[Windows&AD Sécurité] Recommandation service Spooler

Suite à la vulnérabilité CVE-2021-34527, il est recommandé de désactiver le service spooler sur les serveurs Windows qui n’en n’ont pas l’utilité et en particulier sur les contrôleurs de domaines.

Vous trouverez plus d’information dans les articles suivants :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Lorsque vous désactiver le service, il n’est plus possible d’imprimer localement ou à distance. Cela reste acceptable sur les contrôleurs de domaines s’ils n’ont pas d’autres rôles (ce qui est recommandé).

Vous pouvez désactiver le service à l’aide de Powershell avec les commandes :

   Stop-Service spooler

    Set-Service -Name Spooler -StartupType Disabled  

 

Le script suivant vous permet d’arrêter le spooler sur l’ensemble des DC du domaine (remote PowerShell nécessaire).

$DCs =( (Get-ADDomainController -filter * ) | select hostname)

Foreach ($DC in $DCs)

    {

     Write-Host $dc.hostname

    Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Stop-Service spooler }

    Set-Service -ComputerName $dc.hostname -Name Spooler -StartupType Disabled 

    Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Get-Service -Name spooler | select Name,Displayname,Status,Starttype}

    }

 

   

 

Vous pouvez redémarrer le service sur tous les contrôleurs de domaine avec le script

$DCs =( (Get-ADDomainController -filter * ) | select hostname)

Foreach ($DC in $DCs)

    {

    Set-Service -ComputerName $dc.hostname -Name Spooler -StartupType Automatic 

        Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Start-Service spooler }

        Write-Host $dc.hostname

    Invoke-Command -ComputerName $dc.hostname -ScriptBlock { Get-Service -Name spooler | select Name,Displayname,Status,Starttype}

    }

Une autre option plus largement possible est de désactiver le paramètre « Autoriser le spooler d’impression à accepter les connexions des clients », situé dans « Configuration ordinateur/Modèle d’administration / imprimante ».

Dans ce cas, l’impression locale continue de fonctionner, mais les postes clients ne pourront utiliser ce serveur en tant que serveur d’impression.

Une mise à jour a été publiée au mois de juillet, concernant cette vulnérabilité du service Spooler :

https://support.microsoft.com/fr-fr/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Néanmoins, la recommandation d’arrêter le service sur des contrôleurs de domaine qui n’ont pas d’autres rôles reste valable.

 

 

 

Theme: 

Systeme: 

Annee: