Évaluation de la sécurité : contrôleurs de domaine avec le service spouleur d’impression disponible

  • Article
  • 2 minutes de lecture

Désactivez le service Spouleur d’impression.

Qu’est-ce que le service spouleur d’impression ?

Le Spouleur d’impression est un service logiciel qui gère les processus d’impression. Il accepte les travaux d’impression des ordinateurs et vérifie que les ressources de l’imprimante sont disponibles. Il planifie également l’ordre dans lequel les travaux d’impression sont envoyés à la file d’attente à l’impression. Au début des ordinateurs personnels, les utilisateurs devaient attendre que les fichiers soient imprimés avant d’effectuer d’autres opérations. Grâce aux spouleurs d’impression modernes, l’impression a désormais un impact minime sur la productivité globale des utilisateurs.

Quels sont les risques qu’introduit le service Spouleur d’impression sur les contrôleurs de domaine ?

Bien que ce service soit apparemment inoffensif, tout utilisateur authentifié peut se connecter à distance au service Spouleur d’impression d’un contrôleur de domaine et demander la mise à jour des nouveaux travaux d’impression. En outre, les utilisateurs peuvent indiquer au contrôleur de domaine d’envoyer la notification au système avec une délégation sans contrainte. Ces actions testent la connexion et exposent les informations d’identification du compte d’ordinateur du contrôleur de domaine (le Spouleur d’impression appartient à SYSTEM).

En raison du risque d’exposition, les contrôleurs de domaine et les systèmes d’administration Active Directory doivent désactiver le service Spouleur d’impression . Pour ce faire, la méthode recommandée consiste à utiliser un objet de stratégie de groupe (GPO).

Bien que cette évaluation de la sécurité se concentre sur les contrôleurs de domaine, tous les serveurs sont potentiellement exposés à ce type d’attaque.

Notes

  • Veillez à examiner vos paramètres de Spouleur d’impression, configurations et dépendances avant de désactiver ce service et d’empêcher les flux de travail d’impression actifs.
  • Le rôle de contrôleur de domaine ajoute un thread au service spouleur qui est chargé d’effectuer l’élagage à l’impression, en supprimant les objets de file d’attente d’impression obsolètes de l’annuaire Active Directory. Par conséquent, la recommandation de sécurité pour désactiver le service spouleur d’impression est un compromis entre la sécurité et la possibilité d’effectuer un élagage d’impression. Pour résoudre le problème, vous devez envisager de tailler régulièrement les objets de file d’attente d’impression obsolètes.

Comment faire pour utiliser cette évaluation de la sécurité ?

  1. Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir lequel de vos contrôleurs de domaine a le service spouleur d’impression activé.

    Désactivez l’évaluation de la sécurité du service spouleur d’impression.

  2. Prenez les mesures appropriées sur les contrôleurs de domaine à risque et supprimez activement le service Spouleur d’impression : manuellement, par le biais d’un objet de stratégie de groupe ou avec d’autres types de commandes distantes.

Notes

Cette évaluation est mise à jour en quasi-temps réel.

Mise à jour

Résolvez ce problème spécifique en désactivant le service de spouleur d’impression sur tous les serveurs qui n’en ont pas besoin.

Étapes suivantes