Güvenlik değerlendirmesi: Yazdırma biriktiricisi hizmeti kullanılabilir durumda olan etki alanı denetleyicileri
Yazdırma biriktiricisi hizmeti nedir?
Yazdırma biriktiricisi, yazdırma işlemlerini yöneten bir yazılım hizmetidir. Biriktirici bilgisayarlardan yazdırma işlerini kabul eder ve yazıcı kaynaklarının kullanılabilir olduğundan emin olur. Biriktirici ayrıca yazdırma işlerinin yazdırma sırasına gönderilme sırasını da zamanlar. Kişisel bilgisayarların ilk günlerinde, kullanıcıların diğer eylemleri gerçekleştirmeden önce dosyalar yazdırılana kadar beklemesi gerekiyordu. Modern yazdırma biriktiricileri sayesinde artık yazdırmanın genel kullanıcı üretkenliği üzerinde çok az etkisi vardır.
Etki alanı denetleyicilerindeki Yazdırma biriktiricisi hizmeti hangi risklere neden olur?
Zararsız gibi görünse de, kimliği doğrulanmış herhangi bir kullanıcı bir etki alanı denetleyicisinin yazdırma biriktiricisi hizmetine uzaktan bağlanabilir ve yeni yazdırma işlerinde güncelleştirme isteyebilir. Ayrıca, kullanıcılar etki alanı denetleyicisine bildirimi kısıtlanmamış temsilciyle sisteme göndermesini söyleyebilir. Bu eylemler bağlantıyı sınar ve etki alanı denetleyicisi bilgisayar hesabı kimlik bilgilerini kullanıma sunar (Yazdırma biriktiricisi SYSTEM'a aittir).
Etkilenme olasılığı nedeniyle etki alanı denetleyicilerinin ve Active Directory yönetici sistemlerinin Yazdırma biriktiricisi hizmetinin devre dışı bırakılması gerekir. Bunu yapmak için önerilen yol bir Grup İlkesi Nesnesi (GPO) kullanmaktır.
Bu güvenlik değerlendirmesi etki alanı denetleyicilerine odaklansa da, herhangi bir sunucu bu tür bir saldırı için risk altındadır.
Dekont
- Bu hizmeti devre dışı bırakmadan ve etkin yazdırma iş akışlarını engellemeden önce Yazdırma biriktiricisi ayarlarınızı, yapılandırmalarınızı ve bağımlılıklarınızı araştırdığınızdan emin olun.
- Etki alanı denetleyicisi rolü , eski yazdırma kuyruğu nesnelerini Active Directory'den kaldırarak yazdırma ayıklaması gerçekleştirmekten sorumlu olan biriktirici hizmetine bir iş parçacığı ekler. Bu nedenle, Yazdırma biriktiricisi hizmetini devre dışı bırakmaya yönelik güvenlik önerisi, güvenlik ile yazdırma ayıklaması gerçekleştirme arasında bir dengedir. Sorunu gidermek için eski yazdırma kuyruğu nesnelerini düzenli aralıklarla ayıklamayı göz önünde bulundurmanız gerekir.
Bu güvenlik değerlendirme Nasıl yaparım? kullanılır?
Hangi etki alanı denetleyicilerinizde Yazdırma biriktiricisi hizmetinin etkinleştirildiğini bulmak için önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin.
Risk altında etki alanı denetleyicilerinde uygun eylemi gerçekleştirin ve Yazdırma biriktiricisi hizmetini GPO veya diğer uzak komut türleri aracılığıyla el ile etkin bir şekilde kaldırın.
Dekont
Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.
Düzeltme
Yazdırma Biriktiricisi hizmetini gerektirmeyen tüm sunucularda devre dışı bırakarak bu sorunu düzeltin.