Im September 2024 brachte Microsoft Windows 11, Version 24H2 heraus. Diese Version enthält eine neue Funktion unter der Drucker- und Scanner-Konfiguration, den Windows Protected Print-Modus bzw. den geschützten Druckmodus. Vielleicht fragen Sie sich jetzt, was das für eine Funktion ist und was dabei passiert?
Microsoft wird seit Jahren aufgrund anhaltender Sicherheits- und Stabilitätsprobleme durch die Presse gezogen. Einer der Bereiche, der schon seit langem Thema ist, ist das Drucken unter Windows. Alle, die in Unternehmen Aufträge ausdrucken müssen, haben den Druckspooler von Windows als launisch und unzuverlässig kennengelernt. Häufig bleibt der Windows-Spooler einfach hängen oder stürzt ab, Druckaufträge werden abgewürgt, Dokumente gehen verloren usw. Die Liste der frustrierenden Druckerfahrungen lässt sich fortsetzen. Und alle, die den Film Alles Routine gesehen haben, wissen, wie die Geschichte ausgeht.
Aber wir wollen klarstellen: Die Entwickler bei Microsoft waren wahrscheinlich nicht die Ursache dieser Probleme. Hunderte von Druckertreibern von Drittanbietern wurden auf diesen Plattformen verwendet und häufig (vielleicht sogar immer) lag darin die Instabilität begründet. Darüber hinaus mussten die Windows-Spooler mit sehr vielen Berechtigungen laufen, damit der Druckvorgang überhaupt stattfinden konnte. Und so wurde der Drucker zur Schwachstelle (die sogenannte PrintNightmare), die nicht nur ausgenutzt wurde, sondern möglicherweise auch die Tür für andere Angriffsvektoren geöffnet hat.
Was ist ein Windows-Druckertreiber?
Bzw. was ist ein Druckertreiber überhaupt? Die Antwort auf diese Frage ist lang und komplex, lässt sich aber vielleicht so zusammenfassen, dass der Treiber die grafischen Bildschirmdaten, die der Benutzer sieht, nimmt und sie in die Druckersprache übersetzt. Dann sendet der Treiber die Daten an das Gerät, wobei bestimmte Netzwerkfunktionen von Windows verwendet werden. Neben diesem Grundkonzept finden viele Dinge statt, die damit zu tun haben, wo dieses Rendering bzw. die Umwandlung stattfindet (Server oder Workstation), ob es gemeinsam genutzte Geräte gibt, welche gerätespezifische Funktionen wie Duplex und Farbe vorliegen und vieles mehr. Da Druckerhersteller wissen, wie sie mit ihren eigenen Druckern sprechen müssen, gab Microsoft den Drittparteitreibern Berechtigung, damit der Vorgang funktioniert.
Mit der wachsenden Popularität von Windows begannen tausende von Entwicklern, Treibersoftware zu schreiben. Das bedeutete einen exponentiellen Anstieg des Risikos, denn Treiber altern nicht gut und Windows entwickelte sich weiter. Im Jahr 2005 ging Windows von einem 32-bit zu einem 64-bit Betriebssystem über, aber die Treiber kamen nicht recht hinterher. Es gibt immer noch viele 32-bit-Treiber da draußen, die 25 Jahre oder sogar noch älter sind. Benutzer und Druckanbieter verlangten von Microsoft Abwärtskompatibilität, um alte Investitionen zu schützen, und Microsoft gehorchte, vielleicht zum eigenen Schaden.
Microsoft hat sehr oft versucht, die Kontrolleure des alten Codes zum Handeln zu zwingen. 2009 stellte Microsoft XPS zur Verbesserung der Renderingprobleme im Windows-Spooler vor. Die Hoffnung war, dass Druckanbieter XPS statt des riesigen Angebots an Renderingsprachen übernehmen würden.
Zu diesem Zeitpunkt wurden in der gesamten Branche PCL, PostScript, Prescribe, ZPL, IPDS und viele andere Datenströme verwendet. Doch die Druckerhersteller stellten sich stur und verhinderten Microsofts Pläne. Sie gaben zwar die Berechtigung, dass XPS-Input in ihre Treiber gelangt, ließen das Rendering aber trotzdem lokal laufen. Auf diese Weise konnten sich Hardware-Anbieter voneinander abgrenzen und ihre eigenen Produkte attraktiver erscheinen lassen.
Microsoft zertifizierte bestimmte Treiber über ein Windows Update. Windows verlangte von Treibern ein Zertifikat, dass sie ordnungsgemäß laufen. Doch die Probleme blieben bestehen.
Wenn man sich PrintNightmare und die Schlammschlacht in der Presse zur schlechten Sicherheit von Microsoft anschaut, kann man verstehen, warum das Unternehmen aufgegeben hat. Und so kam der geschützte Druckmodus Windows Protected Print auf den Plan.
