Beveiligingsevaluatie: domeincontrollers met de afdrukspoolerservice beschikbaar

Wat is de afdrukspoolerservice?

Print spooler is een softwareservice die afdrukprocessen beheert. De spooler accepteert afdruktaken van computers en zorgt ervoor dat printerbronnen beschikbaar zijn. De spooler plant ook de volgorde waarin afdruktaken worden verzonden naar de afdrukwachtrij voor afdrukken. In de begintijd van pc's moesten gebruikers wachten totdat bestanden werden afgedrukt voordat ze andere acties uitvoerden. Dankzij moderne afdrukspoolers heeft afdrukken nu een minimale invloed op de algehele productiviteit van gebruikers.

Welke risico's brengt de afdrukspoolerservice op domeincontrollers met zich mee?

Hoewel het schijnbaar onschuldig is, kan elke geverifieerde gebruiker op afstand verbinding maken met de afdrukspoolerservice van een domeincontroller en een update voor nieuwe afdruktaken aanvragen. Gebruikers kunnen de domeincontroller ook vertellen dat de melding naar het systeem moet worden verzonden met onbeperkte delegering. Met deze acties wordt de verbinding getest en wordt de referentie van het computeraccount van de domeincontroller weergegeven (de afdrukspooler is eigendom van SYSTEM).

Vanwege de mogelijkheid voor blootstelling moeten op domeincontrollers en Active Directory-beheersystemen de afdrukspoolerservice zijn uitgeschakeld. De aanbevolen manier om dit te doen is met behulp van een groepsbeleid Object (GPO).

Hoewel deze beveiligingsevaluatie is gericht op domeincontrollers, loopt elke server mogelijk risico op dit type aanval.

Opmerking

• Zorg ervoor dat u de instellingen, configuraties en afhankelijkheden van de afdrukspooler onderzoekt voordat u deze service uitschakelt en actieve afdrukwerkstromen voorkomt.
• De domeincontrollerrol voegt een thread toe aan de spooler-service die verantwoordelijk is voor het verwijderen van afdrukken en het verwijderen van de verouderde afdrukwachtrijobjecten uit De Active Directory. Daarom is de beveiligingsaanbeveling om de printspooler-service uit te schakelen een afweging tussen beveiliging en de mogelijkheid om afdruksnoeien uit te voeren. Als u dit probleem wilt oplossen, moet u overwegen om verouderde afdrukwachtrijobjecten periodiek te verwijderen.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te zien op welke van uw domeincontrollers de afdrukspoolerservice is ingeschakeld.

   

2. Neem de juiste actie op de risico-domeincontrollers en verwijder de Print spooler-service handmatig, via GPO of andere typen externe opdrachten.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Herstellen

Los dit specifieke probleem op door de Print Spooler-service uit te schakelen op alle servers waarvoor dit niet nodig is.

Volgende stappen

• Meer informatie over Microsoft Secure Score
• Bekijk het Defender for Identity-forum.