En septiembre de 2024, Microsoft lanzó Windows 11, versión 24H2. Esta versión contiene una nueva característica en la configuración de Impresoras y Escáneres, que se llama Modo Windows Protected Print. ¿Quizás te preguntes qué es esta característica y para qué sirve?
Desde hace muchos años, Microsoft se ha visto inundado de mala prensa en relación con cuestiones persistentes de seguridad y estabilidad. Una de las áreas polémicas que se remonta en el tiempo es la cuestión de la impresión Windows. Para los encargados de administrar la impresión en organizaciones, el spool de impresión Windows ha demostrado ser voluble y poco fiable. Esto se debe a que el spool Windows se colgaba o bloqueaba a menudo, paralizando la impresión durante un tiempo y causando la pérdida de documentos junto con otras frustraciones semejantes a la hora de imprimir. Y todo aquel que haya visto la película Office Space sabe cómo acaba la historia.
Seamos sinceros: probablemente, los desarrolladores de Microsoft no fueron la causa de estos problemas. En este entorno se utilizaron cientos de drivers de impresión diferentes procedentes de terceros y estos fueron, a menudo (quizás siempre), la fuente de la inestabilidad. Además, para que el proceso de impresión funcionase, los procesos Windows de spooling debían ejecutarse con mucha autoridad. Esto dio lugar al caso PrintNightmare y puede que abriera la puerta a otros vectores de vulnerabilidad.
¿Qué es un driver de impresión Windows?
¿Qué es un driver de impresión de todas formas? Esta pregunta tiene una respuesta larga y compleja, pero la forma simple de explicarlo es que el driver toma los datos de la pantalla gráfica que utiliza un usuario y la traduce al lenguaje de la impresora. Entonces, empleando ciertas habilidades de la red Windows, el driver envía los datos al dispositivo. Hay muchos elementos asociados a este concepto básico que se relacionan con el lugar donde se produce esta entrega (servidor o estación de trabajo), dispositivos compartidos, capacidades específicas de dispositivos, como dúplex y color, y muchos otros. Puesto que los fabricantes de impresoras saben cómo comunicarse con sus propias impresoras, Microsoft permitió que drivers terceros hicieran el trabajo.
A medida que Windows aumentó en popularidad, cientos de miles de desarrolladores comenzaron a escribir drivers. Esto causó un crecimiento exponencial del riesgo, ya que los drivers no envejecían bien, y mientras tanto Windows continuaba avanzando. En 2005, Windows pasó de un sistema operativo de 32 bits a 64 bits, pero los drivers no mantuvieron el paso. De hecho, aún existen muchos drivers de 32 bits operativos en el mundo real que tienen más de 25 años. Usuarios y vendedores de impresión exigieron que Microsoft mantuviera retrocompatibilidad para proteger antiguas inversiones, y quizás, corriendo un gran peligro, Microsoft así lo hizo.
Microsoft ha intentado muchas veces forzar la mano de quienes ejecutan código antiguo. En 2009, Microsoft introdujo XPS como una mejor manera de manejar la entrega en el spool de Windows. La esperanza era que los vendedores de impresoras adoptaran XPS en lugar de una amplia gama de lenguajes de entrega.
En ese momento, a lo largo de la industria, se utilizaban PCL, PostScript, Prescribe, ZPL, IPDS y muchos otros flujos de datos. Los fabricantes de impresoras se pusieron firmes ante el planteamiento de Microsoft y, en su lugar, permitieron la entrada de XPS en sus drivers pero continuaron entregando localmente. Esto facilitó que los vendedores de hardware pudieran diferenciarse entre sí haciendo que sus propios productos fueran más deseables.
Microsoft certificó cientos de drivers a través de Windows Update. Windows firmó drivers para certificar que eran adecuados. Sin embargo, el problema persistió.
En vista de PrintNightmare y de toda la mala prensa sobre seguridad que Microsoft había recibido en cuestiones de impresión, es comprensible que se rindiera. Entra en el modo Windows Protected Print (WPP).
