Is Windows Protected Print Mode enabled by default?

No. As of mid-2026, WPP is off by default on every Windows version that supports it. Microsoft has stated WPP will become the default by 2027, though no specific date has been published.

What is the difference between Windows Ready Print and Windows Protected Print Mode (WPP)?

Windows Ready Print is the name for the broader modern print platform - IPP-based, with legacy driver fallback still available. WPP is the strict enforcement mode within it. Windows Ready Print is also the consumer-facing label Microsoft introduced in May 2026 for the toggle in Windows Settings.

Can I use any printer with WPP?

No. Only Mopria-certified printers work natively under WPP. Most modern printers from major manufacturers (Canon, HP, Epson, Brother, Lexmark, Ricoh, Toshiba, Xerox) include Mopria certification, though feature support varies. Older printers and many specialty devices (label printers, plotters, industrial printers) are often not Mopria-certified and will not work natively.

Does WPP replace my print server?

No. WPP is not an enterprise print management replacement. It does not provide pull printing, follow-me printing, user authentication at the device, accounting, quotas, or document tracking. It also does not provide centralized printer deployment - it restricts how printers can be installed locally on each Windows machine, but it does not provide a central management plane.

Is WPP required for compliance?

WPP is a Microsoft security feature designed to harden the Windows print stack, but it is not currently required for any specific compliance framework. It is off by default and optional until Microsoft makes it the default, which is planned for 2027.

Does PostScript still work under WPP?

Under WPP, third-party V3 and V4 drivers are blocked entirely. PostScript printing traditionally relies on vendor-supplied drivers. Under WPP, print traffic moves over IPP using the Microsoft IPP class driver, so PostScript-dependent workflows that rely on third-party drivers will not function natively.

How is WPP different from Universal Print?

WPP is a Windows security feature that restricts the print stack to a driverless, IPP-based model and removes third-party drivers. Universal Print is a Microsoft cloud-based print service that provides centralized printer management and deployment. They are separate capabilities addressing different aspects of enterprise printing.

Does WPP affect Mac or Linux clients?

WPP is a Windows-specific feature. It applies to the Windows print stack on Windows 11 version 24H2 or later and Windows Server 2025 or later. Mac and Linux clients are not affected by WPP.

Does WPP work with traditional print servers?

WPP does not provide centralized printer deployment and the older Group Policy printer deployment options (which depended on the traditional print server architecture) are affected by WPP-related changes. Traditional print server architectures that rely on third-party V3 or V4 drivers are incompatible with WPP's strict enforcement mode.

Czym jest Windows Ready Print (WPP)? Kompletny przewodnik

Q: Can I reverse the changes WPP makes?

WPP can be turned off through the same paths used to enable it, but disabling WPP does not undo the changes that happened when it was first enabled. Removed drivers do not reinstall automatically. Removed Windows features (Internet Printing Client, XPS, built-in fax) do not return on their own. Existing print queues that depended on removed drivers must be rebuilt. WPP is straightforward to turn on; reverting cleanly is a project.

Definicja trybu Windows Protected Print Mode

Windows Protected Print Mode (WPP) to funkcja bezpieczeństwa firmy Microsoft, wprowadzona w Windows 11 w wersji 24H2 (październik 2024) i Windows Server 2025, która ogranicza drukowanie do modelu bez sterowników, opartego na protokole IPP. Gdy tryb WPP jest włączony, sterowniki drukarek firm trzecich są usuwane z systemu, a instalacja nowych jest blokowana. Natywnie działają tylko drukarki korzystające ze sterownika klasy Microsoft IPP, który komunikuje się z Mopria-certyfikowanymi drukarkami. Funkcja ta jest częścią szerszych działań firmy Microsoft mających na celu wzmocnienie stosu drukowania systemu Windows przed podatnościami takimi jak PrintNightmare.

