Оценка безопасности: контроллеры домена с доступной службой очереди печати
Что такое служба очереди печати?
Диспетчер очереди печати — это программная служба, которая управляет процессами печати. Диспетчер очереди принимает задания печати с компьютеров и проверяет доступность ресурсов принтера. Диспетчер очереди также планирует порядок отправки заданий печати в очередь печати для печати. В первые дни личных компьютеров пользователям приходилось ждать, пока не будут напечатаны файлы, прежде чем выполнять другие действия. Благодаря современным спулям печати печать теперь оказывает минимальное влияние на общую производительность пользователей.
Какие риски представляет служба очереди печати на контроллерах домена?
Хотя любой прошедший проверку подлинности пользователь может удаленно подключиться к службе очереди печати контроллера домена и запросить обновление новых заданий печати. Кроме того, пользователи могут указать контроллеру домена отправить уведомление в систему с неограниченным делегированием. Эти действия проверяют подключение и предоставляют учетные данные учетной записи компьютера контроллера домена (диспетчер очереди печати принадлежит SYSTEM).
Из-за возможности уязвимости контроллеры домена и системы администрирования Active Directory должны отключить службу очереди печати . Для этого рекомендуется использовать объект групповая политика (GPO).
Хотя эта оценка безопасности сосредоточена на контроллерах домена, любой сервер потенциально подвержен риску такого типа атаки.
Примечание.
- Перед отключением этой службы и предотвращением активных рабочих процессов печати обязательно изучите параметры, конфигурации и зависимости очереди печати.
- Роль контроллера домена добавляет поток в службу очереди , которая отвечает за выполнение обрезки печати. Это приводит к удалению устаревших объектов очереди печати из Active Directory. Таким образом, рекомендация по безопасности для отключения службы очереди печати является компромиссом между безопасностью и возможностью выполнения обрезки печати. Чтобы устранить эту проблему, следует рассмотреть возможность периодической обрезки устаревших объектов очереди печати.
Разделы справки использовать эту оценку безопасности?
Просмотрите рекомендуемое действие, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, на каком из контроллеров домена включена служба очереди печати .
Выполните соответствующие действия на контроллерах домена, подверженных риску, и активно удалите службу очереди печати вручную, с помощью объекта групповой политики или других типов удаленных команд.
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.
Исправление
Устраните эту проблему, отключив службу очереди печати на всех серверах, для которых она не требуется.