Avaliação de segurança: controladores de domínio com o serviço spooler de impressão disponível
O que é o serviço spooler de impressão?
O spooler de impressão é um serviço de software que gere processos de impressão. O spooler aceita tarefas de impressão de computadores e garante que os recursos da impressora estão disponíveis. O spooler também agenda a ordem pela qual as tarefas de impressão são enviadas para a fila de impressão para impressão. Nos primeiros dias dos computadores pessoais, os utilizadores tiveram de esperar até que os ficheiros imprimidos antes de realizarem outras ações. Graças aos spoolers de impressão modernos, a impressão tem agora um impacto mínimo na produtividade geral dos utilizadores.
Quais são os riscos que o serviço Spooler de Impressão nos controladores de domínio apresenta?
Embora aparentemente inofensivo, qualquer utilizador autenticado pode ligar-se remotamente ao serviço de spooler de impressão de um controlador de domínio e pedir uma atualização em novas tarefas de impressão. Além disso, os utilizadores podem indicar ao controlador de domínio para enviar a notificação para o sistema com delegação sem restrições. Estas ações testam a ligação e expõem a credencial da conta de computador do controlador de domínio (o spooler de impressão pertence à SYSTEM).
Devido à possibilidade de exposição, os controladores de domínio e os sistemas de administração do Active Directory têm de ter o serviço Spooler de Impressão desativado. A forma recomendada de o fazer é utilizar um Objeto Política de Grupo (GPO).
Embora esta avaliação de segurança se centre nos controladores de domínio, qualquer servidor está potencialmente em risco para este tipo de ataque.
Observação
- Certifique-se de que investiga as definições, configurações e dependências do spooler de impressão antes de desativar este serviço e impedir fluxos de trabalho de impressão ativos.
- A função de controlador de domínio adiciona um thread ao serviço spooler que é responsável por executar a eliminação de impressão – removendo os objetos de fila de impressão obsoletos do Active Directory. Por conseguinte, a recomendação de segurança para desativar o serviço Spooler de impressão é uma troca entre a segurança e a capacidade de executar a poda de impressão. Para resolver o problema, deve considerar a eliminação periódica de objetos de fila de impressão obsoletos.
Como fazer utilizar esta avaliação de segurança?
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir qual dos controladores de domínio tem o serviço Spooler de impressão ativado.
Tome as medidas adequadas nos controladores de domínio em risco e remova ativamente o serviço Spooler de impressão manualmente, através de GPO ou de outros tipos de comandos remotos.
Observação
Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.
Remediação
Corrija este problema específico ao desativar o serviço Spooler de Impressão em todos os servidores que não precisam dele.