Übersicht

Was ist Windows Protected Print Mode (WPP)?

Microsofts neues driverless-printing-Modell für Windows. Was es bewirkt, was es beeinflusst, wann es zum Standard wird und was IT-Teams wissen müssen, bevor sie ihre Planung darauf ausrichten.

Definition des Windows Protected Print Mode

Windows Protected Print Mode (WPP) ist ein Sicherheitsfeature von Microsoft, das in Windows 11 Version 24H2 (Oktober 2024) und in Windows Server 2025 eingeführt wurde und das Drucken auf ein IPP-basiertes driverless-printing-Modell beschränkt. Wenn WPP aktiviert ist, werden Druckertreiber von Drittanbietern aus dem System entfernt und die Installation neuer Treiber blockiert. Nur Drucker, die den Microsoft IPP‑Klassentreiber verwenden und mit Mopria-zertifizierten Druckern kommunizieren, funktionieren nativ. Diese Funktion ist Teil von Microsofts umfassenderen Bemühungen, den Print-Stack von Windows gegen Schwachstellen wie PrintNightmare abzusichern.

Ab Mitte 2026 ist WPP in jeder Windows-Version, die es unterstützt, standardmäßig deaktiviert. Nutzer mit lokalen Administratorrechten können es über die Windows‑Einstellungen aktivieren. IT‑Administratoren können WPP über Gruppenrichtlinien (Group Policy) oder die Windows‑Registrierung aktivieren oder blockieren. Microsoft hat angekündigt, dass WPP bis 2027 zum Standard werden soll, obwohl noch kein genaues Datum veröffentlicht wurde. Der Übergang erfolgt schrittweise: WPP kann heute getestet, jetzt auf bestimmten Geräten oder für Nutzergruppen aktiviert und breit ausgerollt werden, bevor die standardmäßige Aktivierung in Kraft tritt.

Warum Microsoft WPP entwickelt hat

Schwachstellen im Print spooler sind seit Jahren ein wiederkehrendes Problem unter Windows. PrintNightmare (CVE-2021-34527) war das bekannteste Beispiel, aber nur eines in einer langen Reihe von auf den Spooler bezogenen Exploits. Die Ursache war stets dieselbe: Druckertreiber von Drittanbietern laufen mit hohen Rechten, und der Print spooler musste dem Treibercode jedes Anbieters vertrauen, um zu funktionieren.

WPP schließt diese Lücke, indem es Druckertreiber von Drittanbietern vollständig aus dem Print-Stack entfernt. Die Entscheidung passt auch zur allgemeinen Ausrichtung des Windows‑Betriebssystems: weniger Code von Drittanbietern mit erhöhten Rechten, mehr Sandboxing, mehr verifizierte Komponenten. Moderne Funktionen wie Smart App Control und die Abkündigung bestimmter Legacy‑Treiber weisen in dieselbe Richtung. WPP ist die Druck‑Variante dieses Wandels.

 

Funktionsweise

So funktioniert der Windows Protected Print Mode (WPP)

Die Architektur unterscheidet sich grundlegend vom Print‑Stack, den Windows in den letzten zwanzig Jahren verwendet hat. Im herkömmlichen Modell musste für jeden Drucker ein Herstellertreiber lokal auf jedem Windows‑Gerät installiert sein. Der Treiber übersetzte Druckaufträge in gerätespezifische Befehle und lief dafür mit erhöhten Rechten. Unter WPP ändern sich vier Dinge:

Nur Microsoft IPP‑Klassentreiber

Der IPP‑Klassentreiber ist der einzige Druckertreiber, den das Betriebssystem lädt. Er ist ein generischer, in Windows integrierter Treiber, der das Internet Printing Protocol (IPP) unterstützt — einen offenen Standard, den die meisten modernen Netzwerkdrucker bereits implementieren.

