Évaluation de la sécurité : contrôleurs de domaine avec le service de spouleur d’impression disponible

Qu’est-ce que le service spouleur d’impression ?

Le spouleur d’impression est un service logiciel qui gère les processus d’impression. Le spouleur accepte les travaux d’impression des ordinateurs et s’assure que les ressources d’imprimante sont disponibles. Le spouleur planifie également l’ordre dans lequel les travaux d’impression sont envoyés à la file d’attente d’impression pour impression. Au début des ordinateurs personnels, les utilisateurs devaient attendre que les fichiers soient imprimés avant d’effectuer d’autres actions. Grâce aux spouleurs d’impression modernes, l’impression a désormais un impact minimal sur la productivité globale des utilisateurs.

Quels sont les risques introduits par le service spouleur d’impression sur les contrôleurs de domaine ?

Bien qu’il semble inoffensif, tout utilisateur authentifié peut se connecter à distance au service de spouleur d’impression d’un contrôleur de domaine et demander une mise à jour sur les nouveaux travaux d’impression. En outre, les utilisateurs peuvent indiquer au contrôleur de domaine d’envoyer la notification au système avec une délégation sans contrainte. Ces actions testent la connexion et exposent les informations d’identification du compte d’ordinateur du contrôleur de domaine (le spouleur d’impression appartient à SYSTEM).

En raison de la possibilité d’exposition, le service spouleur d’impression doit être désactivé pour les contrôleurs de domaine et les systèmes d’administration Active Directory. Pour ce faire, il est recommandé d’utiliser un objet stratégie de groupe (GPO).

Bien que cette évaluation de la sécurité se concentre sur les contrôleurs de domaine, tout serveur est potentiellement exposé à ce type d’attaque.

Remarque

• Veillez à examiner les paramètres, configurations et dépendances de votre spouleur d’impression avant de désactiver ce service et d’empêcher les flux de travail d’impression actifs.
• Le rôle de contrôleur de domaine ajoute un thread au service de spouleur chargé d’effectuer le nettoyage d’impression, en supprimant les objets de file d’attente d’impression obsolètes d’Active Directory. Par conséquent, la recommandation de sécurité pour désactiver le service spouleur d’impression est un compromis entre la sécurité et la possibilité d’effectuer un nettoyage d’impression. Pour résoudre le problème, vous devez envisager de nettoyer régulièrement les objets de file d’attente d’impression obsolètes.

Comment faire utiliser cette évaluation de sécurité ?

1. Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir lequel de vos contrôleurs de domaine a le service spouleur d’impression activé.

   

2. Prenez les mesures appropriées sur les contrôleurs de domaine à risque et supprimez activement le service spouleur d’impression manuellement, par le biais d’un objet de stratégie de groupe ou d’autres types de commandes distantes.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Remédiation

Correction de ce problème spécifique en désactivant le service Spouleur d’impression sur tous les serveurs qui n’en ont pas besoin.

Étapes suivantes

• En savoir plus sur le niveau de sécurité Microsoft
• Consultez le forum Defender pour Identity !