El modo Windows Protected Print en acción
Al activar WPP ocurren varias cosas interesantes. Visualiza este enlace para obtener la mejor explicación detallada de lo que ocurre exactamente. Luego continúa leyendo para descubrir las posibles implicaciones.
En resumen, al implementar WPP, se eliminan todos los drivers de terceros. Todas las impresoras que utilizaban dichos drivers son retiradas. Los procesos de impresora son “degradados”, es decir, solo se ejecutan bajo la autoridad del usuario ingresado. En cuanto a la definición de impresoras nuevas, solo existen dos formas de hacerlo. Una de ellas es utilizar Microsoft Universal Print, y la otra consiste en emplear dispositivos con certificación Mopria que pueden encontrarse en la red.
Para que tu máquina Windows 11 24H2 encuentre una impresora Mopria (si hay alguna), esta tiene que ser, o bien localizable en el segmento de la red local a través de mecanismos WSD, o debes disponer del nombre del host/dirección IP de la impresora. Esto no es complicado para los usuarios domésticos o negocios muy pequeños, pero para una empresa con más de 10.000 dispositivos, podría resultar un problema. Además, muchos clientes de LRS están retirando impresoras de sus redes internas… lo que significa que, de todas formas, ninguna estación de trabajo puede comunicarse con una impresora.
Aquellos de vosotros que llevéis tiempo experimentando estas cuestiones, podríais considerar el uso de un servidor Windows Print para sortear el obstáculo. Pero, quizás no. Windows Server 2025 no se ha lanzado todavía, pero hay indicios de que esto también se encuentra en Build 24H2 con WPP disponible. Si, por política, WPP se activara en todos los servidores y estaciones de trabajo de una organización, entonces no podría haber dispositivos compartidos. Las impresoras Mopria son IPP por definición y Windows nunca ha permitido compartir un dispositivo IPP (lógicamente, ya se comparten si están en la red, ¿no?).
Implicaciones en el mundo real
Considerémoslo desde el punto de vista de una organización, por ejemplo, tu hospital local. Hoy en día, muchos sistemas Electronic Health Record (EHR o sistemas EMR) modernos dependen de la impresión con servidor Windows y el uso compartido Windows. De hecho, la mayoría emplean impresión Windows estándar. Si pensamos en otras industrias, muchos sistemas ERP también dependen de servidores de impresión Windows y de uso compartido Windows. ¿Y qué ocurre con las impresoras de etiquetas – el corazón y el alma de dar de alta a los pacientes y entregar productos? No estarán disponibles.
Eso ya es bastante negativo. Pero lo peor de todo es considerar que Microsoft tiene intención de activar WPP por defecto en 2027. Imagina tener que cambiar todo tu contingente de dispositivos, actualizar todas tus aplicaciones y estar preparado en tan solo dos años. Piensa en el amplio abanico de aplicaciones ejecutadas en servidores, en la Nube y en estaciones de trabajo locales que deberán ser comprobadas y, probablemente, actualizadas (en serio – piénsalo).
¿Cómo puedes poner hoy tu entorno de impresión a prueba de futuro mientras manejas los problemas que WPP está supuestamente a cargo de resolver?
Llevo años explicándote cómo puedes hacerlo. Los procesos de LRS capturan directamente la impresión de Windows tan pronto como se entrega a una máquina local. Tus estaciones de trabajo ya son seguras si utilizas los métodos y el software LRS. No hay necesidad de activar WPP si empleas el componente Personal Print Manager de la solución LRS. No tienes que apresurarte a cambiar tu flota. Estás protegido hoy mismo.
LRS está revisando cómo tratar la existencia de WPP a largo plazo. Puesto que disponemos de IPP e impresión IPPS desde 2004 (tanto de entrada como de salida) y llevamos tiempo intentando eliminar nuestra dependencia del spooling de sistemas operativos de cualquier tipo, confiamos en poder trabajar mano a mano en el futuro – con o sin WPP.
Como lo hacemos desde 1979, LRS está a tu disposición.