Nur Microsoft IPP‑Klassentreiber

V3‑ und V4‑Druckertreiber von Drittanbietern werden blockiert

V3 ist das ältere Treibermodell, das Ziel von PrintNightmare und vielen ähnlichen Exploits. V4 ist das neuere Modell, das Microsoft mit Windows 8 eingeführt hat. Keines von beiden wird geladen, wenn WPP aktiviert ist.
V3‑ und V4‑Druckertreiber von Drittanbietern werden blockiert

Hersteller-Features laufen über Print Support Apps

PSAs sind sandboxed UWP‑Anwendungen, die über den Microsoft Store verteilt werden. Sie übernehmen Finishing‑Optionen (Heften, Lochen, Broschürenfaltung), erweiterte Einstellungen und andere herstellerspezifische Funktionen, ohne den Print spooler zu berühren. Der Treiber selbst ändert sich nicht. Optionale Funktionen werden über die App als zusätzliche Ebene bereitgestellt.
Hersteller-Features laufen über Print Support Apps

Die Kommunikation erfolgt über IPP

Der Druckverkehr läuft über IPP, typischerweise über den TCP‑ und UDP‑Port 631. Der Drucker muss über diesen Port erreichbar sein und IPP oder IPPS auf dem Gerät aktiviert haben (die genaue Bezeichung der Einstellung variiert je nach Hersteller).
Die Kommunikation erfolgt über IPP

Was WPP nicht leistet

In Gesprächen über WPP tauchen immer wieder einige Punkte auf, die eine Klarstellung verdienen, weil sie häufig missverstanden werden.

WPP ist kein Ersatz für Enterprise‑Druckmanagement. Es bietet kein Pull Printing, kein Follow‑me‑Printing, keine Benutzerauthentifizierung am Gerät, keine Abrechnung, keine Kontingente und keine Dokumentenverfolgung. Das sind separate Kategorien von Funktionalitäten.

WPP verschlüsselt Druckaufträge nicht Ende‑zu‑Ende. IPP unterstützt IPPS (IPP über HTTPS) für die Transportverschlüsselung zwischen dem Windows‑Computer und dem Drucker, das ist jedoch Schutz auf Transportebene, keine Dokumentenverschlüsselung auf Dateiebene.

WPP bietet keine zentrale Druckerbereitstellung. Es schränkt ein, wie Drucker lokal auf jedem Windows‑Computer installiert werden können, bietet aber keine zentrale Verwaltungsebene. Group Policy kann WPP selbst verwalten, allerdings sind die älteren Group‑Policy‑Optionen zur Druckerbereitstellung (die von der traditionellen Druckserver‑Architektur abhingen) von den WPP‑Änderungen betroffen.

WPP behebt keine Schwachstellen in der Druckerfirmware. Der Schutz greift auf Ebene des Windows‑Druckstacks. Wenn die Firmware eines Druckers eine Schwachstelle hat, ändert WPP daran nichts.

Was sich ändert

Was sich ändert, wenn du WPP aktivierst

Die Umstellung ist größer, als der Name vermuten lässt. Sobald WPP aktiviert ist, ändern sich sechs Dinge.

Alle Nicht‑IPP‑Drucker funktionieren nicht mehr

Alles, was über V3‑ oder V4‑Treiber von Drittanbietern installiert wurde, wird entladen und funktioniert nicht mehr. Bestehende Druckwarteschlangen, die auf diesen Treibern beruhten, bleiben stumm.

Alle Nicht‑IPP‑Drucker funktionieren nicht mehr

Neue Treiberinstallationen werden blockiert

Point‑and‑Print ist deaktiviert. Manuelle Installationen über INF‑Dateien oder Hersteller‑Installer schlagen fehl. Group Policy kann die Treiberinstallation nicht wieder aktivieren.

Neue Treiberinstallationen werden blockiert

Die Funktion „Internet Printing Client“ wird entfernt

Das ist ein separates Windows‑Feature, auf das sich einige Drucklösungen verlassen. Eine spätere Deaktivierung von WPP installiert es nicht automatisch neu.

XPS und die integrierte Faxfunktion werden entfernt

Beide werden unter WPP als veraltet eingestuft und bei Aktivierung des Features deinstalliert.

XPS und die integrierte Faxfunktion werden entfernt

OneNote (Desktop) wird ersetzt

Der Standard‑OneNote‑Druck wird deinstalliert. Ein neuer „OneNote (Desktop) Protected virtual printer“ ersetzt ihn unter Windows 11 Version 26100 oder höher, sofern die OneNote‑App in Version 2410 oder höher installiert ist.

Nur Mopria‑zertifizierte Drucker funktionieren nativ

Ältere Drucker und Drucker von Herstellern, die nicht über Mopria zertifiziert sind, erscheinen nicht als verfügbare Druckziele.

