Windows Protected Print (WPP): Was Enterprise-IT vor Ablauf von Microsofts Fristen tun sollte

Windows Protected Print (WPP) ist ein Sicherheitsmodus in Windows 11 und Windows Server 2025, der das Laden von Drittanbieter-Druckertreibern auf dem Endgerät blockiert und alle Druckvorgänge über Microsofts IPP Class Driver leitet. Damit Drucker weiterhin funktionieren, sind Mopria‑zertifizierte Drucker oder ein IPP‑fähiger Pfad erforderlich. Administratoren aktivieren ihn über Group Policy oder ein Intune‑Profil.

WPP selbst wird von Administratoren gesteuert und hat kein verpflichtendes Aktivierungsdatum, aber Microsofts Plan für die Treiberwartung sieht drei Fristen vor. Ab dem 15. Januar 2026 gelangen keine neuen Drittanbieter‑Treiber mehr über Windows Update auf Windows 11 und Server 2025. Am 1. Juli 2026 bevorzugt Windows den IPP Class Driver. Am 1. Juli 2027 erhalten Drittanbieter‑Treiber nur noch Sicherheitspatches.

Ja. Eine Cloud-Printing‑Plattform hält den Treiber auf einem entfernten Rendering‑Knoten, sodass das Windows‑Endgerät einen treiberunabhängigen Druckauftrag sendet und lokal keinen Drittanbieter‑Treiber benötigt. Dadurch entfällt die Abhängigkeit, die WPP blockiert, und das Endgerät wird WPP‑kompatibel, selbst wenn der Drucker nicht Mopria‑zertifiziert ist. ezeep rendert Druckaufträge auf diese Weise und dokumentiert auf dieser Grundlage die WPP‑Kompatibilität.

Nein. WPP wird von Administrator:innen gesteuert und über Gruppenrichtlinien oder Intune konfiguriert. Microsoft hat noch kein Datum genannt, an dem WPP zum Standardmodus auf Endpunkten wird. Fest terminiert ist allerdings die Roadmap zur Treiberwartung: keine neuen Drittanbieter-Treiber mehr über Windows Update nach dem 15. Januar 2026; Windows bevorzugt den IPP Class Driver ab dem 1. Juli 2026; nach dem 1. Juli 2027 erfolgen für Drittanbieter-Treiber nur noch Sicherheitsupdates.

WPP ändert nicht die Anforderungen dieser Regelwerke, wohl aber die Architektur, die gegen sie bewertet werden muss. Das Entfernen von Drittanbieter-Treibern reduziert Software mit erhöhten Rechten auf dem Endpunkt und vereinfacht so den Nachweis zur Endpunkthärtung. Auch ändert sich der Audit-Pfad von „Client zur Druckwarteschlange des Servers zum Drucker“ zu „Client zum IPP-Endpunkt zum Drucker“, was eine durchgehende Überprüfung der Protokollierung erfordert, bevor WPP in regulierten Umgebungen aktiviert wird. Ob das insgesamt positiv ist, hängt vom Plattformanbieter und der betreffenden Datenklassifizierung ab.

WPP behebt mehrere Verstöße gegen Zero Trust im herkömmlichen Windows-Druckpfad. Geteilte Druckserver fungieren als implizit vertrauende Hubs. Drittanbieter-Treiber laufen mit erhöhten Rechten. Der Spooler‑Dienst akzeptiert eingehende RPC‑Verbindungen. WPP ersetzt diese Elemente durch verschlüsseltes IPP über HTTPS, den IPP‑Class‑Driver und die Entfernung lokaler Druckserver aus der Angriffsfläche. Für US‑Bundesbehörden, CMMC‑gebundene Umgebungen sowie Umgebungen, die sich an NIST CSF oder 800‑53 orientieren, ist das der architektonische Grund, den Umstieg eher früher als später anzugehen.

Ein Windows‑Druckserver kann WPP‑Clients nicht transparent zu älteren Nicht‑IPP‑Druckern durchreichen. Auf dem Server laufen dieselben Drittanbieter‑Treiber, die WPP von den Clients entfernt. Wenn der Server nur eine herkömmliche RPC‑ oder SMB‑Freigabe bereitstellt, können WPP‑Clients überhaupt keine Verbindung herstellen. Funktionierende Architekturen leiten Druckaufträge über einen IPP‑Pfad oder über Cloud rendering – nicht über einen gemeinsam genutzten Server, der weiterhin von V3‑ oder V4‑Treibern abhängig ist. Die meisten Unternehmen konsolidieren oder schaffen ihre Druckserver im Zuge der WPP‑Umstellung letztlich ab.