Valutazione della sicurezza: controller di dominio con il servizio spooler di stampa disponibile
Che cos'è il servizio spooler di stampa?
Lo spooler di stampa è un servizio software che gestisce i processi di stampa. Lo spooler accetta i processi di stampa dai computer e verifica che le risorse della stampante siano disponibili. Lo spooler pianifica anche l'ordine in cui i processi di stampa vengono inviati alla coda di stampa per la stampa. Nei primi giorni dei personal computer, gli utenti dovevano attendere che i file stampati prima di eseguire altre azioni. Grazie ai moderni spooler di stampa, la stampa ora ha un impatto minimo sulla produttività complessiva degli utenti.
Quali rischi comporta il servizio Spooler di stampa nei controller di dominio?
Anche se apparentemente innocuo, qualsiasi utente autenticato può connettersi in remoto al servizio spooler di stampa di un controller di dominio e richiedere un aggiornamento sui nuovi processi di stampa. Inoltre, gli utenti possono indicare al controller di dominio di inviare la notifica al sistema con delega non vincolata. Queste azioni testano la connessione ed espongono le credenziali dell'account computer del controller di dominio (lo spooler di stampa è di proprietà di SYSTEM).
A causa della possibilità di esposizione, i controller di dominio e i sistemi di amministrazione di Active Directory devono disabilitare il servizio spooler di stampa. Il modo consigliato per eseguire questa operazione consiste nell'usare un oggetto Criteri di gruppo.
Anche se questa valutazione della sicurezza è incentrata sui controller di dominio, qualsiasi server è potenzialmente a rischio per questo tipo di attacco.
Nota
- Assicurarsi di analizzare le impostazioni, le configurazioni e le dipendenze dello spooler di stampa di stampa prima di disabilitare questo servizio e impedire i flussi di lavoro di stampa attivi.
- Il ruolo controller di dominio aggiunge un thread al servizio spooler responsabile dell'eliminazione della stampa, rimuovendo gli oggetti coda di stampa non aggiornati da Active Directory. Pertanto, la raccomandazione di sicurezza per disabilitare il servizio Spooler di stampa è un compromesso tra la sicurezza e la possibilità di eseguire l'eliminazione di stampa. Per risolvere il problema, è consigliabile eliminare periodicamente gli oggetti coda di stampa non aggiornati.
Ricerca per categorie usare questa valutazione della sicurezza?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per individuare quali controller di dominio hanno il servizio spooler di stampa abilitato.
Intervenire in modo appropriato sui controller di dominio a rischio e rimuovere attivamente il servizio Spooler di stampa manualmente, tramite oggetti Criteri di gruppo o altri tipi di comandi remoti.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.
Correzione
Risolvere questo problema specifico disabilitando il servizio Spooler di stampa in tutti i server che non lo richiedono.