PrintNightmare : configuration sécurisée des impressions

Dans ce « petit » tutoriel, je vais vous monter comment mettre en place une configuration « sécurisée ».

Depuis la publication de la faille PrintNightmare, Microsoft a déployé plusieurs mises à jour pour corriger ce problème et en a profité pour modifier le comportement de Windows pour durcir la configuration.

Dans ce tutoriel, on va voir les paramètres à utiliser afin d’avoir une meilleure configuration dans son entreprise.

La principalement changement, va être de déclarer par GPO, les serveurs d’impression où les clients sont autorisés à télécharger des pilotes.

Avant le passage en production, je vous conseille de tester cette solution en lab et de l’appliquer progressivement ensuite OU par OU.

Ouvrir la console Gestion de stratégie de groupe.

Aller sur le conteneur Objets de stratégie de groupe 1, faire un clic droit dessus et cliquer sur Nouveau 2.

Nommer la stratégie de groupe 1 et cliquer sur OK 2.

Aller à l’emplacement suivant : Configuration ordinateur / Stratégies / Modèles d'administration / Imprimantes.

Ouvrir le paramètre Restrictions Pointer et imprimer 1.

Ce paramètre va nous permettre de désactiver la fenêtre d’élévation de droit pour l’installation des pilotes.

Sélectionner Activé 1, ensuite choisir Ne pas afficher l’avertissement ou l’invite d’élévation 2 (deux fois), puis cliquer sur Appliquer 3 et OK 4.

De retour à la liste des paramètres, cliquer sur Pointer et imprimer les packages – Serveurs approuvés 1.

Activer 1 la paramètre puis cliquer sur le bouton Afficher 2.

Indiquer les serveurs d’impression 1 (1 par ligne) puis cliquer sur OK 2.

Une fois les serveurs, ajouter, cliquer sur Appliquer 1 et OK 2 pour valider la configuration.

La première stratégie de groupe est prête :

Maintenant, créer une seconde stratégie de groupe, où l’on va autoriser les utilisateurs non-administrateur à installer des pilotes (drivers). J’ai déjà traité ce sujet ici : KB5005033 : autoriser les non-administrateurs à installer les pilotes d’impression. Ne traiter que la clef de registre.

Une fois les deux stratégies de prêtes, on va les lier à l’Unité d’Organisation (OU).

Faire un clic droit sur l’OU 1 et cliquer sur Lier un objet de stratégie de groupe existant 2.

Sélectionner la stratégie 1 et cliquer sur OK 2.

Recommencer l’opération pour la seconde stratégie de groupe.

Les deux stratégies de groupe sont liées à l’OU :


L’application de ces paramètres devrait vous permettre de passer les mises à jour Windows liées à la sécurité du spooleur tranquillement.

Complément : mimikatz/README.md at master · gentilkiwi/mimikatz · GitHub




Notable Replies

  1. Bonjour, y a t-il un réel besoin à utiliser deux GPO plutôt qu’une dans la mesure ou les deux sont des stratégies ordinateur et que l’on va les lier à la même OU ?

  2. Avatar for rdrit rdrit says:

    Bonjour Simon,

    L’utilisation des deux GPO n’est pas obligatoire, mais il est plus facile de séparer les paramètres avec plusieurs stratégies, car cela permet de désactiver un paramétrage en désactivant le lien plutôt que de modifier la GPO.

    Romain

Continue the discussion at community.rdr-it.io

Participants