[Windows&AD Sécurité] Recommandation service Spooler

Suite à la vulnérabilité CVE-2021-34527, il est recommandé de désactiver le service spooler sur les serveurs Windows qui n’en n’ont pas l’utilité et en particulier sur les contrôleurs de domaines.

Vous trouverez plus d’information dans les articles suivants :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Lorsque vous désactiver le service, il n’est plus possible d’imprimer localement ou à distance. Cela reste acceptable sur les contrôleurs de domaines s’ils n’ont pas d’autres rôles (ce qui est recommandé).

Vous pouvez désactiver le service à l’aide de Powershell avec les commandes :

Stop-Service spooler

Set-Service -Name Spooler -StartupType Disabled

Le script suivant vous permet d’arrêter le spooler sur l’ensemble des DC du domaine (remote PowerShell nécessaire).

$DCs =( (Get-ADDomainController -filter * ) | select hostname)

Foreach ($DC in $DCs)

{

Write-Host $dc.hostname

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Stop-Service spooler }

Set-Service -ComputerName $dc.hostname -Name Spooler -StartupType Disabled

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Get-Service -Name spooler | select Name,Displayname,Status,Starttype}

}

Vous pouvez redémarrer le service sur tous les contrôleurs de domaine avec le script

$DCs =( (Get-ADDomainController -filter * ) | select hostname)

Foreach ($DC in $DCs)

{

Set-Service -ComputerName $dc.hostname -Name Spooler -StartupType Automatic

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Start-Service spooler }

Write-Host $dc.hostname

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Get-Service -Name spooler | select Name,Displayname,Status,Starttype}

}

Une autre option plus largement possible est de désactiver le paramètre « Autoriser le spooler d’impression à accepter les connexions des clients », situé dans « Configuration ordinateur/Modèle d’administration / imprimante ».

Dans ce cas, l’impression locale continue de fonctionner, mais les postes clients ne pourront utiliser ce serveur en tant que serveur d’impression.

Une mise à jour a été publiée au mois de juillet, concernant cette vulnérabilité du service Spooler :

https://support.microsoft.com/fr-fr/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Néanmoins, la recommandation d’arrêter le service sur des contrôleurs de domaine qui n’ont pas d’autres rôles reste valable.

Theme:

News

Systeme:

Windows Server

Annee:

2021

Type:

News

Formulaire de recherche

Stop-Service spooler

Set-Service -Name Spooler -StartupType Disabled

$DCs =( (Get-ADDomainController -filter * ) | select hostname)

Foreach ($DC in $DCs)

{

Write-Host $dc.hostname

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Stop-Service spooler }

Set-Service -ComputerName $dc.hostname -Name Spooler -StartupType Disabled

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Get-Service -Name spooler | select Name,Displayname,Status,Starttype}

}

$DCs =( (Get-ADDomainController -filter * ) | select hostname)

Foreach ($DC in $DCs)

{

Set-Service -ComputerName $dc.hostname -Name Spooler -StartupType Automatic

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Start-Service spooler }

Write-Host $dc.hostname

Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Get-Service -Name spooler | select Name,Displayname,Status,Starttype}

}

Theme:

Systeme:

Annee:

Type:

Abonnement RSS