Nel settembre del 2024, Microsoft ha rilasciato Windows 11, versione 24H2. All’interno di questa versione è presente una nuova funzionalità nella configurazione di Stampanti e Scanner chiamata Windows Protected Print mode. Ti starai chiedendo: che cos’è questa funzione e cosa fa?
Microsoft è stata sommersa per molti anni da cattiva stampa riguardo ai continui problemi di sicurezza e stabilità. Uno degli ambiti da sempre problematici è quello della stampa in Windows. Per chi è incaricato di amministrare la stampa nelle organizzazioni, lo spooler di stampa di Windows è sempre apparso instabile e inaffidabile. Questo perché lo spooler di Windows spesso si bloccava o si arrestava in modo anomalo, interrompendo la stampa per un certo periodo, causando la perdita di documenti e altre frustrazioni legate alla stampa. E chiunque abbia visto il film Office Space sa bene come va a finire quella storia.
Chiariamo una cosa: è probabile che gli sviluppatori Microsoft non siano stati la causa principale di questi problemi. In questo ambiente venivano utilizzati centinaia di driver di stampa di terze parti, che erano spesso (forse sempre) la fonte dell’instabilità. Inoltre, affinché il processo di stampa funzionasse, i processi di spooler di Windows dovevano essere eseguiti con ampi privilegi. Questo ha dato origine all’exploit PrintNightmare e potrebbe aver aperto la porta ad altri vettori di attacco.
Che cos’è un driver di stampa di Windows?
Quindi, cos’è esattamente un driver di stampa? La risposta completa è lunga e complessa, ma in parole semplici il driver prende i dati grafici che l’utente vede sullo schermo e li traduce nel linguaggio della stampante. Poi, utilizzando alcune funzioni di rete di Windows, il driver invia i dati al dispositivo. Ci sono molti aspetti associati a questo concetto di base, come il luogo in cui avviene il rendering (server o workstation), i dispositivi condivisi, le capacità specifiche del dispositivo come fronte/retro e colore, e molti altri. Poiché i produttori di stampanti sanno come comunicare con le proprie stampanti, Microsoft ha permesso a driver di terze parti di gestire questo processo.
Con la crescente popolarità di Windows, decine di migliaia di sviluppatori hanno iniziato a scrivere driver. Ciò ha significato una crescita esponenziale del rischio, poiché i driver non invecchiavano bene mentre Windows continuava ad evolversi. Windows è passato da un sistema operativo a 32 bit a uno a 64 bit nel 2005, ma i driver hanno tardato ad adattarsi. In effetti, ci sono ancora molti driver a 32 bit in uso che hanno più di 25 anni. Gli utenti e i fornitori di soluzioni di stampa chiedevano a Microsoft di mantenere la compatibilità con le versioni precedenti per proteggere gli investimenti esistenti e, forse a loro rischio, Microsoft lo ha fatto.
Microsoft ha tentato più volte di forzare la mano a chi utilizzava vecchio codice. Nel 2009, Microsoft ha introdotto XPS come modo migliore per gestire il problema del rendering nello spooler di Windows. L’obiettivo era che i produttori di stampanti adottassero XPS invece della vasta gamma di linguaggi di rendering esistenti.
All’epoca, PCL, PostScript, Prescribe, ZPL, IPDS e molti altri flussi di dati erano utilizzati in tutto il settore. I produttori di stampanti rifiutarono l’approccio di Microsoft e permisero invece l’input XPS nei loro driver, ma continuarono a eseguire il rendering in locale. Questo ha consentito ai produttori di hardware di differenziarsi tra loro rendendo i propri prodotti più desiderabili.
Microsoft ha certificato determinati driver tramite Windows Update. Windows firmava i driver per certificare che fossero affidabili. Tuttavia, i problemi persistevano.
Considerando PrintNightmare e tutta la cattiva pubblicità che Microsoft aveva ricevuto riguardo ai problemi di stampa, è comprensibile che abbiano deciso di cambiare approccio. Ed ecco che arriva la modalità Windows Protected Print (WPP).
