Visão geral

O que é o Windows Protected Print Mode (WPP)?

O novo modelo de impressão sem driver da Microsoft para o Windows. O que ele faz, o que afeta, quando se tornará padrão e o que a equipe de TI precisa saber antes de planejar.

Definição do Windows Protected Print Mode

Windows Protected Print Mode (WPP) é um recurso de segurança da Microsoft, introduzido no Windows 11 versão 24H2 (outubro de 2024) e no Windows Server 2025, que restringe a impressão a um modelo sem driver baseado em IPP. Quando o WPP está ativado, os drivers de impressora de terceiros são removidos do sistema e a instalação de novos drivers é bloqueada. Apenas impressoras que usam o driver de classe IPP da Microsoft, que se comunica com Mopria-certificadas, funcionam nativamente. O recurso faz parte do esforço mais amplo da Microsoft para reforçar a pilha de impressão do Windows contra vulnerabilidades como o PrintNightmare.

A partir de meados de 2026, o WPP estará desativado por padrão em todas as versões do Windows que o suportam. Usuários com direitos de administrador local podem ativá‑lo nas Configurações do Windows. Administradores de TI podem habilitar ou bloquear o WPP por meio da Política de Grupo ou do Registro do Windows. A Microsoft afirmou que o WPP se tornará o padrão até 2027, embora nenhuma data específica tenha sido publicada. A transição é gradual: o WPP pode ser testado hoje, ativado em máquinas ou grupos de usuários específicos agora e implementado amplamente antes que a data de ativação padrão chegue.

Por que a Microsoft criou o WPP

As vulnerabilidades do print spooler têm sido um problema recorrente no Windows há anos. PrintNightmare (CVE-2021-34527) foi o exemplo mais conhecido publicamente, mas foi um de uma longa série de exploits baseados no spooler. A causa raiz era consistente. Drivers de impressora de terceiros rodam com privilégios elevados, e o print spooler do Windows precisava confiar no código do driver de cada fornecedor para operar.

O WPP fecha essa lacuna ao remover completamente os drivers de terceiros da pilha de impressão. A decisão também se alinha com a direção mais ampla do sistema operacional Windows. Menos código de terceiros com direitos elevados, mais sandboxing, mais componentes verificados. Recursos modernos como o Smart App Control e a descontinuação de certos drivers legados apontam na mesma direção. O WPP é a versão para impressão dessa mudança.

 

Como funciona

Como o Windows Protected Print Mode (WPP) funciona

A arquitetura é fundamentalmente diferente da pilha de impressão que o Windows usou nos últimos vinte anos. No modelo tradicional, cada impressora precisava de um driver do fornecedor instalado localmente em cada máquina Windows. O driver traduzia os trabalhos de impressão em comandos específicos do dispositivo e rodava com privilégios elevados para fazer isso. Com o WPP, quatro coisas mudam.

Apenas o driver de classe IPP da Microsoft

O driver de classe IPP passa a ser o único driver de impressora que o sistema operacional carregará. É um driver genérico incorporado ao Windows que suporta o Internet Printing Protocol (IPP), um padrão aberto que a maioria das impressoras de rede modernas já implementa.

Apenas o driver de classe IPP da Microsoft

Drivers V3 e V4 de terceiros são bloqueados

O V3 é o modelo de driver mais antigo que foi alvo do PrintNightmare e de muitos exploits semelhantes. O V4 é o modelo mais novo que a Microsoft introduziu com o Windows 8. Nenhum deles é carregado quando o WPP está ativado.
Drivers V3 e V4 de terceiros são bloqueados

Recursos de fornecedores executados por meio de aplicativos de suporte à impressão

Os PSAs são aplicativos UWP em sandbox distribuídos na Microsoft Store. Eles gerenciam opções de acabamento (grampeamento, perfuração, dobra em livreto), configurações avançadas e outras funcionalidades específicas do fornecedor sem tocar no print spooler. O driver em si não muda. Funcionalidades opcionais são adicionadas em camadas pelo aplicativo.
Recursos de fornecedores executados por meio de aplicativos de suporte à impressão

A comunicação ocorre por IPP

O tráfego de impressão passa pelo IPP, geralmente na porta 631 (TCP e UDP). A impressora precisa estar acessível por essa porta, e os protocolos IPP ou IPPS devem estar habilitados no dispositivo (o nome exato da configuração varia conforme o fabricante).
A comunicação ocorre por IPP

O que o WPP não faz

Alguns pontos surgem repetidamente em conversas sobre o WPP e merecem esclarecimento, porque costumam ser mal compreendidos.

O WPP não substitui uma solução de gerenciamento de impressão corporativa. Ele não fornece Pull Printing, impressão follow-me, autenticação de usuário no dispositivo, contabilização, cotas ou rastreamento de documentos. Essas são categorias de recursos distintas.

O WPP não criptografa os trabalhos de impressão de ponta a ponta. O IPP suporta IPPS (IPP sobre HTTPS) para criptografia em trânsito entre a máquina Windows e a impressora, mas isso é proteção ao nível de transporte, não criptografia a nível de documento.

