Perinteinen Windows -tulostaminen on pysynyt tekniseltä kantilta katsottuna ennallaan noin viimeisimmät 25 vuotta. Niin sanottuja V3 mallin tulostinajureita on käytetty Windows 2000 käyttöjärjestelmästä lähtien, aina tähän päivään saakka. Ja mitä tulee tulostustöiden tiedonsiirtoon, useimmiten käytössä olevat RAW 9100, tai LPD/LPR, protokollat, ovat vielä tätäkin vanhempia.
Valmistajien omat ajurit käyttävät myös kymmeniä eri tulostuskieliä. Asiakkailla on käytössä näistä ajureista tuhansia eri versioita, usein sangen ikääntyneitä sellaisia. Johtuen massiivisesta skaalasta eri ajureita ja versioita, tulostuksen ydinprosessi, eli ns. Print Spooler, ajetaan työasemissa ja palvelimissa SYSTEM- tilillä.
Edellä mainitulla taataan toimivuus ja yhteensopivuus näille kaikille eri ajureille ja niiden versioille sekä ominaisuuksille. Tämä mainittu tili on siis käytännössä korkeimpien mahdollisten käyttöoikeuksien tili, jota Windows hyödyntää moniin eri tarkoituksiin, usein taustalla käyttäjän näkymättömissä.
Johtuen vanhoista tietoliikenneprotokollista, jotka eivät tue moderneja salauksia, sekä ajurien ja print spoolerin edellä mainituista haasteista, tulostusprosesseihin liittyvät kyberhyökkäykset ovat olleet viime vuosina kovassa suosiossa.
Microsoftin raportin mukaan tulostukseen liittyvät hyökkäykset ja hyväksikäytöt kattoivat 9 % kaikista heidän Security Response Centeriin tulleista tapauksista. Monet etenkin IT- osastoilla työskentelevät varmasti muistavatkin esimerkiksi vuoden 2021 ”Print Nightmare” sopan.
Tämä kaikki yllä mainittu johti viimein siihen, että Microsoft julkaisi uuden tulostustavan, nimeltään Windows Protected Print. Suomeksi tämä on käännetty esimerkiksi Windows 11:ssa: Windowsin Suojattu Tulostustila. Ominaisuus on julkaistu Windows 11 päivityspaketissa 24H2, joka tuli ladattavaksi lokakuun alussa.
Päivityspaketin lataaminen ja asennus ei vielä tee mitään toimenpiteitä tällä hetkellä, sillä uusi suojattu tulostustila on oletuksena pois päältä. Se on kuitenkin nyt Windowsin asetuksista laitettavissa päälle parilla klikkauksella. Huomioitavaa ja tärkeää tiedostettavaa kuitenkin on siinä, mitä tapahtuu, jos tämän päätät tehdä.
Kun klikkaat ominaisuuden käyttöön, ja hyväksyt tämän yhteydessä tulevat pari huomautus- ja varoitusikkunaa, Windows poistaa koneeltasi kaikki vanhat laitevalmistajien tulostusajurit, sekä näitä käyttävät tulostusjonot. Kuten myös kaikki vanhat TCP/IP tulostusportit, joita on mahdollisesti ollut käytössä. Poistoon menee myös osa ns. softatulostimista, esimerkiksi mahdolliset vanhat OneNote tulostimet.
Tapahtuu siis useimmissa koneissa suhteellisen totaalinen siivous järjestelmän tulostimille. Tämän jälkeen myöskään ei ole enää mahdollista, ominaisuuden päällä ollessa, asentaa takaisin omia tulostimia käyttäen vanhoja ajureita, tai normaaleja TCP/IP yhteyksiä RAW/LPD protokollilla.
Sallittuna on ainoastaan asennus IPP- protokollalla, ja käyttöön tulee automaattisesti Windowsin oma IPP Class driver ajuri.
Huomioitavaa ja tiedettävää on myös se, että toiminteen käyttöönotto ei automaattisesti päivitä omia tulostimiasi toimimaan uudella tavalla, vaan kaikki on asennettava käsin uudestaan takaisin. Miksi näin siis tehdään?
Kuten yllä mainittua, käytössä on maailmanlaajuisesti valtava katras eri valmistajien ajureita, jotka vaativat erilaisia pääsyjä järjestelmän tietoihin. Microsoftin kädet ovat siis hyvin sidotut siinä, mitä rajoituksia tai muutoksia he voivat, tai uskaltavat, julkaista tulostuksen käsittelyyn, vaikka kyse olisikin niin tärkeästä asiasta, kun tietoturvasta.
Muistamme tosiaan vuoden 2021 Print Nightmare- tapauksen, ja hässäkät, joita siitä tuli maailmanlaajuisesti. Ratkaisu on siis asettaa kaikki tulostuksen tapahtumaan yhdellä ajurilla, käyttäen yhtä ja samaa tiedonsiirtoprotokollaa. Tällöin näille voidaan kontrolloidusti julkaista päivitykset ja korjaukset.
