Windows Protected Print Mode: stampa senza bisogno di driver

Windows 11

Il meccanismo di stampa in Windows sta per cambiare, in modo radicale. Come avevamo anticipato già qualche mese fa, Microsoft è in procinto di assumere una scelta draconiana: i driver di stampa non saranno più disponibili su Windows Update. Potranno essere sempre scaricati e installati manualmente dai siti Web dei vari produttori ma l’intento dell’azienda di Redmond è adesso quello di investire su Windows Protected Print Mode.

Windows Protected Print Mode: cos’è, come funziona e cosa cambia per gli utenti

Con l’avvento delle future versioni di Windows, la nuova Windows Protected Print Mode consentirà di stampare appoggiandosi a prodotti Mopria compatibili. Mopria è un consorzio formato nel 2013 da aziende leader nel settore della stampa e della tecnologia, che hanno collaborato per sviluppare standard e promuovere soluzioni di stampa universalmente apprezzate, partendo dal segmento mobile (stampa da smartphone e tablet).

Oggi l’idea è quella di estendere l’uso di Mopria a una platea ancora più vasta di utenti rendendo lo standard centrale in ambiente Windows. Windows Protected Print Mode è progettata proprio per dialogare con le stampanti certificate Mopria. Che non devono più dipendere da alcun driver di terze parti installato a livello di sistema operativo.

Grazie a Windows Protected Print Mode l’idea di Microsoft è che le stampanti “semplicemente funzionino”, mettendo gli utenti nelle condizioni di inviare direttamente i lavori in stampa.

La relazione tra Mopria e IPP (Internet Printing Protocol)

IPP, acronimo di Internet Printing Protocol, è un protocollo di comunicazione che consente ai vari dispositivi di inviare istruzioni ai dispositivi di stampa presenti in rete. Mopria non solo utilizza il protocollo IPP per facilitare la comunicazione tra dispositivi e stampanti ma definisce linee guida e specifiche per implementare un’esperienza di stampa esente da problemi. E ciò con il preciso obiettivo di garantire la compatibilità tra dispositivi e stampanti di produttori differenti.

Già oggi, come abbiamo spiegato nell’articolo citato in apertura, Microsoft valuta come legacy tutti i driver di stampa che non sfruttano l'”accoppiata” Mopria-IPP: tant’è vero che a partire dal 2026-2027 i vecchi driver saranno dapprima nascosti per poi non essere più installabili attraverso Windows Update.

È vero che si tratta di un processo lungo (si sviluppa lungo una finestra temporale ampia qualche anno…) ma Microsoft riconosce che intervenire sulle basi del funzionamento dei driver di stampa, rappresenta non poche criticità.

Come si comporta Windows Protected Print Mode una volta abilitata

Johnathan Norman, responsabile del Microsoft Offensive Research & Security Engineering (MORSE), spiega che dopo aver attivato la modalità Windows Protected Print, il sistema operativo impedisce automaticamente la possibilità di installare e usare driver di stampa di terze parti.

I vantaggi che scaturiscono da questo approccio non hanno solamente importati implicazioni in termini di compatibilità e interoperabilità ma anche e soprattutto sul versante della sicurezza. Abbiamo visto in passato che molti bug legati al sottosistema di stampa hanno portato ad attacchi informatici di vaste proporzioni. Si pensi alle vulnerabilità PrintNightmare, nello spooler di stampa, che hanno favorito la nascita di un ampio ventaglio di ransomware oppure Stuxnet, worm noto per essere stato progettato al fine di attaccare specifici sistemi di controllo industriale.

Stuxnet, che mirava ai sistemi SCADA (Supervisory Control and Data Acquisition) utilizzati per controllare e monitorare processi industriali, inclusi quelli delle centrali nucleari, si diffondeva facendo leva su una lacuna di sicurezza nei driver delle stampanti Windows condivise in ambito locale.

Windows Protected Print Mode è già di per sé in grado di mitigare le vulnerabilità tipicamente scoperte nelle implementazioni dei driver di stampa legacy. Basti pensare che il servizio legato allo spooler della stampante non sarà più eseguito con i diritti SYSTEM bensì con un ventaglio di privilegi molto limitato.

Il grande investimento sulla sicurezza del sistema

I tecnici Microsoft spiegano che Windows Protected Print Mode ridurrà drasticamente l’accesso a risorse di sistema e privilegi: il processo spooler è perciò destinato a diventare un componente software sempre meno oggetto di attacco.

Norman ha inoltre aggiunto che numerosi componenti RPC (Remote Procedure Call), in passato ripetutamente presi di mira dai criminali informatici, saranno disattivati e poi eliminati. Tutta una serie di accortezze tecniche, consentiranno di ridurre la superficie di attacco, scongiurando anche l’eventuale creazione di “processi figlio” e l’attivazione di reindirizzamenti.

Gli ingegneri Microsoft chiariscono che con Windows Protected Print Mode, l’obiettivo è quello di fornire la configurazione più sicura possibile. Garantendo comunque gli utenti la possibilità di tornare eventualmente all’utilizzo di un driver di stampa legacy in caso di problemi.

Come attivare Windows Protected Print Mode

Per adesso, Windows 11 build 26016 è la prima versione del sistema operativo Microsoft ad abbracciare la nuova modalità Windows Protected Print.

Soltanto gli utenti iscritti al programma Windows Insider possono per il momento mettere alla prova la nuova funzionalità di stampa. L’attivazione di Windows Protected Print Mode si concretizza premendo la combinazione di tasti Windows+R, digitando gpedit.msc, cliccando su Configurazione computer, Modelli amministrativi, Stampanti e infine su Configura Windows Protected Print nel pannello di destra.

La policy in questione deve essere quindi abilitata selezionando l’opzione Attivata quindi facendo clic sul pulsante OK.

Maggiori informazioni sono reperibili nell’approfondimento Microsoft dal titolo “A new, modern, and secure print experience from Windows“.

Credit immagine in apertura: iStock.com/Asawin_Klabma