Évaluation de la sécurité : contrôleurs de domaine avec le service du spouleur d’impression disponible
Qu’est-ce que le service du spouleur d’impression ?
Le spouleur d’impression est un service logiciel qui gère les processus d’impression. Le spouleur accepte les travaux d’impression des ordinateurs et vérifie que les ressources d’imprimante sont disponibles. Le spouleur planifie également l’ordre dans lequel les travaux d’impression sont envoyés à la file d’attente d’impression pour l’impression. Au début des jours des ordinateurs personnels, les utilisateurs devaient attendre que les fichiers imprimés avant d’effectuer d’autres actions. Grâce aux spouleurs d’impression modernes, l’impression a désormais un impact minimal sur la productivité globale des utilisateurs.
Quels risques le service spouleur d’impression présente-t-il sur les contrôleurs de domaine ?
Bien qu’il semble inoffensif, tout utilisateur authentifié peut se connecter à distance au service du spouleur d’impression d’un contrôleur de domaine et demander une mise à jour sur les nouveaux travaux d’impression. En outre, les utilisateurs peuvent indiquer au contrôleur de domaine d’envoyer la notification au système avec une délégation non contrainte. Ces actions testent la connexion et exposent les informations d’identification du compte d’ordinateur du contrôleur de domaine (le spouleur d’impression appartient à SYSTEM).
En raison de la possibilité d’exposition, les contrôleurs de domaine et les systèmes d’administration Active Directory doivent désactiver le service spouleur d’impression. La méthode recommandée consiste à utiliser un objet de stratégie de groupe (GPO).
Bien que cette évaluation de la sécurité se concentre sur les contrôleurs de domaine, tout serveur est potentiellement à risque pour ce type d’attaque.
Remarque
- Veillez à examiner les paramètres, configurations et dépendances de votre spouleur d’impression avant de désactiver ce service et d’empêcher les flux de travail d’impression actifs.
- Le rôle de contrôleur de domaine ajoute un thread au service du spouleur responsable de l’exécution de l’élagage d’impression : suppression des objets de file d’attente d’impression obsolètes dans Active Directory. Par conséquent, la recommandation de sécurité pour désactiver le service de spouleur d’impression est un compromis entre la sécurité et la possibilité d’effectuer la coupe d’impression. Pour résoudre ce problème, vous devez envisager de couper régulièrement les objets de file d’attente d’impression obsolètes.
Comment faire utiliser cette évaluation de sécurité ?
Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions découvrir quels contrôleurs de domaine le service spouleur d’impression est activé.
Prenez les mesures appropriées sur les contrôleurs de domaine à risque et supprimez activement le service spouleur d’impression manuellement, par le biais d’objets de stratégie de groupe ou d’autres types de commandes distantes.
Remarque
Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.
Correction
Corrigez ce problème spécifique en désactivant le service Spouleur d’impression sur tous les serveurs qui ne le nécessitent pas.