Perinteinen Windows -tulostaminen on pysynyt tekniseltä kantilta katsottuna ennallaan noin viimeisimmät 25 vuotta. Niin sanottuja V3 mallin tulostinajureita on käytetty Windows 2000 käyttöjärjestelmästä lähtien, aina tähän päivään saakka. Ja mitä tulee tulostustöiden tiedonsiirtoon, useimmiten käytössä olevat RAW 9100, tai LPD/LPR, protokollat, ovat vielä tätäkin vanhempia.
Valmistajien omat ajurit käyttävät myös kymmeniä eri tulostuskieliä. Asiakkailla on käytössä näistä ajureista tuhansia eri versioita, usein sangen ikääntyneitä sellaisia. Johtuen massiivisesta skaalasta eri ajureita ja versioita, tulostuksen ydinprosessi, eli ns. Print Spooler, ajetaan työasemissa ja palvelimissa SYSTEM- tilillä.
Edellä mainitulla taataan toimivuus ja yhteensopivuus näille kaikille eri ajureille ja niiden versioille sekä ominaisuuksille. Tämä mainittu tili on siis käytännössä korkeimpien mahdollisten käyttöoikeuksien tili, jota Windows hyödyntää moniin eri tarkoituksiin, usein taustalla käyttäjän näkymättömissä.
Johtuen vanhoista tietoliikenneprotokollista, jotka eivät tue moderneja salauksia, sekä ajurien ja print spoolerin edellä mainituista haasteista, tulostusprosesseihin liittyvät kyberhyökkäykset ovat olleet viime vuosina kovassa suosiossa.
Microsoftin raportin mukaan tulostukseen liittyvät hyökkäykset ja hyväksikäytöt kattoivat 9 % kaikista heidän Security Response Centeriin tulleista tapauksista. Monet etenkin IT- osastoilla työskentelevät varmasti muistavatkin esimerkiksi vuoden 2021 ”Print Nightmare” sopan.
Tämä kaikki yllä mainittu johti viimein siihen, että Microsoft julkaisi uuden tulostustavan, nimeltään Windows Protected Print. Suomeksi tämä on käännetty esimerkiksi Windows 11:ssa: Windowsin Suojattu Tulostustila. Ominaisuus on julkaistu Windows 11 päivityspaketissa 24H2, joka tuli ladattavaksi lokakuun alussa.
Päivityspaketin lataaminen ja asennus ei vielä tee mitään toimenpiteitä tällä hetkellä, sillä uusi suojattu tulostustila on oletuksena pois päältä. Se on kuitenkin nyt Windowsin asetuksista laitettavissa päälle parilla klikkauksella. Huomioitavaa ja tärkeää tiedostettavaa kuitenkin on siinä, mitä tapahtuu, jos tämän päätät tehdä.
Kun klikkaat ominaisuuden käyttöön, ja hyväksyt tämän yhteydessä tulevat pari huomautus- ja varoitusikkunaa, Windows poistaa koneeltasi kaikki vanhat laitevalmistajien tulostusajurit, sekä näitä käyttävät tulostusjonot. Kuten myös kaikki vanhat TCP/IP tulostusportit, joita on mahdollisesti ollut käytössä. Poistoon menee myös osa ns. softatulostimista, esimerkiksi mahdolliset vanhat OneNote tulostimet.
Tapahtuu siis useimmissa koneissa suhteellisen totaalinen siivous järjestelmän tulostimille. Tämän jälkeen myöskään ei ole enää mahdollista, ominaisuuden päällä ollessa, asentaa takaisin omia tulostimia käyttäen vanhoja ajureita, tai normaaleja TCP/IP yhteyksiä RAW/LPD protokollilla.
Sallittuna on ainoastaan asennus IPP- protokollalla, ja käyttöön tulee automaattisesti Windowsin oma IPP Class driver ajuri.
Huomioitavaa ja tiedettävää on myös se, että toiminteen käyttöönotto ei automaattisesti päivitä omia tulostimiasi toimimaan uudella tavalla, vaan kaikki on asennettava käsin uudestaan takaisin. Miksi näin siis tehdään?
Kuten yllä mainittua, käytössä on maailmanlaajuisesti valtava katras eri valmistajien ajureita, jotka vaativat erilaisia pääsyjä järjestelmän tietoihin. Microsoftin kädet ovat siis hyvin sidotut siinä, mitä rajoituksia tai muutoksia he voivat, tai uskaltavat, julkaista tulostuksen käsittelyyn, vaikka kyse olisikin niin tärkeästä asiasta, kun tietoturvasta.
Muistamme tosiaan vuoden 2021 Print Nightmare- tapauksen, ja hässäkät, joita siitä tuli maailmanlaajuisesti. Ratkaisu on siis asettaa kaikki tulostuksen tapahtumaan yhdellä ajurilla, käyttäen yhtä ja samaa tiedonsiirtoprotokollaa. Tällöin näille voidaan kontrolloidusti julkaista päivitykset ja korjaukset.
Työasemakäyttöjärjestelmän puolesta, kuten mainittua, tuki tuli Windows 11 versiossa 24H2. Palvelinpuolella sama löytyy Windows Server 2025 versiosta. Tulostinlaitteiden osalta Microsoft on ilmoittanut, että kaikki Mopria sertifioidut tulostimet ovat yhteensopivia uuden tulostustavan kanssa.
Tässä saattaa herätä monilla heti kysymys, että mikä kumma tuo Mopria sitten on?
Mopria Alliance on edustamamme Canonin, yhteistyössä HP:n, Xeroxin ja Samsungin kanssa, perustama järjestö. Heidän tavoitteenansa on luoda yhtenäistetty universaali tapa tulostaa ja skannata.
Jos tiedät oman tulostimesi ominaisuudet, ja ymmärrät aiheutuvat asiat, voit ottaa ominaisuuden käyttöön. Oletuksena se kuitenkin vielä pitkään tulee olemaan pois päältä.
Isommissa yritysympäristöissä suosittelemme toistaiseksi IT-ylläpitäjiä varmistamaan, että käyttäjät eivät pystyisi klikkaamaan ko. asetusta päälle omin toimin hallitsemattomasti. Toki se, että toimenpide vaatii paikallisen järjestelmänvalvojan oikeudet, rajoittaa jo monissa paikoissa asiaa.
Hallittujen turvatulostusympäristöjen osalta Marskidatan tarjoamat uniFLOW ja uniFLOW Online ratkaisut ovat parhaillaan kehityksessä ja varmistamassa viimeisimpien Mopria määritysten sertifioinnit. Canonilla on mainio lähtökohta tämän uuden tulostustavan integroimiseen omiin tulostuksenhallintajärjestelmiinsä, ja sitä myöten toki sama pätee meihin Marskidatalla.
Tämä on isoin muutos normaalissa tulostamisessa todella pitkään aikaan, joten jos asiasta kysymyksiä ja kiinnostusta herää, niin olettehan rohkeasti yhteydessä. Paniikkia asian tiimoilta onneksi ei ole, sillä minkäänlaisia pakotuksia ei tule astumaan voimaan vielä toviin.
Kuten aina, on parempi olla liikkeellä ajoissa, eikä sitten aivan viime tingassa.
Lähteinä tekstissä on käytetty Windows protected print mode (eng.), More information on Windows protected print mode for enterprises (eng.), News - uniFLOW Online (eng.).
Lue myös tulostusympäristön tietoturvasta Tulostusympäristö voi olla riski tietoturvalle.
