Evaluación de seguridad: controladores de dominio con el servicio de cola de impresión disponible

¿Cuál es el servicio de cola de impresión?

La cola de impresión es un servicio de software que administra los procesos de impresión. La cola acepta trabajos de impresión de equipos y se asegura de que los recursos de impresora estén disponibles. La cola también programa el orden en que se envían los trabajos de impresión a la cola de impresión para su impresión. En los primeros días de los equipos personales, los usuarios tenían que esperar hasta que se imprimieron los archivos antes de realizar otras acciones. Gracias a las modernas colas de impresión, la impresión ahora tiene un impacto mínimo en la productividad general del usuario.

¿Qué riesgos presenta el servicio de cola de impresión en los controladores de dominio?

Aunque parezca inofensivo, cualquier usuario autenticado puede conectarse de forma remota al servicio de cola de impresión de un controlador de dominio y solicitar una actualización en nuevos trabajos de impresión. Además, los usuarios pueden indicar al controlador de dominio que envíe la notificación al sistema con delegación sin restricciones. Estas acciones prueban la conexión y exponen la credencial de la cuenta de equipo del controlador de dominio (la cola de impresión es propiedad de SYSTEM).

Debido a la posibilidad de exposición, los controladores de dominio y los sistemas de administración de Active Directory deben tener el servicio de cola de impresión deshabilitado. La manera recomendada de hacerlo es usar un objeto directiva de grupo (GPO).

Aunque esta evaluación de seguridad se centra en los controladores de dominio, cualquier servidor puede estar en riesgo de sufrir este tipo de ataque.

Nota:

• Asegúrese de investigar la configuración, las configuraciones y las dependencias de la cola de impresión antes de deshabilitar este servicio y evitar flujos de trabajo de impresión activos.
• El rol de controlador de dominio agrega un subproceso al servicio de cola que es responsable de realizar la eliminación de impresión: eliminación de los objetos de cola de impresión obsoletos de Active Directory. Por lo tanto, la recomendación de seguridad para deshabilitar el servicio de cola de impresión es un equilibrio entre la seguridad y la capacidad de realizar la eliminación de impresión. Para solucionar el problema, debe considerar la posibilidad de eliminar periódicamente objetos de cola de impresión obsoletos.

Cómo usar esta evaluación de seguridad?

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuál de los controladores de dominio tiene habilitado el servicio de cola de impresión .

   

2. Realice las acciones adecuadas en los controladores de dominio en riesgo y quite activamente el servicio de cola de impresión manualmente, a través de GPO u otros tipos de comandos remotos.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Remediación

Para solucionar este problema específico, deshabilite el servicio de cola de impresión en todos los servidores que no lo requieran.

Pasos siguientes

• Más información sobre la puntuación segura de Microsoft
• Consulte el foro de Defender for Identity.