Od połowy 2026 roku tryb WPP będzie domyślnie wyłączony w każdej wersji systemu Windows, która go obsługuje. Użytkownicy z uprawnieniami administratora lokalnego mogą go włączyć w Ustawieniach Windows – gdzie Microsoft nazywa teraz ten przełącznik „Windows Ready Print”. Administratorzy IT mogą włączać lub blokować WPP za pomocą zasad Group Policy lub Rejestru Windows. Microsoft zapowiedział, że do 2027 roku WPP stanie się domyślnym trybem, choć nie podano konkretnej daty. Przejście jest stopniowe: WPP można testować już dziś, włączyć na wybranych maszynach lub dla grup użytkowników, a następnie wdrożyć na szeroką skalę, zanim stanie się domyślnie aktywny.

Dlaczego Microsoft stworzył WPP

Podatności bufora wydruku od lat stanowiły powracający problem w systemie Windows. PrintNightmare (CVE-2021-34527) był najbardziej znanym publicznie przykładem, ale jednocześnie jednym z wielu w długiej serii exploitów wykorzystujących bufor wydruku. Główna przyczyna była zawsze ta sama: sterowniki drukarek firm trzecich działają z wysokimi uprawnieniami, a bufor wydruku systemu Windows musiał ufać kodowi sterownika każdego producenta, aby móc funkcjonować.

WPP rozwiązuje ten problem, całkowicie usuwając sterowniki firm trzecich ze stosu drukowania. Decyzja ta wpisuje się również w szerszy kierunek rozwoju systemu operacyjnego Windows: mniej kodu firm trzecich z podwyższonymi uprawnieniami, więcej sandboxingu, więcej zweryfikowanych komponentów. Nowoczesne funkcje, takie jak Smart App Control i wycofywanie niektórych starszych sterowników, wskazują na ten sam kierunek. WPP jest odpowiednikiem tej zmiany w świecie drukowania.

Jak to działa

Jak działa tryb Windows Protected Print Mode (WPP)

Architektura ta fundamentalnie różni się od stosu drukowania, którego system Windows używał przez ostatnie dwadzieścia lat. W tradycyjnym modelu każda drukarka wymagała sterownika producenta zainstalowanego lokalnie na każdym komputerze z systemem Windows. Sterownik tłumaczył zadania drukowania na polecenia specyficzne dla danego urządzenia i działał w tym celu z podwyższonymi uprawnieniami. W trybie WPP zmieniają się cztery rzeczy.

Tylko sterownik klasy Microsoft IPP

Sterownik klasy IPP staje się jedynym sterownikiem drukarki, który ładuje system operacyjny. Jest to generyczny sterownik wbudowany w system Windows, który obsługuje protokół IPP (Internet Printing Protocol) – otwarty standard, który większość nowoczesnych drukarek sieciowych już implementuje.

Sterowniki V3 i V4 firm trzecich są blokowane

V3 to starszy model sterownika, który był celem ataku PrintNightmare i wielu podobnych exploitów. V4 to nowszy model, który Microsoft wprowadził w Windows 8. Żaden z nich nie jest ładowany, gdy WPP jest włączony.

Funkcje dostawców są obsługiwane przez Print Support Apps

PSA to izolowane aplikacje UWP dystrybuowane przez Microsoft Store. Obsługują opcje wykańczania (zszywanie, dziurkowanie, składanie broszur), ustawienia zaawansowane i inne funkcje specyficzne dla producenta, nie ingerując w print spooler. Sam sterownik nie ulega zmianie. Opcjonalne funkcje są nakładane przez aplikację.

Komunikacja odbywa się przez IPP

Ruch sieciowy związany z drukowaniem odbywa się przez protokół IPP, zazwyczaj na porcie 631 (TCP i UDP). Drukarka musi być osiągalna na tym porcie, a protokoły IPP lub IPPS muszą być włączone na urządzeniu (dokładna nazwa ustawienia różni się w zależności od producenta).

Czego WPP nie robi

W dyskusjach na temat WPP powraca kilka kwestii, które warto wyjaśnić, ponieważ są często błędnie rozumiane.

WPP to nie to samo co Windows Ready Print. Windows Ready Print to nazwa szerszej, nowoczesnej platformy drukowania opartej na IPP, w której nadal dostępny jest fallback do starszych sterowników. WPP to w jej ramach tryb ścisłego egzekwowania. Pozostała część tej sekcji opisuje, czego konkretnie WPP nie robi.

