and Print Restrictions“ ad absurdum führt.
Microsoft beschreibt den Patch wie folgt:
„Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Das größere Sicherheitsrisiko könnte die Remoteausführung von Code ermöglichen, wenn ein Angreifer einen Man-in-the-Middle-Angriff (MiTM) auf einer Arbeitsstation oder einem Druckserver ausführen oder einen nicht autorisierten Druckserver im Zielnetzwerk einrichten kann.“
Nach der Installation des Updates ignoriert ein Windows Client die dort getätigten Einstellungen, fragt ob man dem Drucker vertrauen würde und bittet zu alledem noch um administrative Berechtigungen, um den Treiber installieren zu können.
Es scheint dabei jedoch nur Druckertreiber zu erwischen, die noch nicht „Packaged“ sind, primär also ältere Druckertreiber. Neuere Druckertreiber, die schon im neuen Format gepackt wurden, werden weiterhin ordnungsgemäß ohne Abfrage installiert. Das Thema ist auch schon im Microsoft Forum angekommen und wird dort diskutiert.
//Update:
Mindestens einen Workaround hat man, wenn man in der Registry vom Printserver bei dem entsprechenden Treiber den Wert ‚PrinterDriverAttributes‘ von 0 auf 1 setzt. Im Anschluss ist ein Neustart des Printer Spoolers notwendig.
Quelle: https://www.richardwalz.com/group-policy-printer-issue-print-and-point-restrictions-kb3170455/