安全性評估:具有列印後台處理程式服務的域控制器
列印多任務緩衝處理程式服務是什麼?
列印後台處理程式是管理列印程式的軟體服務。 多任務緩衝處理器會接受來自計算機的列印作業,並確定印表機資源可供使用。 多任務緩衝處理程式也會排程列印作業傳送至列印佇列以進行列印的順序。 在個人電腦的早期,用戶必須等到列印盤案,再執行其他動作。 由於新式列印多任務緩衝處理器,列印現在對整體用戶生產力的影響最小。
域控制器上的列印多任務緩衝處理程式服務有哪些風險?
雖然看似無害,但任何已驗證的使用者都可以從遠端連線到域控制器的列印後台處理程式服務,並要求更新新的列印作業。 此外,使用者可以告訴域控制器使用不受限制的委派將通知傳送至系統。 這些動作會測試連線,並公開域控制器電腦帳戶認證(列印後台處理程式 是由 SYSTEM 所擁有)。
由於暴露的可能性,域控制器和 Active Directory 系統必須 停用列印後台處理程式 服務。 建議使用組策略物件 (GPO) 來執行此動作。
雖然此安全性評估著重於域控制器,但任何伺服器都可能面臨這類攻擊的風險。
注意
- 在停用此服務並防止使用中列印工作流程之前,請務必調查您的 列印後台 處理程式設定、組態和相依性。
- 域控制器角色 會將線程新增至負責執行列印剪除的後台處理程式服務 ,從 Active Directory 移除過時的列印佇列物件。 因此,停用 列印多任務緩衝處理程式 服務的安全性建議是安全性與執行列印剪除的能力之間的取捨。 若要解決此問題,您應該考慮定期剪除過時的列印佇列物件。
如何? 使用此安全性評定?
請檢閱 的建議 https://security.microsoft.com/securescore?viewid=actions 動作,以探索哪些域控制器 已啟用列印後台處理程序 服務。
對有風險的域控制器採取適當的動作,並透過 GPO 或其他遠端命令,以手動方式移除列印後台處理程式服務。
注意
雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成。
補救
在不需要列印後台處理程式的所有伺服器上停用列印後台處理程式服務,以修正此特定問題。