セキュリティ評価: 印刷スプーラー サービスを使用できるドメイン コントローラー
印刷スプーラー サービスとは
印刷スプーラーは、印刷プロセスを管理するソフトウェア サービスです。 スプーラーは、コンピューターからの印刷ジョブを受け入れ、プリンター リソースが使用可能であることを確認します。 スプーラーは、印刷ジョブが印刷キューに送信される順序もスケジュールします。 パーソナル コンピューターの初期の頃、ユーザーは他の操作を実行する前にファイルが印刷されるまで待機する必要がありました。 最新の印刷スプーラーにより、印刷がユーザーの全体的な生産性に与える影響を最小限に抑えるようになりました。
ドメイン コントローラーの 印刷スプーラー サービスにはどのようなリスクがありますか?
一見無害に見えますが、認証されたユーザーは、ドメイン コントローラーの印刷スプーラー サービスにリモートで接続し、新しい印刷ジョブの更新を要求できます。 また、ユーザーは、 制約のない委任を使用してシステムに通知を送信するようにドメイン コントローラーに指示できます。 これらのアクションは、接続をテストし、ドメイン コントローラー コンピューター アカウントの資格情報を公開します (印刷スプーラー は SYSTEM によって所有されています)。
露出の可能性があるため、ドメイン コントローラーと Active Directory 管理システムでは 、印刷スプーラー サービスを無効にする必要があります。 これを行うには、グループ ポリシー オブジェクト (GPO) を使用することをお勧めします。
このセキュリティ評価はドメイン コントローラーに焦点を当てていますが、どのサーバーも、この種の攻撃のリスクにさらされる可能性があります。
注:
- このサービスを無効にし、アクティブな印刷ワークフローを防ぐ前に、 必ず印刷スプーラー の設定、構成、依存関係を調査してください。
- ドメイン コントローラー ロールは、印刷の排除 を実行するスプーラー サービスにスレッドを追加 します。古い印刷キュー オブジェクトを Active Directory から削除します。 したがって、 印刷スプーラー サービスを無効にするためのセキュリティの推奨事項は、セキュリティと印刷の排除を実行する機能との間のトレードオフです。 この問題に対処するには、古い印刷キュー オブジェクトを定期的に排除することを検討する必要があります。
このセキュリティ評価操作方法使用しますか?
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、印刷スプーラー サービスが有効になっているドメイン コントローラーを確認します。
危険にさらされているドメイン コントローラーに対して適切なアクションを実行し、GPO やその他の種類のリモート コマンドを使用して、手動で印刷スプーラー サービスをアクティブに削除します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。
修復
この特定の問題を解決するには、必要のないすべてのサーバーで印刷スプーラー サービスを無効にします。