安全评估:具有打印后台处理程序服务的域控制器
什么是打印后台处理程序服务?
打印后台处理程序是一种管理打印过程的软件服务。 后台处理程序接受来自计算机的打印作业,并确保打印机资源可用。 后台处理程序还会计划打印作业发送到打印队列进行打印的顺序。 在个人电脑的早期,用户必须等到文件打印后再执行其他操作。 由于采用新式打印后台处理程序,打印现在对整体用户工作效率的影响最小。
域控制器上的 打印后台处理程序 服务会带来哪些风险?
虽然看似无害,但任何经过身份验证的用户都可以远程连接到域控制器的打印后台处理程序服务,并请求对新的打印作业进行更新。 此外,用户可以指示域控制器使用 不受约束的委派将通知发送到系统。 这些操作测试连接并公开域控制器计算机帐户凭据 (打印后台处理程序 归 SYSTEM) 所有。
由于可能存在暴露,域控制器和 Active Directory 管理系统需要禁用 打印后台处理程序 服务。 为此,建议使用 组策略 对象 (GPO) 。
虽然此安全评估侧重于域控制器,但任何服务器都可能面临此类攻击的风险。
注意
- 在禁用此服务并阻止活动打印工作流之前,请务必调查打印 后台处理程序 设置、配置和依赖项。
- 域控制器角色向后台 处理程序服务添加一个线程 ,该服务负责执行打印修剪 – 从 Active Directory 中删除过时的打印队列对象。 因此,禁用 打印后台处理程序 服务的安全建议是安全性与执行打印修剪功能之间的权衡。 若要解决此问题,应考虑定期修剪过时的打印队列对象。
如何实现使用此安全评估?
查看 中的建议操作 https://security.microsoft.com/securescore?viewid=actions ,了解哪些域控制器启用了 打印后台处理程序 服务。
对有风险的域控制器采取适当的操作,并通过 GPO 或其他类型的远程命令主动删除打印后台处理程序服务。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新,但状态可能仍需要一段时间才能标记为 “已完成”。
修复
通过在不需要的所有服务器上禁用打印后台处理程序服务来修复此特定问题。