Windows Protected Print (WPP): co zespoły IT w przedsiębiorstwach Enterprise powinny zrobić, zanim nadejdą terminy Microsoftu

Windows Protected Print (WPP) to tryb zabezpieczeń w Windows 11 i Windows Server 2025, który blokuje ładowanie print driverów firm trzecich na urządzeniu końcowym i kieruje wszystkie zadania drukowania przez IPP Class Driver firmy Microsoft. Wymaga on drukarek certyfikowanych przez Mopria lub ścieżki obsługującej IPP, aby drukarki działały bez przerwy. Administratorzy włączają go przez Group Policy lub profil Intune.

Sam tryb WPP jest kontrolowany przez administratora i nie ma narzuconej daty włączenia, ale plan Microsoft dotyczący serwisowania print driverów obejmuje trzy terminy końcowe. Od 15 stycznia 2026 r. żadne nowe print drivery firm trzecich nie będą udostępniane przez Windows Update dla Windows 11 i Server 2025. 1 lipca 2026 r. system Windows będzie preferował IPP Class Driver. Od 1 lipca 2027 r. print drivery firm trzecich będą otrzymywać wyłącznie poprawki bezpieczeństwa.

Tak. Platforma drukowania w chmurze przechowuje sterownik na zdalnym węźle renderującym, dzięki czemu punkt końcowy z systemem Windows wysyła zadanie drukowania niezależne od sterownika i nie wymaga lokalnego sterownika od zewnętrznego dostawcy. Usuwa to zależność blokowaną przez WPP, więc punkt końcowy jest zgodny z WPP nawet wtedy, gdy drukarka nie ma certyfikatu Mopria. ezeep przetwarza zadania drukowania w ten sposób i na tej podstawie dokumentuje zgodność z WPP.

Nie. WPP jest kontrolowany przez administratora i konfigurowany przez Group Policy lub Intune. Microsoft nie ogłosił daty, kiedy WPP stanie się domyślnym trybem na punktach końcowych. Na ustalonym harmonogramie znajdują się natomiast zmiany związane z obsługą sterowników: brak nowych sterowników od podmiotów zewnętrznych przez Windows Update po 15 stycznia 2026 r.; Windows będzie preferował IPP Class Driver od 1 lipca 2026 r.; oraz brak dalszych aktualizacji sterowników zewnętrznych (poza poprawkami bezpieczeństwa) po 1 lipca 2027 r.

WPP nie zmienia wymagań tych regulacji, ale zmienia architekturę, którą trzeba ocenić względem tych wymogów. Usunięcie sterowników stron trzecich zmniejsza liczbę komponentów działających z podwyższonymi uprawnieniami na punktach końcowych, co upraszcza wykazywanie wzmocnienia zabezpieczeń punktów końcowych. Ścieżka audytu też zmienia się z „klient – kolejka na serwerze – drukarka” na „klient – punkt końcowy IPP – drukarka”, co wymaga przeglądu logów end-to-end przed włączeniem WPP w środowiskach regulowanych. To, czy jest to korzyść netto, zależy od dostawcy platformy i klasyfikacji danych.

WPP adresuje kilka naruszeń modelu zero trust w tradycyjnej ścieżce drukowania w Windows. Współdzielone serwery wydruku działają jak węzły opierające się na implicit trust. Sterowniki stron trzecich działają z podwyższonymi uprawnieniami. Usługa bufora wydruku akceptuje przychodzące połączenia RPC. WPP zastępuje to szyfrowanym IPP przez HTTPS, IPP Class Driver oraz usunięciem lokalnych serwerów wydruku z powierzchni ataku. Dla amerykańskich agencji federalnych, organizacji objętych CMMC oraz środowisk opartych na NIST CSF lub 800‑53 jest to argument architektoniczny przemawiający za wcześniejszym wdrożeniem.

Serwer wydruku Windows nie może w sposób transparentny połączyć klientów WPP ze starszymi drukarkami nieobsługującymi IPP. Serwer uruchamia te same sterowniki stron trzecich, które WPP usuwa z urządzeń klienckich. Jeśli serwer udostępnia tylko tradycyjny interfejs RPC lub udział SMB, klienci WPP w ogóle nie będą się z nim łączyć. Działające architektury przekazują zadania przez ścieżkę IPP lub poprzez cloud rendering, a nie przez współdzielany serwer nadal zależny od sterowników V3 lub V4. Większość przedsiębiorstw w ramach przejścia na WPP konsoliduje lub eliminuje serwery wydruku.