セキュリティ評価: 印刷スプーラー サービスが使用可能なドメイン コントローラー
印刷スプーラ サービスとは何ですか。
印刷スプーラーは、印刷プロセスを管理するソフトウェア サービスです。 スプーラーは、コンピューターからの印刷ジョブを受け入れ、プリンター リソースが使用可能であることを確認します。 スプーラーは、印刷用に印刷ジョブが印刷キューに送信される順序もスケジュールします。 パーソナル コンピューターの初期の頃、ユーザーは他の操作を実行する前にファイルが印刷されるまで待つ必要がありました。 最新の印刷スプーラーにより、印刷がユーザーの全体的な生産性に与える影響を最小限に抑えるようになりました。
印刷スプーラー サービスがドメイン コントローラに引き起こすリスクにはどのようなものがありますか。
一見無害に見えますが、認証されたユーザーは、doメイン コントローラーの印刷スプーラー サービスにリモートで接続し、新しい印刷ジョブの更新を要求できます。 また、ユーザーは、制約のない委任を使用してシステムに通知を送信するようにドメイン コントローラーに指示できます。 これらのアクションは、接続をテストし、ドメイン コントローラーのコンピューター アカウント資格情報を露出します (印刷スプーラーはシステムによって所有されています)。
露出の可能性があるため、ドメイン コントローラーと Active Directory 管理システムでは、印刷スプーラー サービスを無効にする必要があります。 これを行うために推奨される方法は、グループ ポリシー オブジェクト (GPO) を使用することです。
このセキュリティ評価はドメイン コントローラーに焦点を当てていますが、どのサーバーも、この種の攻撃の危険にさらされる可能性があります。
Note
- このサービスを無効にしてアクティブな印刷ワークフローを阻止する前に、印刷スプーラーの設定、構成、依存関係を調査してください。
- ドメイン コントローラーに DC ロールをインストールすると、印刷のプルーニング (古い印刷キュー オブジェクトを Active Directory から削除する処理) を実行するスレッドがスプーラー サービスに追加されます。 これにより、印刷スプーラー サービスを無効にするためのセキュリティの推奨事項は、セキュリティと印刷の削除を実行する機能の間のトレードオフです。 この問題に対処するには、古い印刷キュー オブジェクトを定期的に削除することを検討する必要があります。
このセキュリティ評価はどのように使用できますか。
https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認し、どのドメイン コントローラーで印刷スプーラー サービスが有効になっているかを確認します。
危険にさらされているドメイン コントローラーで適切なアクションを実行し、手動で、または GPOあるいはその他の種類のリモート コマンドを介して印刷スプーラー サービスをアクティブに削除します。
Note
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。
Remediation
この特定の問題を解決するには、印刷スプーラー サービスを必要としないすべてのサーバーで無効にします。