Avaliação de segurança: controladores de domínio com o serviço de spooler de impressão disponível

O que é o serviço de spooler de impressão?

O spooler de impressão é um serviço de software que gerencia processos de impressão. O spooler aceita trabalhos de impressão de computadores e garante que os recursos da impressora estejam disponíveis. O spooler também agenda a ordem em que os trabalhos de impressão são enviados para a fila de impressão para impressão. Nos primórdios dos computadores pessoais, os usuários tinham que esperar até que os arquivos fossem impressos antes de executar outras ações. Graças aos spoolers de impressão modernos, a impressão agora tem um impacto mínimo na produtividade geral do usuário.

Quais riscos o serviço de spooler de impressão em controladores de domínio apresenta?

Embora aparentemente inofensivo, qualquer usuário autenticado pode se conectar remotamente ao serviço de spooler de impressão de um controlador de domínio e solicitar uma atualização em novos trabalhos de impressão. Além disso, os usuários podem dizer ao controlador de domínio para enviar a notificação ao sistema com delegação irrestrita. Essas ações testam a conexão e expõem a credencial da conta de computador do controlador de domínio (o spooler de impressão pertence ao SYSTEM).

Devido à possibilidade de exposição, os controladores de domínio e os sistemas de administração do Active Directory precisam ter o serviço de spooler de impressão desabilitado. A maneira recomendada de fazer isso é usando um GPO (Objeto de Diretiva de Grupo).

Embora essa avaliação de segurança se concentre em controladores de domínio, qualquer servidor está potencialmente em risco para esse tipo de ataque.

Observação

• Certifique-se de investigar as configurações, configurações e dependências do spooler de impressão antes de desabilitar esse serviço e impedir fluxos de trabalho de impressão ativos.
• A função de controlador de domínio adiciona um thread ao serviço de spooler responsável por executar a remoção de impressão – removendo os objetos de fila de impressão obsoletos do Active Directory. Portanto, a recomendação de segurança para desabilitar o serviço de spooler de impressão é uma compensação entre a segurança e a capacidade de executar a remoção de impressão. Para resolver o problema, você deve considerar a remoção periódica de objetos de fila de impressão obsoleta.

Como faço para usar essa avaliação de segurança?

1. Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir qual dos controladores de domínio tem o serviço Spooler de impressão habilitado.

   

2. Execute a ação apropriada nos controladores de domínio em risco e remova ativamente o serviço Spooler de impressão manualmente, por meio de GPO ou outros tipos de comandos remotos.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Remediação

Corrija esse problema específico desabilitando o serviço Spooler de Impressão em todos os servidores que não o exigem.

Próximas etapas

• Saiba mais sobre o Microsoft Secure Score
• Confira o fórum do Defender para Identidade!