O WPP não oferece implantação centralizada de impressoras. Ele restringe como as impressoras podem ser instaladas localmente em cada máquina Windows, mas não fornece um plano de gerenciamento central. A Diretiva de Grupo (Group Policy) pode gerenciar o próprio WPP, embora as opções mais antigas de implantação de impressoras da Diretiva de Grupo — que dependiam da arquitetura tradicional de servidor de impressão — sejam afetadas pelas mudanças relacionadas ao WPP.

O WPP não trata vulnerabilidades de firmware da impressora. A proteção está na camada da pilha de impressão do Windows. Se o firmware de uma impressora tiver uma vulnerabilidade, o WPP não muda isso.

O que muda

O que muda quando você ativa o WPP

A mudança é maior do que o nome sugere. Quando o WPP é ativado, seis coisas mudam.

Todas as impressoras não compatíveis com IPP deixam de funcionar

Qualquer driver V3 ou V4 de terceiros instalado é descarregado e deixa de funcionar. As filas de impressão existentes que dependiam desses drivers ficam inativas.

Todas as impressoras não compatíveis com IPP deixam de funcionar

Novas instalações de drivers são bloqueadas

O Point and Print é desativado. Instalações manuais via arquivos INF ou instaladores do fabricante falham. A Diretiva de Grupo não pode reativar a instalação de drivers.

Novas instalações de drivers são bloqueadas

O recurso Cliente de Impressão da Internet é removido

Esse é um recurso separado do Windows do qual algumas soluções de impressão dependem. Desativar o WPP depois não o reinstala automaticamente.

O XPS e o fax integrado são removidos

Ambos ficam obsoletos com o WPP e são desinstalados quando o recurso é ativado.

O XPS e o fax integrado são removidos

O OneNote (Desktop) é substituído

A impressão padrão do OneNote é removida. No Windows 11 26100 ou superior, com a versão 2410 ou posterior do app OneNote, ela é substituída pela nova "OneNote (Desktop) Protected virtual printer".

Apenas impressoras com certificação Mopria funcionam nativamente

Impressoras mais antigas e de fabricantes sem certificação Mopria não aparecem como destinos de impressão disponíveis.

Requisitos e configuração do WPP

Requisitos para o WPP

Para usar o WPP, o ambiente precisa de:

  • Um sistema operacional compatível: Windows 11 versão 24H2 ou posterior, ou Windows Server 2025 ou posterior.
  • Impressoras certificadas pela Mopria. A Mopria Alliance mantém uma lista pública de dispositivos certificados. A maioria das impressoras modernas dos principais fabricantes (Canon, HP, Epson, Brother, Lexmark, Ricoh, Toshiba, Xerox) inclui a certificação Mopria, embora o suporte a recursos varie. Impressoras mais antigas e muitos dispositivos especiais (impressoras de etiquetas, plotters, impressoras industriais) geralmente não são certificadas pela Mopria.
  • IPP e IPPS ativados na impressora. O nome da configuração varia conforme o fabricante.
  • Acessibilidade de rede pela porta TCP 631. As regras de firewall devem permitir o tráfego IPP entre a máquina Windows e a impressora. Se o ambiente exigir impressão criptografada (IPPS), a porta 443 também deve ser desbloqueada.
  • O driver de classe IPP da Microsoft. Instalado por padrão no Windows. Não é necessário baixar nenhum driver adicional.

Para recursos específicos do fornecedor além do conjunto padrão IPP, o fabricante deve publicar um Print Support App na Microsoft Store, e o usuário ou a organização precisam instalá‑lo.

Ativando o WPP

O WPP pode ser ativado de três maneiras.

Via Configurações do Windows: Configurações → Bluetooth e dispositivos → Impressoras e scanners → role até Preferências da impressora → Modo de impressão protegida do Windows → Configurar. O usuário deve ter privilégios de administrador local.

Via Diretiva de Grupo: Configuração do Computador → Modelos Administrativos → Impressoras → Configurar impressão protegida do Windows → Editar. O modelo ADMX da Diretiva de Grupo para WPP está incluído nas versões atuais do Windows 11 e do Windows Server 2025.

Via Registro: As chaves estão em HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Printers\\WPP.Defina o WindowsProtectedPrintModevalor DWORD como 1 1 para ativar.

Pode ser necessário reiniciar o sistema para que a alteração tenha efeito completo, especialmente ao remover filas de impressão TCP/IP existentes que não são limpas na primeira alternância.

Desativando o WPP

O WPP pode ser desativado pelos mesmos três caminhos, na ordem inversa. Desativar o WPP não desfaz as alterações que ocorreram quando ele foi ativado pela primeira vez.

