Dela via

Säkerhetsutvärdering: Domänkontrollanter med utskriftshanteraren tillgänglig

  • Artikel

Inaktivera utskriftshanterarens tjänst.

Vad är utskriftshanterarens tjänst?

Utskriftshanteraren är en programvarutjänst som hanterar utskriftsprocesser. Bufferthanteraren accepterar utskriftsjobb från datorer och ser till att skrivarresurser är tillgängliga. Bufferten schemalägger också i vilken ordning utskriftsjobb skickas till utskriftskön för utskrift. I början av persondatorerna var användarna tvungna att vänta tills filer skrevs ut innan de utförde andra åtgärder. Tack vare moderna utskriftspooler har utskriften nu minimal inverkan på den totala användarproduktiviteten.

Vilka risker medför utskriftshanterarens tjänst på domänkontrollanter?

Även om det verkar ofarligt kan alla autentiserade användare fjärransluta till en domänkontrollants utskriftspooltjänst och begära en uppdatering av nya utskriftsjobb. Användarna kan också instruera domänkontrollanten att skicka meddelandet till systemet med obegränsad delegering. Dessa åtgärder testar anslutningen och exponerar domänkontrollantens datorkontoautentiseringsuppgifter (utskriftshanteraren ägs av SYSTEM).

På grund av risken för exponering måste domänkontrollanter och Active Directory-administratörssystem ha tjänsten Utskriftshanteraren inaktiverad. Det rekommenderade sättet att göra detta är att använda ett grupprincip-objekt (GPO).

Den här säkerhetsutvärderingen fokuserar på domänkontrollanter, men alla servrar kan vara i riskzonen för den här typen av angrepp.

Obs!

  • Se till att undersöka inställningarna, konfigurationerna och beroendena för utskriftshanteraren innan du inaktiverar den här tjänsten och förhindrar aktiva utskriftsarbetsflöden.
  • Domänkontrollantrollen lägger till en tråd i den spooler-tjänst som ansvarar för att utföra utskriftsrensning – ta bort de inaktuella utskriftsköobjekten från Active Directory. Därför är säkerhetsrekommendatorn för att inaktivera utskriftshanteraren en kompromiss mellan säkerhet och möjligheten att utföra utskriftsrensning. För att lösa problemet bör du överväga att regelbundet rensa inaktuella utskriftsköobjekt.

Hur gör jag för att använda den här säkerhetsbedömningen?

  1. Granska den rekommenderade åtgärden på för att ta reda på https://security.microsoft.com/securescore?viewid=actions vilken av dina domänkontrollanter som har utskriftshanteraren aktiverad.

    Inaktivera säkerhetsutvärdering för utskriftshanteraren.

  2. Vidta lämpliga åtgärder på riskdomänkontrollanterna och ta aktivt bort utskriftshanterarens tjänst antingen manuellt, via grupprincipobjekt eller andra typer av fjärrkommandon.

Obs!

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Åtgärda

Åtgärda det här specifika problemet genom att inaktivera utskriftshanteraren på alla servrar som inte kräver det.

Nästa steg