Evaluación de seguridad: controladores de dominio con el servicio de cola de impresión disponible
¿Cuál es el servicio de cola de impresión?
Print spooler es un servicio de software que administra los procesos de impresión. El administrador de trabajos de impresión acepta trabajos de impresión de equipos y se asegura de que los recursos de impresora estén disponibles. El colador también programa el orden en el que los trabajos de impresión se envían a la cola de impresión para imprimir. En los primeros días de los equipos personales, los usuarios tenían que esperar hasta que los archivos impresos antes de realizar otras acciones. Gracias a los trabajos de impresión modernos, la impresión ahora tiene un impacto mínimo en la productividad general del usuario.
¿Qué riesgos presenta el servicio Print spooler en los controladores de dominio?
Aunque aparentemente inofensivo, cualquier usuario autenticado puede conectarse de forma remota al servicio de cola de impresión de un controlador de dominio y solicitar una actualización de los nuevos trabajos de impresión. Además, los usuarios pueden indicar al controlador de dominio que envíe la notificación al sistema con delegación sin restricciones. Estas acciones prueban la conexión y exponen la credencial de la cuenta de equipo del controlador de dominio (el administrador de trabajos de impresión es propiedad de SYSTEM).
Debido a la posibilidad de exposición, los controladores de dominio y los sistemas de administración de Active Directory deben tener deshabilitado el servicio De cola de impresión. La manera recomendada de hacerlo es usar un objeto de directiva de grupo (GPO).
Aunque esta evaluación de seguridad se centra en los controladores de dominio, cualquier servidor podría estar en riesgo para este tipo de ataque.
Nota:
- Asegúrese de investigar la configuración, las configuraciones y las dependencias del administrador de impresión antes de deshabilitar este servicio y evitar flujos de trabajo de impresión activos.
- El rol de controlador de dominio agrega un subproceso al servicio de cola que es responsable de realizar la eliminación de impresión, quitando los objetos de cola de impresión obsoletos de Active Directory. Por lo tanto, la recomendación de seguridad para deshabilitar el servicio De cola de impresión es un equilibrio entre la seguridad y la capacidad de realizar la eliminación de impresión. Para solucionar el problema, debe considerar la posibilidad de eliminar periódicamente objetos de cola de impresión obsoletos.
Cómo usar esta evaluación de seguridad?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuál de los controladores de dominio tiene habilitado el servicio De cola de impresión.
Realice las acciones adecuadas en los controladores de dominio en riesgo y quite activamente el servicio De cola de impresión manualmente, a través del GPO u otros tipos de comandos remotos.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.
Corrección
Corrija este problema específico deshabilitando el servicio Print Spooler en todos los servidores que no lo requieran.