⚠️ Drivers removidos não são reinstalados automaticamente. Recursos removidos do Windows (Internet Printing Client, XPS, fax integrado) não retornam por conta própria. As filas de impressão existentes que dependiam dos drivers removidos devem ser recriadas. Ativar o WPP é simples. Reverter o processo de forma limpa é um projeto por si só.

ezeep e WPP

Como a ezeep aborda o WPP

O modelo de impressão sem driver da ezeep, com cloud rendering, está alinhado com o rumo que a Microsoft está dando ao Windows. O mais recente ezeep App for Windows é um aplicativo dedicado para Windows que permite mapear impressoras gerenciadas pela ezeep nos dispositivos dos usuários, mesmo com o WPP ativado. Ele usa o cloud rendering da ezeep, portanto não são necessários drivers locais. Os usuários continuam imprimindo em impressoras gerenciadas pela ezeep sem precisar desativar o WPP, e o nível de segurança definido pela equipe de TI permanece intacto.

Saiba mais sobre o Print App da ezeep
print-from-windows
Artigos relacionados

Mergulhe no Mundo da ezeep

what-is-cloud-printing

O que é impressão em nuvem?

Os fundamentos: o que é a impressão em nuvem e o que ela substitui.

O que é impressão em nuvem?
cloud-print-security

Segurança da impressão em nuvem

Como a remoção de drivers fortalece sua postura de segurança.

Segurança da impressão em nuvem
how-cloud-printing-works

Como a impressão em nuvem funciona

A arquitetura completa: do dispositivo à nuvem e até a impressora.

Como a impressão em nuvem funciona

Perguntas frequentes

Curioso para saber como tudo funciona? Aqui está tudo o que você queria saber sobre a solução de impressão em nuvem da ezeep.

O Windows Protected Print Mode vem ativado por padrão?

Não. A partir de meados de 2026, o WPP vem desativado por padrão em todas as versões do Windows que o suportam. A Microsoft indicou que o WPP se tornará o padrão até 2027.

Posso usar qualquer impressora com o WPP?

Não. Apenas impressoras com certificação Mopria e acessíveis através do driver de classe IPP da Microsoft funcionam nativamente. Impressoras mais antigas e muitos dispositivos especializados (alguns plotters, impressoras de etiquetas, dispositivos industriais) não têm certificação Mopria e não aparecerão como impressoras disponíveis quando o WPP estiver ativado. A impressão básica geralmente funciona em modelos certificados; recursos avançados frequentemente exigem um Print Support App do fabricante.

Posso reverter as alterações que o WPP faz?

O WPP em si pode ser desativado. As alterações que ele provocou quando foi ativado pela primeira vez (remoção de drivers, remoção de recursos do Windows, exclusão de filas de impressão) não são revertidas automaticamente. Cada componente removido deve ser reinstalado ou recriado manualmente.

O WPP substitui o meu servidor de impressão?

Não. O WPP é um recurso de segurança de endpoint do Windows que muda a forma como a impressão funciona em máquinas Windows individuais. Ele não é uma plataforma de gerenciamento de impressão e não oferece implantação centralizada de impressoras, controles de usuário ou relatórios.

O WPP é necessário para conformidade?

Hoje, o WPP não é exigido por nenhum framework de conformidade específico. É uma abordagem para reduzir o risco da pilha de impressão. Outras arquiteturas (impressão com cloud rendering, por exemplo) tratam o mesmo risco de maneira diferente.

O PostScript ainda funciona com o WPP?

O driver de classe IPP da Microsoft não gera saída PostScript. Ele gera PWG Raster, PCLm ou outros formatos suportados por IPP, dependendo do que a impressora aceita. Fluxos de trabalho que dependiam de saída em PostScript precisam ser reavaliados.

Qual a diferença entre o WPP e o Universal Print?

O WPP é um recurso de segurança do sistema operacional Windows que restringe o funcionamento da impressão local em cada máquina Windows. O Universal Print é um serviço de nuvem separado da Microsoft que fornece gerenciamento centralizado de impressoras e impressão em nuvem baseada em IPP. Os dois podem ser usados juntos, mas resolvem problemas diferentes.

O WPP afeta clientes macOS ou Linux?

O WPP é um recurso específico do Windows. Clientes macOS e Linux não são afetados diretamente. No entanto, se clientes macOS ou Linux imprimirem por meio de um servidor de impressão Windows, alterações na pilha de impressão desse servidor (remoção de drivers, recriação da fila) afetarão esses clientes indiretamente.

O WPP funciona com servidores de impressão tradicionais?

O WPP altera a forma como as máquinas Windows locais lidam com os drivers de impressora. Servidores de impressão tradicionais que dependem de drivers V3 ou V4 compartilhados são afetados, porque o cliente não consegue mais carregar esses drivers. Alguns fluxos de trabalho de implantação de filas que dependem do modelo de driver mais antigo precisarão ser rearquitetados.

Back to top

Quer uma impressão que funcione com o WPP?

O ezeep é gratuito para até 10 usuários. Configure em minutos e veja como o cloud rendering funciona em qualquer configuração do Windows, incluindo o WPP.

ezeep-chart (1)