Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Microsoft adviseert Print Spooler uit te zetten na misbruik PrintNightmare-lek

Microsoft heeft work-arounds gepubliceerd om het risico op misbruik van een pas ontdekte kwetsbaarheid met betrekking tot de Print Spooler Service van Windows tegen te gaan. Het lek maakte onder omstandigheden het uitvoeren van code met systeemrechten mogelijk.

Microsoft heeft nog geen update uitgebracht om het lek te dichten, maar geeft in een beveiligingswaarschuwing twee opties om misbruik tegen te gaan. De eerste optie is om de Print Spooler-functie geheel uit te schakelen, de tweede is om via Groepsbeleid te voorkomen dat de Print Spooler binnenkomende clientconnecties accepteert. In beide gevallen is printen op afstand niet meer mogelijk, lokaal aansluiten van een printer werkt nog wel.

Microsoft meldt verder dat de kwetsbaarheid actief misbruikt wordt en dat deze alle versies van Windows treft. Het bedrijf verricht nog onderzoek om de ernst van de kwetsbaarheid te achterhalen, maar meldt al wel dat een aanvaller die met succes het lek misbruikt, Windows-domeincontrollers kan overnemen en met systeemrechten code kan uitvoeren op kwetsbare systemen.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency adviseerde voorafgaand aan Microsofts waarschuwing al om de Print Spooler Service uit te schakelen in domeincontrollers en systemen die niet gebruikt worden om te printen. De kwetsbaarheid heeft de aanduiding CVE-2021-34527 gekregen en is gerelateerd aan kwetsbaarheid CVE-2021-1675. Beide betreffen RpcAddPrinterDriverEx, maar het gaat om verschillende kwetsbaarheden en aanvalsmethoden. CVE-2021-1675 is bij een beveiligingsupdate in juni gedicht.

Afgelopen week verschenen berichten over een kwetsbaarheid met betrekking tot de Print Spooler nadat het Chinese beveiligingsbedrijf QiAnXin een proof-of-concept en technische details over uitbuiten van de eerdere kwetsbaarheid CVE-2021-1675 online zette. Ze noemden hun exploit PrintNightmare en het bleek dat deze ook werkte op volledig gepatchte systemen. Daarmee gaat het om een zerodaykwetsbaarheid die weliswaar verband houdt met de eerdere kwetsbaarheid, maar als nieuw lek beschouwd moet worden. De patch die Microsoft in juni publiceerde, bleek onvoldoende om de PrintNightmare-aanvalsmethode tegen te gaan.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

02-07-2021 • 10:41

169 Linkedin

Submitter: x86dev

Reacties (169)

Wijzig sortering
Volgens de MS Security Alert 'Windows Print Spooler Remote Code Execution Vulnerability' kan je de Printer Spooler service aan laten staan en (alleen) de Remote functie uitzetten:

Option 2 - Disable inbound remote printing through Group Policy
You can also configure the settings via Group Policy as follows:
Computer Configuration / Administrative Templates / Printers
Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks.
Impact of workaround This policy will block the remote attack vector by preventing inbound remote printing operations. The system will no longer function as a print server, but local printing to a directly attached device will still be possible.
Als je toch wilt kunnen blijven printen stel ik inderdaad deze optie voor.

Run (Windows-R)
gpedit.msc
In het menu aan de linkerkant ga achtereenvolgens naar:
Computer Configuration
-> Administrative Templates
--> Printers
Dubbelklik op "Allow Print Spooler to accept client connections".
Klik linksbovenin op "Disabled" en daarna op Apply/OK.

Zoals @mutsje hieronder aangeeft, eventjes de spooler service opnieuw starten naderhand.
Start
typ: "cmd", rechtermuisklik -> Run as administrator
net stop spooler; net start spooler

[Reactie gewijzigd door Eluminate op 2 juli 2021 13:45]

Bij optie 2 is het verplicht de printspooler service te herstarten of het werkstation herstarten. Anders word de policy niet actief.
En die inkomende verbindingen gebeurd standaard al op een client, omdat de windows firewall die normaal blokkeert. Het stoppen van de printer spooler op werkstations is dan ook not done. Als je dat wel doet werkt het printen lokaal ook niet meer
(en ik kijk daarbij totaal niet naar mijn collega's bij systeembeheer)
Run (Windows-R)
services.msc
Print Spooler -> properties
Startup type: disabled
Of via Group Policy in de Default Domain Controllers Policy.
Print Spooler op disabled zetten en stop service.

