Del via


Sikkerhedsvurdering: Domænecontrollere med udskriftsspoolertjenesten tilgængelig

Deaktiver tjenesten Print spooler.

Hvad er udskriftsspoolertjenesten?

Printpooler er en softwaretjeneste, der administrerer udskrivningsprocesser. Spooleren accepterer udskriftsjob fra computere og sikrer, at printerressourcerne er tilgængelige. Spooleren planlægger også den rækkefølge, som udskriftsjob sendes i til udskriftskøen til udskrivning. I de tidlige dage med personlige computere måtte brugerne vente, indtil filer blev udskrevet, før de udførte andre handlinger. Takket være moderne printpoolere har udskrivning nu minimal indvirkning på den overordnede brugerproduktivitet.

Hvilke risici medfører tjenesten Print spooler på domænecontrollere?

Selvom det ser ud til, at det er uskadeligt, kan enhver godkendt bruger fjerntilslutte sig en domænecontrollers udskriftsgruppetjeneste og anmode om en opdatering af nye udskriftsjob. Brugerne kan også bede domænecontrolleren om at sende meddelelsen til systemet med ikke-begrænset delegering. Disse handlinger tester forbindelsen og viser legitimationsoplysningerne for domænecontrollerens computerkonto (Udskriftsgruppe ejes af SYSTEM).

På grund af risikoen for eksponering skal domænecontrollere og Active Directory-administrationssystemer have tjenesten Print spooler deaktiveret. Det anbefales, at du bruger et objekt af typen Gruppepolitik.

Selvom denne sikkerhedsvurdering fokuserer på domænecontrollere, er enhver server potentielt i fare for denne type angreb.

Bemærk!

  • Sørg for at undersøge indstillinger, konfigurationer og afhængigheder for Udskriftspooler , før du deaktiverer denne tjeneste og forhindrer aktive udskrivningsarbejdsprocesser.
  • Rollen som domænecontroller føjer en tråd til spoolertjenesten , der er ansvarlig for at udføre udskriftsskæring – fjerner objekterne for forældede udskriftskøer fra Active Directory. Derfor er sikkerhedsanbefaling om at deaktivere tjenesten Print spooler en afvejning mellem sikkerhed og muligheden for at udføre udskriftsbeskæring. Du kan løse problemet ved jævnligt at beskære forældede objekter i udskriftskøen.

Hvordan gør jeg bruge denne sikkerhedsvurdering?

  1. Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for at finde ud af, hvilke af dine domænecontrollere der har tjenesten Print spooler aktiveret.

    Deaktiver sikkerhedsvurdering af tjenesten Print spooler.

  2. Udfør de nødvendige handlinger på de risikobehæftede domænecontrollere, og fjern aktivt tjenesten Udskriv spooler enten manuelt via GPO eller andre typer fjernkommandoer.

Bemærk!

Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.

Oprydning

Løs dette specifikke problem ved at deaktivere tjenesten Print Spooler på alle servere, der ikke kræver det.

Næste trin