Beveiligingsevaluatie: domeincontrollers met de afdrukspoolerservice beschikbaar

Wat is de afdrukspoolerservice?

Print spooler is een softwareservice waarmee afdrukprocessen worden beheerd. De spooler accepteert afdruktaken van computers en zorgt ervoor dat printerresources beschikbaar zijn. De spooler plant ook de volgorde waarin afdruktaken naar de afdrukwachtrij worden verzonden om af te drukken. In de vroege dagen van persoonlijke computers moesten gebruikers wachten tot bestanden werden afgedrukt voordat ze andere acties uitvoerden. Dankzij moderne afdrukspoolers heeft afdrukken nu minimale invloed op de algehele productiviteit van gebruikers.

Welke risico's introduceert de Print-spooler-service op domeincontrollers?

Hoewel deze schijnbaar ongevaarlijk is, kan elke geverifieerde gebruiker extern verbinding maken met de afdrukspoolerservice van een domeincontroller en een update aanvragen voor nieuwe afdruktaken. Gebruikers kunnen de domeincontroller ook vertellen dat de melding naar het systeem moet worden verzonden met niet-getrainde delegatie. Met deze acties wordt de verbinding getest en wordt de referentie van het computeraccount van de domeincontroller weergegeven (Print spooler is eigendom van SYSTEM).

Vanwege de mogelijkheid tot blootstelling, moeten domeincontrollers en Active Directory-beheersystemen de print-spoolerservice uitgeschakeld hebben. De aanbevolen manier om dit te doen is het gebruik van een Groepsbeleidsobject (GPO).

Hoewel deze beveiligingsevaluatie gericht is op domeincontrollers, loopt elke server mogelijk risico op dit type aanval.

Notitie

• Zorg ervoor dat u de instellingen, configuraties en afhankelijkheden van print-spooler onderzoekt voordat u deze service uitschakelt en actieve afdrukwerkstromen voorkomt.
• De rol van domeincontroller voegt een thread toe aan de spooler-service die verantwoordelijk is voor het uitvoeren van afdruksnoei. Hiermee verwijdert u de verouderde afdrukwachtrijobjecten uit De Active Directory. Daarom is de beveiligingsaanbeveling om de print-spooler-service uit te schakelen een afweging tussen beveiliging en de mogelijkheid om afdruksnoeien uit te voeren. U kunt het probleem oplossen door af en toe verouderde afdrukwachtrijobjecten te verwijderen.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

1. Bekijk de aanbevolen actie om https://security.microsoft.com/securescore?viewid=actions te ontdekken welke van uw domeincontrollers de print-spooler-service heeft ingeschakeld.

   

2. Neem de juiste actie op de domeincontrollers die risico lopen en verwijder de print-spooler-service handmatig, via groepsbeleidsobject of andere typen externe opdrachten.

Notitie

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.

Herstel

Los dit specifieke probleem op door de Print Spooler-service uit te schakelen op alle servers waarvoor dit niet nodig is.

Volgende stappen

• Meer informatie over Microsoft Secure Score
• Bekijk het Defender for Identity-forum.