Anforderungen und Einrichtung von WPP

Anforderungen für WPP

Um WPP zu nutzen, benötigt eine Umgebung:

  • Ein unterstütztes Betriebssystem: Windows 11 (Version 24H2 oder neuer) oder Windows Server 2025 oder neuer.
  • Mopria-zertifizierte Drucker. Die Mopria Alliance pflegt eine öffentliche Liste zertifizierter Geräte. Die meisten modernen Drucker großer Hersteller (Canon, HP, Epson, Brother, Lexmark, Ricoh, Toshiba, Xerox) sind Mopria-zertifiziert, auch wenn die Unterstützung von Features variiert. Ältere Drucker und viele Spezialgeräte (Etikettendrucker, Plotter, Industriedrucker) sind häufig nicht Mopria-zertifiziert.
  • IPP und IPPS müssen auf dem Drucker aktiviert sein. Der Name der Einstellung variiert je nach Hersteller.
  • Erreichbarkeit im Netzwerk über TCP-Port 631. Firewall-Regeln müssen IPP-Verkehr zwischen dem Windows‑Rechner und dem Drucker erlauben. Wenn die Umgebung verschlüsseltes Drucken (IPPS) erzwingt, muss auch Port 443 freigegeben sein.
  • Der Microsoft IPP‑Klassentreiber. Er ist standardmäßig in Windows installiert. Es ist kein zusätzlicher Treiberdownload erforderlich.

Für herstellerspezifische Features, die über den Standard-IPP‑Satz hinausgehen, muss der Hersteller eine Print Support App über den Microsoft Store veröffentlichen, und du oder dein Unternehmen müssen diese installieren.

WPP aktivieren

WPP kann auf drei Arten aktiviert werden.

Über die Windows‑Einstellungen: Einstellungen → Bluetooth und Geräte → Drucker und Scanner → zu Druckereinstellungen scrollen → Geschützter Windows‑Druckmodus → Einrichten. Du musst über lokale Administratorrechte verfügen.

Über Gruppenrichtlinien: Computerkonfiguration → Administrative Vorlagen → Drucker → Geschütztes Windows‑Drucken konfigurieren → Bearbeiten. Die Gruppenrichtlinien‑ADMX‑Vorlage für WPP ist in den aktuellen Versionen von Windows 11 und Server 2025 enthalten.

Über die Registrierung: Die Schlüssel befinden sich unter HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Printers\\WPPSetze den WindowsProtectedPrintModeDWORD‑Wert auf 1 1, um ihn zu aktivieren.

Ein Neustart des Systems kann erforderlich sein, damit die Änderung vollständig wirksam wird, insbesondere wenn vorhandene TCP/IP‑Druckwarteschlangen beim ersten Umschalten nicht bereinigt werden.

WPP deaktivieren

WPP kann über die gleichen drei Wege in umgekehrter Reihenfolge deaktiviert werden. Das Deaktivieren von WPP macht die Änderungen, die bei der ersten Aktivierung vorgenommen wurden, nicht rückgängig.

⚠️ Entfernte Treiber werden nicht automatisch neu installiert. Entfernte Windows‑Features (Internet Printing Client, XPS, integrierte Faxfunktion) werden nicht von allein wiederhergestellt. Vorhandene Druckwarteschlangen, die von entfernten Treibern abhingen, müssen neu aufgebaut werden. WPP lässt sich unkompliziert aktivieren; eine saubere Wiederherstellung ist jedoch ein größeres Projekt.

ezeep und WPP

Wie ezeep WPP angeht

Das treiberlose Druckmodell von ezeep mit Cloud rendering entspricht der Richtung, in die Microsoft Windows entwickelt. Die neueste ezeep App for Windows ist eine dedizierte Windows-Anwendung, mit der von ezeep verwaltete Drucker auf Nutzergeräten zugeordnet werden können – selbst bei aktiviertem WPP. Sie nutzt das Cloud rendering von ezeep, sodass keine lokalen Treiber erforderlich sind. Nutzer drucken weiterhin an ezeep-Druckern, ohne WPP zu deaktivieren, und das vom IT-Team gewählte Sicherheitsniveau bleibt erhalten.

Erfahre mehr über die Print App von ezeep
print-from-windows
Weiterführende Artikel

Tauche ein in die Welt von ezeep

what-is-cloud-printing

Was ist Cloud-Printing?

Die Grundlagen: was Cloud-Printing ist und was es ersetzt.

Was ist Cloud-Printing?
cloud-print-security

Sicherheit beim Cloud-Printing

Wie das Entfernen von Treibern deine Sicherheit stärkt.

