http://tinyurl.com/25nbve94
这个主要是解决Windows环境下打印系统的安全性,一直以来打印伫列因为有较高权限的
特性所以经常被用来植入恶意文件,也是微软经常需要为Winodws修补的漏洞之一(利用此
漏洞来攻击的著名的案例有Stuxnet和Print Nightmare)
除了打印伫列的漏洞之外,另一个难题是部分打印机的驱动程式较为老旧无法与现有的
Windows安全性匹配,造成控制流程防护(Control Flow Guard,CFG)、控制流强制技术
(Intel Control-Flow Enforcement Technology,CET)和任意程式码保护(Arbitrary
Code Guard,ACG)都无法与驱动程式相容造成资安上的风险
对此微软推出Windows受保护打印模式(Windows Protected Print Mode,WPP),在开启
WPP模式下的Windows将会停用第三方的打印驱动程式,仅支援Mopria认证的打印机,也
会使用新的打印伫列
在安全性方面,WPP模式下会解决以往被滥用的打印机连接埠配置、更新老旧的应用程式
UI来减少恶意程式利用打印伫列来窜改系统档案。在新的应用程式UI环境下也禁止加载
其他第三方模组,只能加载微软签署的互联网打印协定(IPP)的二进制置档案
其他安全性改善还有将XPS渲染改为以使用者的权限执行来降低内存损毁漏洞风险,
将打印伫列改为以使用者的权限来执行。搭配前面所提到CFG、CET、ACG等安全性防护可
以提高系统的安全性
目前WPP只提供给Windows Insider测试,且已经在Build 26016上进行测试