WPP nie zastępuje systemów do zarządzania drukiem w przedsiębiorstwie. Nie zapewnia funkcji Pull Printing, drukowania podążającego, uwierzytelniania użytkownika przy urządzeniu, rozliczania, limitów wydruku ani śledzenia dokumentów. To są osobne kategorie funkcjonalności.

WPP nie szyfruje zadań drukowania end-to-end. IPP obsługuje IPPS (IPP over HTTPS) do szyfrowania transmisji między komputerem z Windows a drukarką, ale to zabezpieczenie na poziomie transportu, a nie pełne szyfrowanie dokumentu.

WPP nie zapewnia scentralizowanego wdrażania drukarek. Ogranicza sposób instalacji drukarek lokalnie na każdym komputerze z Windows, ale nie oferuje centralnej płaszczyzny zarządzania. Group Policy może zarządzać samym WPP, choć zmiany związane z WPP wpływają na starsze opcje wdrażania drukarek przez Group Policy (które zależały od tradycyjnej architektury print server).

WPP nie usuwa podatności w firmware drukarek. Ochrona działa na poziomie stosu wydruku w Windows. Jeśli firmware drukarki ma lukę, WPP tego nie zmieni.

Wszystkie drukarki nieobsługujące IPP przestają działać

Wszystko, co zostało zainstalowane przy użyciu sterowników V3 lub V4 firm trzecich, nie jest ładowane i przestaje działać. Istniejące kolejki wydruku oparte na tych sterownikach stają się nieaktywne.

Nowe instalacje sterowników są blokowane

Funkcja Point-and-print jest wyłączona. Ręczne instalacje za pomocą plików INF lub instalatorów producentów kończą się niepowodzeniem. Group Policy nie może ponownie włączyć instalacji sterowników.

Funkcja Internet Printing Client jest usuwana

To osobna funkcja Windows, na której opierają się niektóre rozwiązania do drukowania. Późniejsze wyłączenie WPP nie powoduje jej automatycznej ponownej instalacji.

XPS i wbudowany faks są usuwane

Obie funkcje są w trybie WPP uznawane za przestarzałe i zostają odinstalowane po jego włączeniu.

OneNote (Desktop) Is Replaced

Standardowe drukowanie do OneNote zostaje odinstalowane. W systemie Windows 11 w wersji 26 100 lub nowszej, przy aplikacji OneNote w wersji 2410 lub nowszej, zastępuje je nowa chroniona wirtualna drukarka „OneNote (Desktop) Protected virtual printer”.

Only Mopria-Certified Printers Work Natively

Older printers and printers from manufacturers that haven't certified through Mopria don't appear as available print destinations.

Requirements for WPP

To use WPP, an environment needs:

A supported operating system: Windows 11 version 24H2 or later, or Windows Server 2025 or later.
Mopria-certified printers. The Mopria Alliance maintains a public list of certified devices. Most modern printers from major manufacturers (Canon, HP, Epson, Brother, Lexmark, Ricoh, Toshiba, Xerox) include Mopria certification, though feature support varies. Older printers and many specialty devices (label printers, plotters, industrial printers) are often not Mopria-certified.
IPP and IPPS enabled on the printer. The setting name varies by manufacturer.
Network reachability on TCP port 631. Firewall rules must allow IPP traffic between the Windows machine and the printer. If the environment enforces encrypted printing (IPPS), port 443 must also be unblocked.
The Microsoft IPP class driver. Installed by default with Windows. No additional driver download is required.

For vendor-specific features beyond the standard IPP set, the manufacturer must publish a Print Support App through the Microsoft Store, and the user or organization must install it.

Enabling WPP

WPP can be enabled in three ways.

Via Windows Settings: Settings → Bluetooth and Devices → Printers and scanners → scroll to Printer Preferences → Windows Ready Print (previously labeled Windows protected print mode) → Set up. The user must have local administrator rights.

Via Group Policy: Computer Configuration → Administrative Templates → Printers → Configure Windows Ready Print (previously labeled Windows protected print) → Edit. The Group Policy ADMX template for WPP is included in current Windows 11 and Server 2025 versions.

Via the Registry: Keys live at HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Printers\\WPP. Set the WindowsProtectedPrintModeDWORD value to 1 to enable.

