Windows Protected Print (WPP): cosa deve fare l'IT Enterprise prima delle scadenze di Microsoft

Windows Protected Print (WPP) è una modalità di sicurezza di Windows 11 e Windows Server 2025 che impedisce il caricamento di driver di stampa di terze parti sull'endpoint e instrada tutti i processi di stampa attraverso l'IPP Class Driver di Microsoft. Richiede stampanti certificate Mopria, o un percorso compatibile IPP, per mantenere operative le stampanti. Gli amministratori la abilitano tramite Criteri di gruppo (Group Policy) o un profilo Intune.

WPP è una modalità controllata dall'amministratore e non ha una data di attivazione obbligatoria, ma il piano di Microsoft per la manutenzione dei driver prevede tre scadenze. Dal 15 gennaio 2026 non verranno pubblicati nuovi driver di terze parti su Windows Update per Windows 11 e Server 2025. Dal 1 luglio 2026 Windows darà preferenza all'IPP Class Driver. Dal 1 luglio 2027 i driver di terze parti riceveranno solo patch di sicurezza.

Sì. Una piattaforma di stampa cloud mantiene il driver su un nodo di rendering remoto, quindi l'endpoint Windows invia un processo di stampa agnostico rispetto al driver e non necessita di driver di terze parti in locale. Ciò elimina la dipendenza che WPP blocca, rendendo l'endpoint compatibile con WPP anche quando la stampante non è certificata Mopria. ezeep esegue il rendering dei processi di stampa in questo modo e documenta la compatibilità con WPP su questa base.

No. WPP è controllato dagli amministratori e viene configurato tramite Group Policy o Intune. Microsoft non ha ancora annunciato una data in cui WPP diventerà la modalità predefinita sugli endpoint. Quello che è già pianificato è la roadmap di assistenza dei driver: nessun nuovo driver di terze parti tramite Windows Update dopo il 15 gennaio 2026; Windows darà priorità all'IPP Class Driver dal 1° luglio 2026; e, dopo il 1° luglio 2027, non saranno rilasciati ulteriori aggiornamenti per i driver di terze parti, salvo patch di sicurezza.

WPP non cambia i requisiti imposti da quei regimi, ma modifica l'architettura che deve essere valutata rispetto a essi. Rimuovere i driver di terze parti riduce il software con privilegi elevati sull'endpoint, semplificando le evidenze richieste per l'hardening. Anche il percorso di audit cambia: da «client > coda del server > stampante» a «client > IPP endpoint > stampante», quindi è necessaria una revisione dei log end-to-end prima di abilitare WPP in ambienti regolamentati. Se questo sia un vantaggio netto dipende dal fornitore della piattaforma e dalla classificazione dei dati coinvolti.

WPP affronta diverse violazioni del modello zero trust nel tradizionale percorso di stampa di Windows. I print server condivisi si comportano come hub basati su fiducia implicita. I driver di terze parti vengono eseguiti con privilegi elevati. Il servizio Print Spooler accetta connessioni RPC in ingresso. WPP sostituisce questi elementi con IPP crittografato su HTTPS, l'IPP Class Driver e la rimozione dei print server locali dalla superficie di attacco. Per ambienti federali USA, soggetti a CMMC o che adottano i framework NIST CSF o 800-53, questo è l'argomento architetturale a favore di una transizione anticipata.

Un Windows print server non può fare da ponte in modo trasparente tra i client WPP e le stampanti legacy non IPP. Il server esegue gli stessi driver di terze parti che WPP rimuove dai client. Se il server espone solo una condivisione RPC o SMB tradizionale, i client WPP non possono connettersi. Le architetture che funzionano instradano i processi di stampa attraverso un percorso IPP o tramite Cloud rendering, non attraverso un server condiviso ancora dipendente da driver V3 o V4 sottostanti. La maggior parte delle aziende finisce per consolidare o eliminare i print server come parte della transizione a WPP.