Työasemakäyttöjärjestelmän puolesta, kuten mainittua, tuki tuli Windows 11 versiossa 24H2. Palvelinpuolella sama löytyy Windows Server 2025 versiosta. Tulostinlaitteiden osalta Microsoft on ilmoittanut, että kaikki Mopria sertifioidut tulostimet ovat yhteensopivia uuden tulostustavan kanssa.
Tässä saattaa herätä monilla heti kysymys, että mikä kumma tuo Mopria sitten on?
Mopria Alliance on edustamamme Canonin, yhteistyössä HP:n, Xeroxin ja Samsungin kanssa, perustama järjestö. Heidän tavoitteenansa on luoda yhtenäistetty universaali tapa tulostaa ja skannata.
Jos tiedät oman tulostimesi ominaisuudet, ja ymmärrät aiheutuvat asiat, voit ottaa ominaisuuden käyttöön. Oletuksena se kuitenkin vielä pitkään tulee olemaan pois päältä.
Isommissa yritysympäristöissä suosittelemme toistaiseksi IT-ylläpitäjiä varmistamaan, että käyttäjät eivät pystyisi klikkaamaan ko. asetusta päälle omin toimin hallitsemattomasti. Toki se, että toimenpide vaatii paikallisen järjestelmänvalvojan oikeudet, rajoittaa jo monissa paikoissa asiaa.
Hallittujen turvatulostusympäristöjen osalta Marskidatan tarjoamat uniFLOW ja uniFLOW Online ratkaisut ovat parhaillaan kehityksessä ja varmistamassa viimeisimpien Mopria määritysten sertifioinnit. Canonilla on mainio lähtökohta tämän uuden tulostustavan integroimiseen omiin tulostuksenhallintajärjestelmiinsä, ja sitä myöten toki sama pätee meihin Marskidatalla.
Tämä on isoin muutos normaalissa tulostamisessa todella pitkään aikaan, joten jos asiasta kysymyksiä ja kiinnostusta herää, niin olettehan rohkeasti yhteydessä. Paniikkia asian tiimoilta onneksi ei ole, sillä minkäänlaisia pakotuksia ei tule astumaan voimaan vielä toviin.
Kuten aina, on parempi olla liikkeellä ajoissa, eikä sitten aivan viime tingassa.
Lähteinä tekstissä on käytetty Windows protected print mode (eng.), More information on Windows protected print mode for enterprises (eng.), News - uniFLOW Online (eng.).
Lue myös tulostusympäristön tietoturvasta Tulostusympäristö voi olla riski tietoturvalle.
Missä kaikessa törmää sanaan tietoturva, ihan peruskäyttäjän näkökulmasta? Ja pystyykö Marskidata pitelemään minua kädestä, ihan koko matkan ajan?
Et ole ehkä ajatellut jokaista vaihetta työkalujesi käytössä, esimerkiksi sitä, kuinka monta kertaa työnantajasi on määritellyt käyttöösi erinäisiä tietoturvaan liittyviä toimenpiteitä. Harva tietokone esimerkiksi aukeaa ilman salasanaa tai kasvojen/sormenjälkitunnistusta, jolla varmistetaan, että käyttäjä olet varmasti sinä.
Seuraavaksi ehkä avaat sähköpostin, johon saatat Single Sign Onin ansiosta päästä esimerkiksi Windowsin AD-tunnuksilla sisään. Viimeistään siinä vaiheessa, kun lähetät sähköpostin, joudut (toivottavasti) valitsemaan, lähteekö viesti salaamattomana, ja onko vaikka liitetiedosto jollain lailla suojattu? Tietokoneen kiintolevyt on puolestaan suojattu BitLockerilla ja ties millä.
Puhelimissakin on iät ja ajat ollut PIN-koodit, suojauskoodit, kasvojentunnistukset, sormenjälkitunnisteet ym. Kaikissa fyysisissä laitteissa, on lisäksi äärimmäisen tärkeää, että ohjelmistoversiot ovat ajan tasalla. Vanhentuneisiin ohjelmistoversioihin tehdään moninkertaisesti enemmän hyökkäysyrityksiä ja niiden haavoittuvuus on myös suurin syy, miksi niitä päivitetään. Kannattaakin tsekata kollegani Heikin blogi yrityksen tietoturvan parantamisesta.
Kuvitellaan, että yrityksesi käyttää Microsoft 365 -palveluita ja, että sähköpostiasi ja muita toimisto-ohjelmistojasi hallittaan niin sanotusti pilvessä. Tiedostot asuvat tällöin Microsoftin pilvessä, käyttäjätunnukset ovat Microsoftin pilvessä, samoin salasanat, asiakasdokumentit, tietosuojan piirissä olevat henkilötiedot ja niin edelleen.
