安全评估:具有打印后台处理程序服务的域控制器
什么是打印后台处理程序服务?
打印后台处理程序是管理打印过程的软件服务。 后台处理程序接受来自计算机的打印作业,并确保打印机资源可用。 后台处理程序还会计划打印作业发送到打印队列进行打印的顺序。 在个人电脑的早期,用户必须等到打印文件才能执行其他操作。 由于新式打印后台处理程序,打印现在对整体用户工作效率的影响最小。
域控制器上的打印后台处理程序服务有哪些风险?
虽然看似无害,但任何经过身份验证的用户都可以远程连接到域控制器的打印后台处理程序服务,并请求更新新的打印作业。 此外,用户还可以告知域控制器使用不受约束的委派将通知发送到系统。 这些操作测试连接并公开域控制器计算机帐户凭据(打印后台处理程序 由 SYSTEM 拥有)。
由于有可能公开,域控制器和 Active Directory 管理系统需要 禁用打印后台处理程序 服务。 执行此操作的建议方法是使用组策略对象(GPO)。
虽然此安全评估侧重于域控制器,但任何服务器都可能面临此类攻击的风险。
注意
- 在禁用此服务并阻止活动打印工作流之前,请务必调查 打印后台处理程序 设置、配置和依赖项。
- 域控制器角色 将线程添加到后台处理程序服务 ,该服务负责执行打印修剪 – 从 Active Directory 中删除过时的打印队列对象。 因此,禁用 打印后台处理程序 服务的安全建议是安全性与执行打印修剪功能之间的权衡。 若要解决此问题,应考虑定期修剪过时的打印队列对象。
如何实现使用此安全评估?
查看建议的操作 https://security.microsoft.com/securescore?viewid=actions ,发现哪些域控制器 已启用打印后台处理程序 服务。
对有风险的域控制器采取适当的操作,并通过 GPO 或其他类型的远程命令手动删除打印后台处理程序服务。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。
补救
通过在不需要打印后台处理程序的所有服务器上禁用打印后台处理程序服务来修复此特定问题。