安全性評估:具有可用列印後台處理程式服務的域控制器
什麼是列印多任務緩衝處理程序服務?
列印後台處理程式是管理列印處理程式的軟體服務。 多任務緩衝處理器會接受來自計算機的列印作業,並確保印表機資源可供使用。 多任務緩衝處理程式也會排程列印作業傳送至列印佇列進行列印的順序。 在個人計算機的初期,用戶必須等到檔案列印后,再執行其他動作。 由於新式列印多任務緩衝處理器,列印現在對整體用戶生產力的影響最小。
域控制器上的 列印後台處理程式 服務會帶來哪些風險?
雖然看似無害,但任何已驗證的使用者都可以從遠端連線到域控制器的列印後台處理程式服務,並要求更新新的列印作業。 此外,使用者也可以使用 不受限制的委派,告知域控制器將通知傳送至系統。 這些動作會測試連線,並公開域控制器電腦帳戶認證 (印印後台處理程式 是由 SYSTEM) 所擁有。
由於暴露的可能性,域控制器和 Active Directory 系統管理員系統必須停用 列印後台處理程式 服務。 建議的做法是使用 群組原則 Object (GPO) 。
雖然此安全性評估著重於域控制器,但任何伺服器都可能面臨這類攻擊的風險。
注意事項
- 請務必先調查 列印後台處理程式 設定、組態和相依性,再停用此服務並防止使用中列印工作流程。
- 域控制器角色 會將線程新增至 負責執行列印剪除的多任務緩衝處理程式服務 – 從 Active Directory 中移除過時的列印佇列物件。 因此,停用 列印後台處理程式 服務的安全性建議是安全性與執行列印剪除能力之間的取捨。 若要解決此問題,您應該考慮定期剪除過時的列印佇列物件。
如何? 使用此安全性評估?
檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions ,以探索哪些域控制器已啟用 列印後台處理程序 服務。
對有風險的域控制器採取適當動作,並透過 GPO 或其他類型的遠端命令,以手動方式主動移除列印後台處理程式服務。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。
補救
在不需要列印後台處理程式服務的所有伺服器上停用列印後台處理程式服務,以修正此特定問題。