Windows Protected Print-Modus In Aktion
Wenn WPP eingeschaltet ist, geschehen einige interessante Dinge. Unter diesem Link finden Sie die beste, detaillierte Beschreibung dazu, was da genau vor sich geht. Lesen Sie dann weiter, welche Auswirkungen dies möglicherweise hat.
Kurz gesagt, werden bei der Implementierung von WPP alle Drittparteientreiber entfernt. Alle Drucker, die diese Treiber verwenden, werden entfernt. Druckprozesse werden „degradiert“, was bedeutet, dass sie nur mit der Berechtigung des eingeloggten Benutzers laufen. Zur Definition neuer Drucker gibt es nur zwei Möglichkeiten: Die eine ist die Verwendung von Microsoft Universal Print und die andere ist die Nutzung von Mopria-zertifizierten Geräten, die im Netzwerk gefunden werden können.
Damit Ihr Windows 11 24H2-Gerät einen Mopria-Drucker finden kann (sofern Sie einen haben), muss er entweder im lokalen Netzwerksegment über WSD-Mechanismen auffindbar sein, oder Sie müssen den Hostnamen /die IP-Adresse des Druckers kennen. Für Privatbenutzer oder sehr kleine Unternehmen ist das kein Problem, aber bei einem Unternehmen mit mehr als 10.000 Geräten ist das schwierig. Hinzu kommt, dass viele LRS-Kunden Drucker aus dem internen Netzwerk entfernen, was bedeutet, dass keine Workstation mit einem Drucker auf irgendeine Weise kommunizieren kann.
Diejenigen von Ihnen, die damit bereits eine Weile zu tun haben, könnten die Verwendung eines Windows Druckservers in Betracht ziehen, um dieses Problem zu umgehen. Aber vielleicht auch nicht. Noch ist der Windows Server 2025 nicht auf dem Markt, aber es gibt frühe Anzeichen, dass dieser auch auf Build 24H2 mit WPP vorfügbar ist. Wenn WPP laut Richtlinie in einer Organisation auf allen Servern und Workstations eingeschaltet wird, können Geräte nicht mehr geteilt werden. Mopria-Drucker sind laut Definition IPP und Windows hat das Teilen eines IPP-Geräts noch nie gestattet. (Logisch, denn sie werden ja bereits geteilt, wenn sie Teil eines Netzwerks sind!)
Auswirkungen für die Praxis
Was bedeutet das alles nun für ein Unternehmen, wie z. B. das örtliche Krankenhaus. Viele moderne elektronische Krankenaktensysteme (EHR- oder EMR-Systeme) bauen auf das Drucken über Windows Server und die heutigen geteilten Geräte/Dateien (Shares) auf Windows. Fast alle verwenden den Standard-Windows-Druck. Denkt man an andere Branchen, verlassen sich auch viele ERP-Systeme auf Windows-Druckserver und das Teilen von Geräten etc. über Windows. Und wie sieht es mit Etikettendruckern aus – dem Herzstück, um Patienten und Produkte durch die Tür zu bekommen? Die werden nicht verfügbar sein.
Das ist schlimm genug. Aber noch schlimmer ist, dass Microsoft plant, WPP bis 2027 zum Standard zu machen. Stellen Sie sich vor, Sie müssten Ihr gesamten Arsenal an Geräten ändern, alle Anwendungen aktualisieren und das alles ruckzuck in zwei Jahren. Denken Sie an die unzähligen Apps, die auf den Servern, in der Cloud und auf lokalen Rechnern laufen, die getestet und wahrscheinlich aktualisiert werden müssen. (Nein wirklich – denken Sie tatsächlich einmal darüber nach.)
Wie können Sie heute Ihre Druckumgebung zukunftssicher machen und gleichzeitig auf die Probleme eingehen, die mit WPP behoben werden sollen.
Ich erkläre Ihnen schon seit Jahren, wie das geht. LRS-Verfahren erfassen den Druck direkt von Windows in dem Moment, wo er auf einem lokalen Gerät umgewandelt wird. Ihre Workstations sind bereits sicher, wenn Sie LRS-Methoden und -Software verwenden. Es gibt keinen Grund, WPP einzuschalten, wenn Sie den Personal Print Manager der LRS-Lösung verwenden. Also besteht auch kein Grund, überstürzt alle Geräte auszutauschen. Sie sind heute geschützt.
LRS prüft, wie langfristig mit WPP umgegangen werden kann. Da wir seit 2004 IPP- und IPPS-Drucke durchführen (sowohl eingehende als auch ausgehende) und seit langem versuchen, uns gänzlich vom Betriebssystem-Spooling jeglicher Art zu befreien, sind wir zuversichtlich, dass wir auch in Zukunft zusammenarbeiten können – mit oder ohne WPP.
Genauso, wie wir es seit 1979 tun, denn LRS ist da für Sie.