Penilaian keamanan: Pengendali domain dengan layanan penampung cetak tersedia

Apa itu layanan penampung cetak?

Penampung cetak adalah layanan perangkat lunak yang mengelola proses pencetakan. Penampung menerima pekerjaan cetak dari komputer dan memastikan bahwa sumber daya printer tersedia. Penampung juga menjadwalkan urutan di mana pekerjaan cetak dikirim ke antrean cetak untuk pencetakan. Pada hari-hari awal komputer pribadi, pengguna harus menunggu hingga file dicetak sebelum melakukan tindakan lain. Berkat spooler cetak modern, pencetakan sekarang memiliki dampak minimal pada produktivitas pengguna secara keseluruhan.

Risiko apa yang diperkenalkan layanan penampung Cetak pada pengontrol domain?

Meskipun tampaknya tidak berbahaya, setiap pengguna yang diautentikasi dapat terhubung dari jarak jauh ke layanan penampung cetak pengendali domain, dan meminta pembaruan pada pekerjaan cetak baru. Selain itu, pengguna dapat memberi tahu pengendali domain untuk mengirim pemberitahuan ke sistem dengan delegasi yang tidak dibatasi. Tindakan ini menguji koneksi dan mengekspos kredensial akun komputer pengontrol domain (Penampung cetak dimiliki oleh SYSTEM).

Karena kemungkinan untuk paparan, pengontrol domain dan sistem admin Direktori Aktif harus menonaktifkan layanan penampung Cetak. Cara yang disarankan untuk melakukan ini adalah menggunakan Objek Kebijakan Grup (GPO).

Meskipun penilaian keamanan ini berfokus pada pengendali domain, server apa pun berpotensi berisiko terhadap jenis serangan ini.

Catatan

• Pastikan untuk menyelidiki pengaturan, konfigurasi, dan dependensi penampung Cetak Anda sebelum menonaktifkan layanan ini dan mencegah alur kerja pencetakan aktif.
• Peran pengontrol domain menambahkan utas ke layanan penampung yang bertanggung jawab untuk melakukan pemangkasan cetak – menghapus objek antrean cetak basi dari Direktori Aktif. Oleh karena itu, rekomendasi keamanan untuk menonaktifkan layanan penampung Cetak adalah trade-off antara keamanan dan kemampuan untuk melakukan pemangkasan cetak. Untuk mengatasi masalah ini, Anda harus mempertimbangkan untuk memangkas objek antrean cetak kedaluarsa secara berkala.

Bagaimana cara menggunakan penilaian keamanan ini?

1. Tinjau tindakan yang direkomendasikan di https://security.microsoft.com/securescore?viewid=actions untuk menemukan pengontrol domain mana yang mengaktifkan layanan penampung Cetak.

   

2. Ambil tindakan yang sesuai pada pengontrol domain berisiko dan secara aktif menghapus layanan penampung Cetak baik secara manual, melalui GPO atau jenis perintah jarak jauh lainnya.

Catatan

Meskipun penilaian diperbarui mendekati real time, skor dan status diperbarui setiap 24 jam. Meskipun daftar entitas yang terkena dampak diperbarui dalam beberapa menit setelah Anda menerapkan rekomendasi, status mungkin masih membutuhkan waktu hingga ditandai sebagai Selesai.

Remediasi

Perbaiki masalah khusus ini dengan menonaktifkan layanan Print Spooler di semua server yang tidak memerlukannya.

Langkah berikutnya

• Pelajari selengkapnya tentang Skor Aman Microsoft
• Lihat forum Defender for Identity!