La modalità Windows Protected Print in azione
Quando WPP è attivato, accadono diverse cose interessanti. Vedi questo link per la spiegazione più dettagliata di ciò che accade esattamente. Poi continua a leggere per le implicazioni potenziali.
In breve, quando si implementa WPP, tutti i driver di terze parti vengono rimossi. Tutte le stampanti che utilizzavano questi driver vengono eliminate. I processi di stampa vengono “declassati”, il che significa che vengono eseguiti solo con l’autorità dell’utente connesso. Per quanto riguarda la definizione di nuove stampanti, ci sono solo due modi per farlo: uno è utilizzare Microsoft Universal Print e l’altro è usare dispositivi certificati Mopria che possono essere scoperti sulla rete.
Perché il tuo computer con Windows 11 24H2 trovi una stampante Mopria (se ne hai), questa deve essere individuabile nel segmento di rete locale tramite meccanismi WSD, oppure devi conoscere il nome host o l’indirizzo IP della stampante. Abbastanza semplice per utenti domestici o piccole imprese, ma per un’azienda con oltre 10.000 dispositivi questo potrebbe rappresentare un problema. Inoltre, molti clienti LRS stanno rimuovendo le stampanti da qualsiasi rete interna… il che significa che nessuna workstation può comunicare con una stampante in alcun modo.
Chi lavora nel settore da tempo potrebbe pensare di utilizzare un server di stampa Windows per aggirare il problema. Ma forse no. Windows Server 2025 non è ancora stato rilasciato, ma le prime indicazioni mostrano che anch’esso è basato sulla build 24H2 con WPP disponibile. Se WPP è abilitato tramite criteri in un’organizzazione su tutti i server e workstation, allora non possono esistere dispositivi condivisi. Le stampanti Mopria sono IPP per definizione e Windows non ha mai consentito la condivisione di un dispositivo IPP. (Logicamente, sono già condivisi se sono in rete, giusto?)
Implicazioni nel mondo reale
Pensiamo a questo in termini aziendali, ad esempio al tuo ospedale locale. Molti moderni sistemi di cartelle cliniche elettroniche (EHR o EMR) si basano oggi sulla stampa tramite server e condivisioni Windows. In realtà, quasi tutti utilizzano la stampa standard di Windows. Considerando altri settori, molti sistemi ERP si basano anch’essi su server e condivisioni di stampa Windows. E che dire delle stampanti per etichette – il cuore e l’anima della spedizione di pazienti e prodotti? Anche queste non saranno disponibili.
Già questo è abbastanza grave. Ma ancora peggio è considerare che Microsoft intende attivare WPP per impostazione predefinita nel 2027. Immagina di dover cambiare l’intero parco dispositivi, aggiornare tutte le applicazioni ed essere pronto in soli due anni. Pensa alla vasta gamma di applicazioni che girano su server, nel cloud e su workstation locali che dovranno essere testate e probabilmente aggiornate. (Davvero – pensaci.)
Come puoi proteggere il tuo ambiente di stampa oggi affrontando al contempo i problemi che WPP mira a risolvere?
Te lo dico da anni. I processi LRS catturano direttamente la stampa da Windows non appena viene generata su una macchina locale. Le tue workstation sono già sicure se utilizzi i metodi e i software LRS. Non c’è bisogno di attivare WPP se utilizzi il componente Personal Print Manager della soluzione LRS. Non è necessario affrettarsi a cambiare il tuo parco dispositivi. Sei già protetto oggi.
LRS sta valutando come gestire l’esistenza di WPP a lungo termine. Poiché gestiamo la stampa IPP e IPPS dal 2004 (sia in ingresso che in uscita) e abbiamo da tempo cercato di eliminare la nostra dipendenza dallo spooler del sistema operativo di qualsiasi tipo, siamo fiduciosi di poter collaborare nel futuro – con o senza WPP.
Come facciamo dal 1979, LRS è qui per te.