A system reboot may be needed for the change to take full effect, particularly when removing existing TCP/IP print queues that don't get cleaned up on the first toggle.

Disabling WPP

WPP can be turned off through the same three paths in reverse. Disabling WPP does not undo the changes that happened when it was first enabled.

⚠️ Removed drivers do not reinstall automatically. Removed Windows features (Internet Printing Client, XPS, built-in fax) do not return on their own. Existing print queues that depended on removed drivers must be rebuilt. WPP is straightforward to turn on. Reverting cleanly is a project.

ezeep and WPP

How ezeep Approaches WPP

ezeep's cloud-rendered, driverless print model aligns with where Microsoft is taking Windows. The latest ezeep App for Windows is a dedicated Windows application that allows ezeep-managed printers to be mapped on user devices even when WPP is enabled. It uses ezeep's cloud rendering, so no local drivers are required. Users keep printing to ezeep printers without disabling WPP, and the security level the IT team chose stays intact.

Windows Ready Print (WPP): The IT Admin Readiness Checklist

Audit your fleet for Mopria, then see the driverless solution that makes any printer WPP-ready.

Windows Ready Print (WPP) Fleet Migration Guide

See how much of your fleet is WPP-ready, isolate the legacy tail, and follow a plan to the July 2027 cutoff.

windows-protected-print-enterprise-guide

Windows Ready Print (WPP): The Enterprise Guide

The 3 Microsoft driver deadlines, how to audit your fleet for Mopria, and 4 paths for printers that break.

Frequently Asked Questions

Curious about how it all works? Here's everything you wanted to know about ezeep's cloud printing solution.

No. As of mid-2026, WPP is disabled by default in all Windows versions that support it. The Windows Ready Print toggle in Settings controls IPP-by-default behavior for new installs - that's on from July 2026. Full WPP enforcement is a separate, stricter step. Microsoft has indicated WPP will become the default by 2027.

Windows Ready Print is Microsoft's name for the modern, IPP-based print platform introduced across Windows 11 and Windows Server 2025. It defaults to IPP for new printer installations but keeps legacy OEM drivers available as a fallback. Windows Protected Print Mode (WPP) is the strict enforcement layer on top o fit - when WPP is enabled, legacy drivers are removed entirely and only Mopria-certified printers work. One is a preference; the other is an enforcement.

No. Only printers that are Mopria-certified and reachable via the Microsoft IPP class driver work natively. Older printers and many specialty devices (some plotters, label printers, industrial devices) are not Mopria-certified and will not appear as available printers when WPP is on. Basic printing usually works on certified models; advanced features often require a Print Support App from the manufacturer.

WPP itself can be turned off. The changes it triggered when first enabled (removed drivers, removed Windows features, deleted print queues) do not automatically reverse. Each removed component must be reinstalled or rebuilt manually.

No. WPP is a Windows endpoint security feature that changes how printing works on individual Windows machines. It is not a print management platform and doesn't provide centralized printer deployment, user controls, or reporting.

WPP is not required by any specific compliance framework today. It is one approach to reducing print stack risk. Other architectures (cloud-rendered printing, for example) address the same risk in a different way.

The Microsoft IPP class driver does not output PostScript. It outputs PWG Raster, PCLm, or other IPP-supported formats depending on what the printer accepts. Workflows that depended on PostScript output need to be re-evaluated.

WPP is a Windows OS-level security feature that restricts how local printing works on each Windows machine. Windows Ready Print is the name for the broader modern print platform WPP enforces strictly. Universal Print is a separate Microsoft cloud service for centralized printer management. All three relate to Microsoft's modernization of the print stack, but solve different problems.

WPP is a Windows-specific feature. Mac and Linux clients are not directly affected. However, if Mac or Linux clients print through a Windows print server, changes to that server's print stack (driver removal, queue rebuild) will affect them indirectly.

WPP changes how local Windows machines handle printer drivers. Traditional print servers that rely on shared V3 or V4 drivers are affected because the client side cannot load those drivers anymore. Some queue deployment workflows that depend on the older driver model will need to be re-architected.

Czym jest Windows Ready Print (WPP)?