Del via

Sikkerhetsvurdering: Domenekontrollere med utskriftsspoletjenesten tilgjengelig

  • Artikkel

Deaktiver utskriftsgruppetjenesten.

Hva er utskriftsgruppetjenesten?

Utskriftsspole er en programvaretjeneste som administrerer utskriftsprosesser. Utskriftskøen godtar utskriftsjobber fra datamaskiner og sørger for at skriverressurser er tilgjengelige. Utskriftsjobben planlegges også i den rekkefølgen utskriftsjobber sendes til utskriftskøen for utskrift. I de tidlige dagene av personlige datamaskiner måtte brukerne vente til filene ble skrevet ut før de utførte andre handlinger. Takket være moderne utskriftskøer har utskrift nå minimal innvirkning på den totale brukerproduktiviteten.

Hvilke risikoer introduserer utskriftsgruppetjenesten på domenekontrollere?

Selv om de tilsynelatende er harmløse, kan alle godkjente brukere koble til utskriftskøtjenesten til en domenekontroller eksternt, og be om en oppdatering av nye utskriftsjobber. Brukere kan også be domenekontrolleren om å sende varselet til systemet med ubegrenset delegering. Disse handlingene tester tilkoblingen og viser legitimasjonen for datamaskinkontoen for domenekontrolleren (Utskriftsgruppe eies av SYSTEM).

På grunn av muligheten for eksponering, må domenekontrollere og Active Directory-administratorsystemer ha utskriftsspoletjenesten deaktivert. Den anbefalte måten å gjøre dette på er å bruke et gruppepolicy objekt (GPO).

Selv om denne sikkerhetsvurderingen fokuserer på domenekontrollere, er enhver server potensielt utsatt for denne typen angrep.

Obs!

  • Pass på å undersøke utskriftskøinnstillingene , konfigurasjonene og avhengighetene før du deaktiverer denne tjenesten og forhindrer aktiv utskriftsarbeidsflyt.
  • Rollen domenekontroller legger til en tråd i spooler-tjenesten som er ansvarlig for å utføre utskriftsbeskjæring – og fjerner de foreldede utskriftskøobjektene fra Active Directory. Derfor er sikkerhetsanbefalingen om å deaktivere utskriftsspoletjenesten en avveining mellom sikkerhet og muligheten til å utføre utskriftsbeskjæring. For å løse problemet bør du med jevne mellomrom vurdere å beskjære foreldede utskriftskøobjekter.

Hvordan bruke denne sikkerhetsvurderingen?

  1. Se gjennom den anbefalte handlingen for https://security.microsoft.com/securescore?viewid=actions å finne ut hvilke av domenekontrollerne som har utskriftsgruppetjenesten aktivert.

    Deaktiver sikkerhetsvurdering for utskriftsspoletjeneste.

  2. Utfør nødvendige tiltak på de risikofrie domenekontrollerne, og fjern utskriftsspoletjenesten manuelt, gjennom gruppepolicyobjektet eller andre typer eksterne kommandoer.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Utbedring

Løs dette spesifikke problemet ved å deaktivere tjenesten Utskriftsspole på alle servere som ikke krever det.

Neste trinn