Sicherheit beim Cloud-Printing
how-cloud-printing-works

Wie Cloud-Printing funktioniert

Die vollständige Architektur: vom Gerät über die Cloud bis zum Drucker.

Wie Cloud-Printing funktioniert

Häufig gestellte Fragen

Neugierig, wie das alles funktioniert? Hier findest du alles, was du über die Cloud-Printing-Lösung von ezeep wissen möchtest.

Ist der Windows Protected Print Mode standardmäßig aktiviert?

Nein. Ab Mitte 2026 ist WPP in allen Windows-Versionen, die es unterstützen, standardmäßig deaktiviert. Microsoft hat angekündigt, dass WPP bis 2027 zum Standard werden soll.

Kann ich jeden Drucker mit WPP verwenden?

Nein. Nur Mopria-zertifizierte Drucker, die über den Microsoft IPP-Klassentreiber erreichbar sind, funktionieren nativ. Ältere Drucker und viele Spezialgeräte (einige Plotter, Etikettendrucker, Industriegeräte) sind nicht Mopria-zertifiziert und werden bei aktiviertem WPP nicht als verfügbare Drucker angezeigt. Auf zertifizierten Modellen funktioniert in der Regel der Basisdruck; erweiterte Funktionen erfordern oft eine Print Support App des Herstellers.

Kann ich die durch WPP vorgenommenen Änderungen rückgängig machen?

WPP selbst kann deaktiviert werden. Die Änderungen, die bei der ersten Aktivierung ausgelöst wurden (entfernte Treiber, entfernte Windows-Funktionen, gelöschte Druckwarteschlangen), werden nicht automatisch rückgängig gemacht. Jede entfernte Komponente muss manuell neu installiert oder wiederhergestellt werden.

Ersetzt WPP meinen Druckserver?

Nein. WPP ist eine Windows-Endpunkt‑Sicherheitsfunktion, die die Funktionsweise des Druckens auf einzelnen Windows-Rechnern ändert. Es ist keine Druckmanagement‑Plattform und bietet keine zentrale Druckerbereitstellung, Nutzersteuerung oder Berichterstattung.

Ist WPP für die Compliance erforderlich?

WPP wird heute von keinem spezifischen Compliance‑Framework gefordert. Es ist ein Ansatz, um Risiken in der Druckinfrastruktur zu reduzieren. Andere Architekturen (zum Beispiel Cloud rendering) gehen dasselbe Risiko auf andere Weise an.

Funktioniert PostScript weiterhin unter WPP?

Der Microsoft IPP-Klassentreiber gibt kein PostScript aus. Je nachdem, was der Drucker akzeptiert, gibt er PWG Raster, PCLm oder andere von IPP unterstützte Formate aus. Workflows, die auf PostScript-Ausgabe angewiesen waren, müssen neu bewertet werden.

Worin unterscheidet sich WPP von Universal Print?

WPP ist eine Sicherheitsfunktion auf Betriebssystemebene von Windows, die das lokale Drucken auf jedem Windows-Gerät einschränkt. Universal Print ist ein separater Microsoft-Cloud-Dienst, der zentrales Druckmanagement und IPP-basiertes Cloud-Printing bietet. Die beiden können zusammen genutzt werden, lösen aber unterschiedliche Probleme.

Wirkt sich WPP auf Mac- oder Linux-Clients aus?

WPP ist eine Windows-spezifische Funktion. Mac- und Linux-Clients sind nicht direkt betroffen. Druckt ein Mac- oder Linux-Client jedoch über einen Windows-Druckserver, wirken sich Änderungen am Druck-Stack dieses Servers (z. B. Entfernen von Treibern oder Neuaufbau der Warteschlange) indirekt auf ihn aus.

Funktioniert WPP mit herkömmlichen Druckservern?

WPP ändert, wie lokale Windows-Geräte mit Druckertreibern umgehen. Herkömmliche Druckserver, die auf geteilten V3- oder V4-Treibern basieren, sind betroffen, weil der Client diese Treiber nicht mehr laden kann. Einige Workflows zur Bereitstellung von Druckwarteschlangen, die auf dem älteren Treibermodell beruhen, müssen neu gestaltet werden.

Back to top

Du willst eine Drucklösung, die unter WPP funktioniert?

ezeep ist für bis zu 10 Nutzer kostenlos. Richte es in wenigen Minuten ein und sieh selbst, wie Cloud rendering unter jeder Windows-Konfiguration, einschließlich WPP, funktioniert.

ezeep-chart (1)