غیرفعال کردن سرویس Print Spooler از طریق Group policy
16 مرداد 1400 آموزش های کاربردی بدون دیدگاه

غیرفعال کردن سرویس Print Spooler از طریق Group policy

غیرفعال کردن سرویس Print Spooler از طریق Group policy: بنا بر گزارش مرکز راهبردی افتا، و نیز طبق توصیه های مایکروسافت، آژانس امنیت سایبری و زیرساخت (CISA) در مورد آسیب‌پذیری روز – صفر PrintNightmare در اطلاعیه‌ای به مدیران توصیه می‌کند که سرویس Windows Print Spooler را بر روی سرورهایی که برای چاپ استفاده نمی‌شوند غیرفعال کنند. از آنجایی که این سرویس بطور پیش فرض در اکثر ویندوزهای کلاینتی و نیز سیستم عامل های سروری فعال است، و از طرف دیگر این سرویس موجب در معرض حمله قرار گرفتن دامین کنترلرها و سیستم های مدیریت اکتیودایرکتوری می شود، طبق توصیه مایکروسافت این سرویس، باید در سیستم هایی که از آن استفاده نمی کنند، غیرفعال شود.

تا زمانی که مایکروسافت آسیب‌پذیری روز – صفر PrintNightmare را برطرف نکند، غیرفعال کردن سرویس Print Spooler ساده‌ترین راه برای اطمینان از عدم تهدید عاملان تهدید برای حمله و تخریب شبکه‌های سازمانی است.

سرویس Print spooler چیست؟

Print spooler یک سرویس نرم افزاری است که فرآیندهای چاپ را مدیریت می کند. Spooler کارهای چاپ را از رایانه می پذیرد و مطمئن می شود که منابع چاپگر در دسترس است. Spooler همچنین ترتیب ارسال کارهای چاپی را به صف چاپ برای چاپ برنامه ریزی می کند. در روزهای اولیه عرضه پرینتر و رایانه های شخصی، کاربران مجبور بودند قبل از انجام سایر اقدامات، منتظر چاپ فایل ها باشند. به لطف اسپولرهای چاپ مدرن، عمل چاپ در حال حاضر کمترین تأثیر را بر بهره وری کلی کاربران دارد.

غیرفعال‌کردن سرویس Print Spooler

خطر این سرویس آنجایی نمود می یابد که اگر مهاجمی کاربر یا رایانه دامنه را کنترل کند، می تواند با یک تماس RPC خاص، سرویس spooler هدفی را که آن را اجرا می کند فعال کرده و به یک تأیید اعتبار برساند. در صورت موفقیت آمیز بودن این حمله، مهاجم می تواند کنترل کننده دامنه را به دست گیرد و هرگونه فرمان را که می خواهد مورد اجرا قرار دهد و دامنه ویندوز را به طور موثر کنترل کند.

بنابراین غیرفعال کردن این سرویس در سیستم هایی که از آن استفاده نمی کنند، امری ضروری است.

برای غیرفعال کردن سرویس Print Spooler می توان از دو روش استفاده نمود:

  1. غیرفعال کردن سرویس Print Spooler با استفاده از گروپ پالسی
  2. غیرفعال کردن سرویس Print Spooler با استفاده از پاورشل

غیرفعال کردن سرویس Print Spooler با استفاده از گروپ پالسی

برای غیر فعال نمودن این سرویس با استفاده از Group  policy باید مسیر زیر را طی کنید:

Computer configuration -> Administrative Templates -> Printers -> Allow Print Spooler to accept client connections

غیرفعال‌کردن سرویس Print Spooler

در این صفحه گزینه Disable را تیک دار کنید و سپس تنظیمات را ذخیره کنید. سپس سرویس spooler را روی سیستم آسیب دیده مجددا راه اندازی کنید. (برای انجام این کار کافیست در کنسول Services.msc سرویس Print Spooler را پیدا کرده و روی آن راست کلیک کنید و Restart را بزنید. نکته قابل توجه این است که برای انجام این کار باید سرویس در حالت Running باشد و Startup type آن در حالت Automatic باشد. درست همانطور که باید کامپیوتر روشن باشد تا بتوانیم آنرا Restart کنیم.) خواهید دید که همه چیز خوب پیش می رود و دسترسی به آن ممنوع می شود.

غیرفعال کردن سرویس Print Spooler با استفاده از پاورشل

برای غیرفعال نمودن این سرویس با استفاده از پاورشل کافیست کد های زیر را در محیط پاورشل اجرا کنید.

# the script STOP and DISABLES Print Spooler service (aka #PrintNightmare) on each server from the list below IF ONLY DEFAULT PRINTERS EXIST.
# revert if you need: go to services.msc, find the "print spooler" service, change startup type to "automatic" and start the service.
# Source: https://github.com/gtworek/PSBits/blob/master/Misc/StopAndDisableDefaultSpoolers.ps1
#
# Requirements RSAT
# Get-Module -Name ActiveDirectory
# Import-Module -Name ActiveDirectory

$computers = Get-ADDomainController -filter * | %{ $_.name }

foreach ($computer in $computers)
{
    Write-Host "Processing $computer ..." 
    $service = Get-Service -ComputerName $computer -Name Spooler -ErrorAction SilentlyContinue
    if (!$service)
    {
        Write-Host "Cannot connect to Spooler Service on $computer. Skipping." -ForegroundColor Yellow
        continue
    }
    if ($service.Status -ne "Running")
    {
        Write-Host ("Service status is: """ + $service.Status + """. Skipping.") -ForegroundColor Yellow
        continue
    }
    $printers = (Get-WmiObject -class Win32_printer -ComputerName $computer)
    if (!$printers)
    {
        Write-Host "Cannot enumerate printers. Skipping." -ForegroundColor Yellow
        continue
    }

    $disableSpooler = $true
    foreach ($DriverName in ($printers.DriverName))
    {
        if (($DriverName -notmatch 'Microsoft XPS Document Writer') -and ($DriverName -notmatch 'Microsoft Print To PDF'))
        {
            Write-Host "  Printer found: $DriverName" -ForegroundColor Green
            $disableSpooler = $false
        }
    }
    if ($disableSpooler)
    {
        Write-Host "Only default printers found. Stopping and disabling spooler..." -ForegroundColor DarkCyan
        (Get-Service -ComputerName $computer -Name Spooler) | Stop-Service -Verbose
        Set-Service -ComputerName $computer -Name Spooler -StartupType Disabled -Verbose

    }
    else
    {
        Write-Host "Non-default printers found. Skipping." -ForegroundColor Green
    }
}

برگرفته از: گیت هاب و افتا

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.