Posouzení zabezpečení: Řadiče domény s dostupnou službou zařazování tisku

Co je služba zařazování tisku?

Služba zařazování tisku je softwarová služba, která spravuje tiskové procesy. Služba zařazování přijímá tiskové úlohy z počítačů a zajišťuje, aby byly dostupné prostředky tiskárny. Služba zařazování také naplánuje pořadí, ve kterém se tiskové úlohy odesílají do tiskové fronty pro tisk. V počátcích osobních počítačů museli uživatelé před provedením dalších akcí počkat na vytištění souborů. Díky moderním zařazování tisku má tisk minimální dopad na celkovou produktivitu uživatelů.

Jaká rizika představuje služba zařazování tisku na řadičích domény?

I když je to zdánlivě neškodné, každý ověřený uživatel se může vzdáleně připojit ke službě zařazování tisku řadiče domény a požádat o aktualizaci nových tiskových úloh. Uživatelé také můžou řadiči domény říct, aby odeslal oznámení do systému s unconstrained delegováním. Tyto akce otestují připojení a zveřejní přihlašovací údaje účtu počítače řadiče domény (zařazování tisku vlastní systém).

Kvůli možnému ohrožení musí mít řadiče domény a systémy pro správu Active Directory zakázanou službu zařazování tisku . Doporučeným způsobem, jak to udělat, je použití objektu Zásady skupiny (GPO).

I když se toto posouzení zabezpečení zaměřuje na řadiče domény, každý server je potenciálně ohrožen tímto typem útoku.

Poznámka

• Než zakážete tuto službu a zabráníte aktivním pracovním postupům tisku, nezapomeňte prozkoumat nastavení, konfigurace a závislosti zařazování tisku.
• Role řadiče domény přidá do služby zařazování zařazování vlákno , které je zodpovědné za vyřazování tisku – odebere zastaralé objekty tiskové fronty ze služby Active Directory. Proto doporučení zabezpečení zakázat službu zařazování tisku představuje kompromis mezi zabezpečením a možností provádět vyřazení tisku. Pokud chcete tento problém vyřešit, měli byste zvážit pravidelné odstraňování zastaralých objektů tiskové fronty.

Návody použít toto posouzení zabezpečení?

1. Projděte si doporučenou akci v části a https://security.microsoft.com/securescore?viewid=actions zjistěte, které z vašich řadičů domény mají povolenou službu zařazování tisku .

   

2. Proveďte příslušné akce na ohrožených řadičích domény a aktivně odeberte službu zařazování tisku ručně, prostřednictvím objektu zásad skupiny nebo jiných typů vzdálených příkazů.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Náprava

Tento konkrétní problém vyřešíte tak, že zakážete službu zařazování tisku na všech serverech, které ji nevyžadují.

Další kroky

• Další informace o skóre zabezpečení Microsoftu
• Podívejte se na fórum Defender for Identity!