Что это значит для пользователей и разработчиков?
Компания Microsoft объявила о запуске нового режима защищённой печати Windows (Windows Protected Print Mode, WPP), который внесёт значительные улучшения в систему печати Windows с точки зрения безопасности.
Режим WPP базируется на существующем стеке печати IPP (Internet Printing Protocol), поддерживающем только принтеры, сертифицированные Mopria, и исключает возможность использования сторонних драйверов. По словам Джонатана Нормана, руководителя отдела исследований и безопасности Microsoft (MORSE), так корпорация может существенно улучшить безопасность печати в Windows, «чего иначе бы не произошло».
Также отмечается, что проблемы с печатью играли роль в таких инцидентах, как Stuxnet и Print Nightmare, и составляют 9% всех случаев, связанных с Windows, сообщаемых в MSRC. Microsoft проанализировала все случаи, связанные с Windows Print, и обнаружила, что режим WPP помогает устранить более 50% уязвимостей.
После внедрения WPP по умолчанию служба печати Print Spooler будет запускаться в ограниченном режиме, а не от имени SYSTEM, что значительно сократит её доступ к ресурсам и привилегиям, снижая привлекательность службы для злоумышленников.
Кроме того, Microsoft устранит несколько векторов атак, ранее использовавшихся злоумышленниками для атаки на пользователей Windows. Будут удалены многочисленные точки удалённого вызова процедур (Remote Procedure Call, RPC) и различные устаревшие компоненты.
Кроме того, WPP также будет включать двоичные меры по снижению сложности эксплуатации, в том числе:
После включения режима WPP обычные операции спулера будут проходить через новый спулер, который объединяет несколько улучшений WPP, таких как:
WPP уже доступен в тестовых сборках Insider, и компания приглашает пользователей к активному тестированию и обратной связи. Компания также гарантирует, что улучшения безопасности не повлияют на клиентов со старыми принтерами, так как они смогут включить поддержку устаревших технологий.
В дополнение, Microsoft объявила, что Windows Update постепенно прекратит доставку драйверов сторонних производителей принтеров в течение следующих четырёх лет. С 2025 года компания перестанет принимать новые драйверы от производителей принтеров, а с 2027 года остановит распространение обновлений сторонних драйверов, за исключением обновлений безопасности.
Пользователи смогут устанавливать драйверы принтеров, предоставляемые производителями через их веб-сайты в виде отдельных пакетов установки. Кроме того, Microsoft планирует продолжать выпускать патчи для старых драйверов принтеров, пока соответствующие версии Windows находятся в рамках их жизненного цикла поддержки.
Сбалансированная диета для серого вещества