配置 Windows 保護打印模式 (WPP)

Windows 保護打印模式(WPP) 是 Windows 11（版本 24H2）和 Windows Server 2025 中引入的一項新打印安全功能。啟用 Windows 保護打印模式後，無需在 Windows 上安裝各個供應商的特定於型號的打印機驅動程序。舊的打印堆棧將被替換互聯網打印協議 (IPP)帶有通用驅動程序。此功能有兩個主要優點。首先，它提供了通用解決方案，這意味著用戶不再需要搜索、安裝或更新打印機驅動程序。其次，它無需在系統上安裝第三方驅動程序代碼，從而增強了安全性。

Windows 保護打印模式有助於保護計算機免受通過打印服務的攻擊，例如 PrintNightmare（此漏洞導致 Microsoft 禁止安裝沒有管理員權限的打印驅動程序）。它還有助於防止第三方打印機驅動程序中的漏洞。

使用保護打印模式，Windows 不再需要在系統上下文中執行驅動程序代碼，從而允許大多數打印作業在用戶模式下運行。

使用 Windows 保護打印模式的要求包括：

Windows 中默認禁用受保護打印模式（儘管 Microsoft 已宣佈在未來版本中將默認啟用該模式）。

1. 1. 您可以使用以下命令啟用和禁用 Windows 保護模式設定應用程序（設置 -> 藍牙和打印機 -> 打印機和掃描儀）。
   2. 單擊設定Windows 保護打印模式部分中的按鈕。
   3. 將出現一條消息，指出所有與 WPP 不兼容的打印機、打印隊列和驅動程序都將從計算機中刪除。因此，我們建議在啟用 WPP 之前備份已安裝的打印驅動程序和打印機的列表。使用以下 PowerShell 命令列出打印機、驅動程序和打印端口，並將結果保存到 CSV 文件：
      Get-Printer| Export-Csv C:listprinters.csv
      使用 Export-WindowsDriver cmdlet 導出（備份）所有已安裝的驅動程序。
   4. 重新啟動計算機。

啟用保護打印模式後，無法安裝不兼容的打印機和驅動程序。

Adding a printer driver is not supported right now because Windows protected print is turned on. Turn it off first or contact your system admin if you're using a work or school device.

了解更多：在 Windows 上配置事件查看器日誌大小

Operation could not be completed (error 0x000004ec).
This program is blocked by group policy. For more information, contact your system administrator.

WPP 還通過“指向並打印”策略阻止安裝第三方打印機和驅動程序。

Windows 組策略中現在有一個單獨的內置 ADMX 模板選項，用於啟用或禁用受保護的打印模式。

1. 打開本地 GPO 編輯器（gpedit.msc）
2. 前往電腦配置->管理模板->印表機
3. 啟用配置 Windows 保護打印政策選擇

您還可以通過註冊表啟用保護打印模式。必須在註冊表項下創建幾個 DWORD 參數HKLMSOFTWAREPoliciesMicrosoftWindows NTPrintersWPP來做到這一點。

• 啟用者 = 2
• WindowsProtectedPrintGroupPolicyState = 1
• WindowsProtectedPrintMode = 1
• WindowsProtectedPrintOobeConfigComplete =1

到禁用受保護的 Print，改變啟用者價值0。然後，刪除剩餘的註冊表選項。

如果 WPP 模式與某些舊打印機不兼容，您可以禁用保護打印模式。之後，您必須手動重新安裝驅動程序並重新創建打印機。