Tietokoneesi on kaiketi yhdistetty internettiin ja kun avaat selaimen, pääset ainoastaan ’sallittuihin’ verkko-osoitteisiin. Selaimen ohella koneellasi on ainoastaan sallittuja ohjelmistoja.
Muistathan myös, että kaikki internetiä käyttävät laitteet, kulkevat verkossa, eli verkkokin on hyvä suojata. Etätyöskennellessäsi luultavasti yritys on ratkaissut ongelman turvallisella VPN-ohjelmistolla, mutta toimistossa kiinteä verkko on suojattu palomuurilla, jossa taas on määritelty hyvinkin monta suojausmekanismia, sallituista ohjelmistoista ja sivuostoista myös sisäänpäin, laitteisiin, kuten tulostimiin, fakseihin, langattomiin tukiasemiin ja niin edelleen.
Koko liikennettä yrityksen laitteissa, verkoissa, palvelimella ja pilvessä valvotaan ja näissä käytetään automatisoituja mekanismeja suojautumiseen. MDR-palvelu (Managed Detection and Response), tulee olemaan käytössä 50 % organisaatioita, vuoteen 2025 mennessä, sanoo kaikki tietävä Gartner (vuonna 2021). Eli kyberuhkilta suojaudutaan härmäläisittäin havaitsemalla ja palautumalla. Tähän liittyen on hyvä tutustua Mikan blogiin kyberpalautumisesta ja Villen blogiin kiristyshyökkäyksistä.
Tietokoneellasi on pääkäyttäjäoikeudet, ainoastaan järjestelmänvalvojalla, joten tarvitessasi ohjelmistoa, jota sinulla ei vielä ole, joudut pyytämään sovelluksen latauslupaa. Yritykselläsi on käytössä Company Portal tai vastaava, minne järjestelmänvalvojat julkaisevat yrityksen sallitut sovellukset. Työpuhelimessa ei ole WhatsAppia tai muita sovelluksia, joissa on tietoturva-aukkoja tai, jotka ovat kaapattavissa tai tuttavallisemmin ’korkattavissa’.
GDPR-asetus pakottaa yritykset noudattamaan tietosuojaan liittyviä määräyksiä, jottei sinun tai työkaverisi henkilötietoja vuoda vääriin paikkoihin. Kun haluat antaa anonyymia palautetta esimiehelle tai nimettömän kehitysehdotuksen, Whistleblower-direktiivi varmistaa nimettömyytesi.
Näistä aiheista voit lukea lisää aiemmin julkaistuista blogeistamme:
Yksityishenkilönä olet varmasti tutustunut muun muassa mobiilivarmenteisiin, kaksivaiheisiin tunnistautumisiin, jossa joudut yhdistämään esimerkiksi pankkitunnuksesi, käyttäjätunnuksesi, sähköpostiin tai tekstiviesteihin. Yhtä lailla monivaiheinen tunnistus on hyvä suoja myös työympäristössäsi. Sähköpostit voi lähettää salatusti, tiedostot voidaan suojata salasanalla, turvatulostuksella tulostimesta ei saa mitään ulos ilman tunnistautumista.
Kaikkia yrityksen tietoja ei voi kopioida pikakomennolla, esimerkiksi puhelimella tekstiviestiin, WhatsAppiin tai hakukoneen kenttään. Tämä ei ole ’pelkästään’ kiusantekoa, vaan yrityksen tiedot halutaan suojata mahdolliselta väärinkäytöltä. Tämä on myös sinun etusi.
Tehkää yrityksessänne pelisäännöt tai ohjeistus tietoturvan käytöstä ja toimenpiteistä, jottei kaikki, vaikka uudet työntekijänne jatkuvasti kuormita järjestelmävalvojianne ja tietoturvavastaavianne.
Ole rohkeasti meihin yhteydessä, mikäli tietoturva-asiat askarruttavat. Meiltä voit tilata muun muassa tietoturvakartoitukset, projektisuunnitelmat ja tietoturvan pelikirjat.
Jos tämä kirjoitus synnyttää minkäänlaista huolta teidän tilanteestanne, laita savumerkkejä, niin katsotaan teidänkin tietoturvanne tila ja laitetaan heti kuntoon kohdat, joissa on havaittavissa puutteita. Tarkistamme työasemat, palvelimet, verkko, palomuurit, pilvipalvelut ja tapanne toimia, niin että sinäkin voit keksittyä tuottavaan työhön, murehtimisen sijasta.
Kesän jälkeen olemme myös julkaisemassa uusia tuotteita, joista tässä muutama tiiseri, pysy kuulolla:
Koska et kuitenkaan halua olla uutisissa näistä syistä, kannattaa oikeasti miettiä, mitkä asiat olette jo nyt huomioineet?
