Freigeben über


Sicherheitsbewertung: Domänencontroller mit verfügbarem Druckspoolerdienst

Deaktivieren Sie den Druckspoolerdienst.

Was ist der Druckspoolerdienst?

Druckspooler ist ein Softwaredienst, der Druckprozesse verwaltet. Der Spooler akzeptiert Druckaufträge von Computern und stellt sicher, dass Druckerressourcen verfügbar sind. Der Spooler plant auch die Reihenfolge, in der Druckaufträge zum Drucken an die Druckwarteschlange gesendet werden. In den frühen Tagen von PCs mussten Benutzer warten, bis Dateien gedruckt wurden, bevor sie andere Aktionen ausführten. Dank moderner Druckspooler hat das Drucken jetzt nur noch minimale Auswirkungen auf die Produktivität der Benutzer insgesamt.

Welche Risiken birgt der Druckspoolerdienst auf Domänencontrollern?

Obwohl es scheinbar harmlos ist, kann jeder authentifizierte Benutzer eine Remoteverbindung mit dem Druckspoolerdienst eines Domänencontrollers herstellen und ein Update für neue Druckaufträge anfordern. Außerdem können Benutzer den Domänencontroller anweisen, die Benachrichtigung mit uneingeschränkter Delegierung an das System zu senden. Diese Aktionen testen die Verbindung und machen die Anmeldeinformationen des Domänencontrollercomputerkontos verfügbar (Druckerspooler ist im Besitz von SYSTEM).

Aufgrund der Möglichkeit der Offenlegung muss der Druckspoolerdienst für Domänencontroller und Active Directory-Verwaltungssysteme deaktiviert sein. Die empfohlene Vorgehensweise hierfür ist die Verwendung eines Gruppenrichtlinie Object (GPO).

Während sich diese Sicherheitsbewertung auf Domänencontroller konzentriert, ist jeder Server potenziell durch diese Art von Angriff gefährdet.

Hinweis

  • Überprüfen Sie unbedingt die Einstellungen, Konfigurationen und Abhängigkeiten des Druckspoolers , bevor Sie diesen Dienst deaktivieren und aktive Druckworkflows verhindern.
  • Die Domänencontrollerrolle fügt dem Spoolerdienst einen Thread hinzu, der für die Druckbereinigung zuständig ist, indem die veralteten Druckwarteschlangenobjekte aus Active Directory entfernt werden. Daher ist die Sicherheitsempfehlung, den Druckspoolerdienst zu deaktivieren, ein Kompromiss zwischen Sicherheit und der Möglichkeit, eine Druckbereinigung durchzuführen. Um das Problem zu beheben, sollten Sie in regelmäßigen Abständen veraltete Druckwarteschlangenobjekte löschen.

Gewusst wie diese Sicherheitsbewertung verwenden?

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, auf welchem Ihrer Domänencontroller der Druckspoolerdienst aktiviert ist.

    Deaktivieren Sie die Sicherheitsbewertung des Druckspoolerdiensts.

  2. Ergreifen Sie geeignete Maßnahmen auf den gefährdeten Domänencontrollern, und entfernen Sie aktiv den Druckspoolerdienst entweder manuell, über GPO oder andere Arten von Remotebefehlen.

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Sanierung

Beheben Sie dieses spezifische Problem, indem Sie den Druckspoolerdienst auf allen Servern deaktivieren, die ihn nicht benötigen.

Nächste Schritte