Printer Redirection – Produktivitätsgarant und Sicherheitslücke

Juli 10, 2020
Printer redirection - so geht das Abschalten

Ich bin überzeugt, dass der Begriff “Printer redirection” von einem Softwareentwickler einfach mal in einen Prototyp eingebaut wurde. Und weil niemand eine bessere Idee hatte, ist er bis heute geblieben. Dahinter verbirgt sich das Feature, von einem Remote Desktop zu einem lokalen Drucker zu drucken. Kombiniert mit einem universellen Treiber auf dem Remote Desktop und ordentlicher Komprimierung der Druckdaten ergibt sich dadurch der Vorteil, dass jeder Nutzer unkompliziert und sofort auf seinen eigenen Drucker drucken kann, obwohl er auf einem Remote Desktop arbeitet, der hunderte oder tausende Kilometer entfernt ist. Drucken in Home Offices oder kleineren Niederlassungen könnte andernfalls nur mit erheblichem Aufwand ermöglicht werden.

Jetzt ist der zumindest theoretische Traum des IT Admins, nichts mehr mit den lokalen Druckern der Nutzer zu tun zu haben und seine schöne Remote-Desktop-Farm ordentlich und sauber zu halten, leider zugleich der Alptraum des Sicherheitsteams. Jeder, der einen Drucker hat, kann sämtliche Dokumente, auf die er zugreifen kann, einfach auf dem eigenen Drucker zum Beispiel zuhause ausdrucken. Keine Firewall, kein VPN, kein Email-Scanner, kein Blacklisting kann davor schützen.

Es ist das bekannte Problem, eine Balance zwischen Produktivität und Sicherheit zu finden. Nicht jeder Mitarbeiter muss drucken, wenn er remote arbeitet. Der Trick ist, einfache und möglichst granulare Wege zu kennen, um “Printer redirection” an- und auszuschalten.

Werfen wir also mal einen Blick auf die Möglichkeiten!

Printer Redirection ausschalten mit dem Remote Desktop Gateway Manager

1. Auf einem Windows Server 2012 oder höher gehe zu Administrative Tools und öffne den Remote Desktop Services Folder.

2. Wähle den Remote Desktop Gateway Manager

3. Wähle Connection Authorization Policies

4. Klicke auf die Policy RDG_CAP_ALLUsers und öffne den Tab Device Redirection

5. Schalte “Disbale device redirection for the following client device types” an und markiere die Box “Printers”

Printer Redirection ausschalten mit dem Remote Desktop Gateway Manager

Die lokalen Drucker der User werden jetzt nicht mehr auf dem Remote Desktop angelegt, und die User können somit nicht mehr auf ihren eigenen Druckern drucken. Wenn man Printer redirection für alle ausschalten möchte, ist das ein einfacher Weg. Wenn man das etwas granularer haben möchte, wird es kompliziert.

Printer Redirection ausschalten per Group Policy

1. Öffne den Group Policy Editor und gehe zu “Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Printer Redirection.”

2. Öffne die Policy-Einstellung “Do not allow client printer redirection” und wähle die Option “Enabled”

3. Klicke auf OK, um die Änderung zu speichern und schließe das Fenster.

Printer Redirection ausschalten per Group Policy

Group Policies sind ein Standardweg, um Nutzer und Rechner zu managen. Die Konfigurationen werden an Organizational Units im Active Directory gehängt, und die entsprechenden Computer (oder Nutzer) in den OUs wenden beim nächsten Group Policy Update die Konfiguration an. Sofern die Nutzer, die drucken sollen, und die User, die nicht drucken sollen, auf getrennten Computern ihre Remote Desktops haben und diese getrennten Computer auch im AD getrennt sind, kann man dadurch selektiv Printer Redirection unterbinden. Praktikabel ist das allerdings in der Realität nicht.

Windows Virtual Desktop Spring Update 2020

  1. Im Azure Portal, suche nach Windows Virtual Desktop
  2. Klicke auf “Hostpool” und wähle den Hostpool aus
  3. Klicke auf “Properties”, wähle den “RDP settings” Tab aus und stelle den Schalter für Printers auf “Off”.
Seit dem Spring Update 2020 kann man Printer Redirection sehr einfach an- und ausschalten.

Ähnlich wie bei den Group Policies kann man seit dem Spring Update 2020 sehr einfach Printer redirection an- und ausschalten. Ähnlich wie bei den Group Policies bezieht sich diese Einstellung auf die Rechner, die die Remote Desktops hosten und nicht auf die User. Sofern man also die Notwendigkeit des lokalen Druckens nicht auch noch in die Überlegungen zu Hostpools einbeziehen möchte, ist Granularität ein Problem.

Bei ezeep for Azure haben wir uns zu dem Kompromiss zwischen Produktivität und Sicherheit beim Drucken viele Gedanken gemacht. Uns war recht früh klar, dass das Drucken zu lokalen Druckern basierend auf Usergruppen stattfindet und nicht basierend auf Rechnergruppen. Hier ist unser Weg, um granular das lokale Drucken zu erlauben oder zu unterbinden:

  1. Im ezeep admin Portal, klicke auf “Local Printer Support”
  2. Klicke auf das + und markiere die Gruppe(n), deren Mitglieder zu ihren lokalen Drucker drucken dürfen.
  3. Klicke auf “Add Groups”.

Und voilá: So einfach kann es sein, die richtige Balance zwischen Produktivität und Sicherheit zu finden. Du hast Fragen? Dann schreibe an hello@ezeep.com!