Ocena zabezpieczeń: Kontrolery domeny z dostępną usługą buforu wydruku

Co to jest usługa buforu wydruku?

Bufor wydruku to usługa programowa, która zarządza procesami drukowania. Bufor akceptuje zadania drukowania z komputerów i zapewnia dostępność zasobów drukarki. Bufor planuje również kolejność wysyłania zadań drukowania do kolejki wydruku na potrzeby drukowania. We wczesnych dniach komputerów osobistych użytkownicy musieli czekać, aż pliki wydrukowane przed wykonaniem innych akcji. Dzięki nowoczesnym buforom wydruku drukowanie ma teraz minimalny wpływ na ogólną produktywność użytkowników.

Jakie zagrożenia wprowadza usługa buforu wydruku na kontrolerach domeny?

Pozornie nieszkodliwe, każdy uwierzytelniony użytkownik może zdalnie połączyć się z usługą buforu wydruku kontrolera domeny i zażądać aktualizacji nowych zadań drukowania. Ponadto użytkownicy mogą poinformować kontroler domeny o wysłaniu powiadomienia do systemu z nieprzeciętnym delegowaniem. Te akcje umożliwiają przetestowanie połączenia i uwidocznienie poświadczeń konta komputera kontrolera domeny (bufor wydruku jest własnością systemu).

Ze względu na możliwość ujawnienia, kontrolery domeny i systemy administracyjne usługi Active Directory muszą mieć wyłączoną usługę buforu wydruku. Zalecanym sposobem wykonania tej czynności jest użycie obiektu zasad grupy (GPO).

Chociaż ta ocena zabezpieczeń koncentruje się na kontrolerach domeny, każdy serwer jest potencjalnie narażony na ten typ ataku.

Uwaga

• Przed wyłączeniem tej usługi należy zbadać ustawienia, konfiguracje i zależności buforu wydruku oraz uniemożliwić aktywne przepływy pracy drukowania.
• Rola kontrolera domeny dodaje wątek do usługi buforowania, która jest odpowiedzialna za oczyszczanie wydruku — usuwanie nieodświeżonych obiektów kolejki wydruku z usługi Active Directory. W związku z tym zalecenie dotyczące zabezpieczeń wyłączające usługę buforowania wydruku jest kompromisem między zabezpieczeniami a możliwością oczyszczania wydruku. Aby rozwiązać ten problem, należy rozważyć okresowe oczyszczanie nieodświeżonych obiektów kolejki wydruku.

Jak mogę użyć tej oceny zabezpieczeń?

1. Przejrzyj zalecaną akcję, https://security.microsoft.com/securescore?viewid=actions aby dowiedzieć się, która z kontrolerów domeny ma włączoną usługę buforu wydruku.

   

2. Podejmij odpowiednie działania na kontrolerach domeny o podwyższonym ryzyku i aktywnie usuń usługę buforowania wydruku ręcznie za pomocą obiektu zasad grupy lub innych typów poleceń zdalnych.

Uwaga

Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Korekty

Rozwiąż ten konkretny problem, wyłączając usługę Bufor wydruku na wszystkich serwerach, które nie wymagają tego.

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum usługi Defender for Identity!