Binnen een paar minuten alle DC's met Print Spooler uitgeschakeld.
Mocht je later een nieuwe server toevoegen, dan krijgt deze direct deze policy voor de kiezen voor het geval je dit vergeet in te stellen voor een nieuwe server.
Mag hopen dat je ze wel weer aanzet ?
Domain controller print spooler heeft extra functie:

On a domain controller, the installation of the DC role adds a thread to the spooler service that is responsible for performing print pruning – removing the stale print queue objects from the Active Directory. If the spooler service is not running on at least one DC in each site, then the AD has no means to remove old queues that no longer exist
Domain controller print spooler heeft extra functie:

On a domain controller, the installation of the DC role adds a thread to the spooler service that is responsible for performing print pruning – removing the stale print queue objects from the Active Directory. If the spooler service is not running on at least one DC in each site, then the AD has no means to remove old queues that no longer exist
Mag toch hopen dat (OK wat meer handwerk) een sys admin dat ook met de hand zou kunnen doen en er niet per se een print spooler voor op je domain controller hoeft te draaien? Zou niet verwachten dat er veel mutaties op print-queues zijn (wel op items in de queue, maar die horen voor mijn gevoel ook niet thuis in AD)
Stop ook de service als hij draait :)
Niet vergeten ook nog rechtermuisklik --> stop service te doen. :)
powershell als admin:
Set-service "spooler" -StartupType Disabled
get-service "print spooler" | stop-service
get-service "print spooler"

zoiets
En service stoppen, of herstarten na disablen
Uberhaupt nooit begrepen waarom deze nooit op "Manual (Trigger Start)" staat en gewoon gestart wordt wanneer je wat wil printen.
Alsof je die 1 seconde verlies gaat merken bij een print die 20-60 seconden duurt.

Als MS nou eens zoveel mogelijk services default uit zet en alleen per gebruik start ipv zoveel mogelijk op Automatic te zetten zelfde met taskscheduler en overbodige-drivers, dan zouden dit soort attack mogelijkheden al bij voorbaat zo goed als onmogelijk zijn.
Je kan via gpedit remote connections uitzetten. Dan kun je nog steeds lokaal printen, maar ben je niet meer kwetsbaar voor dit lek.

Zie mijn andere comment
Ik gebruik al een andere mitigation die bijna geen nadelen heeft.
Dit powershell script:
$Path = "C:\Windows\System32\spool\drivers"
$Acl = (Get-Item $Path).GetAccessControl('Access')
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")
$Acl.AddAccessRule($Ar)
Set-Acl $Path $Acl

bron: https://blog.malwarebytes...ndows-domain-controllers/
je moet het natuurlijk niet op je printservers uitzetten en niet op je clients.
Haha ja... wij gebruiken onze DC natuurlijk niet als printserver ;)
lijkt me niet handig nee, scheiding der machten.
Gelukkig bestaat SBS niet meer en komt een printspooler op een domain controller niet meer voor. Wel zul je in het MKB met een Legacy Werkplek nog wel servers tegenkomen met gedeelde taken, zoals een printspooler op een fileserver.
Je bent wat dingen door elkaar aan het halen. Je hebt het over een print server. De print spooler service is op iedere server geinstalleerd en staat ook standaard aan. Ook al heb je geen printers geinstalleerd.
Een mooie optie om tegen te gaan dat aanvallers via Printer Spooler nieuwe malafide printer drivers op een systeem zetten is door SYSTEM schrijf-rechten op C:\Windows\System32\spool\drivers te ontnemen: https://blog.truesec.com/...a-patch-is-not-available/

Kan je toch de Printer Spooler aan laten staan. Nadeel is dat nieuwe printer drivers niet meer automatisch geïnstalleerd worden.

[Reactie gewijzigd door Henk Poley op 2 juli 2021 14:39]

Dit zijn oplossingen die meestal meer kwaad doen dan goed. Zou deze alleen als het echt niet anders kan gebruiken.
Het is ook geen oplossing maar een mitigerende maatregel.
Dus kun je probleemloos een spoolertje uitschakelen :)
En dan? Hoe wil je printen vanaf een windows systeem met printspooler uitgeschakeld?
Niet. Dat is ook de workaround, stop met printen. Beetje vreemde workaround. What's next, trek de netwerkkabel uit je PC om misbruik te voorkomen.
Eindelijk een goede reden om duidelijk te maken hoeveel er onnodig wordt geprint.
Gewoon nu geforceerd overstappen op een paperless office. ;) :+
Dit is wel heel kort door de bocht. Er zijn ook fortune500 document management applicaties als OpenText die de spooler gebruiken om honderden formaten om te zetten naar PDF... daar komt verder geen fysiek papier aan te pas :P
Niet alle printjes zijn onnodig.
Leuk voor bv. notarissen die persé alles op papier moeten zetten om wettelijke redenen.

[Reactie gewijzigd door _Pussycat_ op 7 juli 2021 06:23]

Maar dat is dus geen onnodig printen en daar zal een paperless office dus inderdaad niet haalbaar zijn.
If it works 8)7 maar zal wel snel gepatched worden.
I see what you did there _/-\o_
De PC is wel lekker veilig zonder internet :+
Er zit een knop op je PC
Die helpt je zo uit de puree
Druk 'em in en ga maar mee
De bloemen buiten zetten
Een gecompromitteerd werkstation is kwalijk, maar een gecompromitteerde DC, fileserver of applicatieserver is 100x kwalijker. Kies de minst kwalijke.
Ja, want malware komt altijd binnen via een server, nooit via een werkstation. Of toch niet?

Persoonlijk vind ik beveiliging bij de voordeur belangrijker, dan midden in het gebouw bij de serverruimte.
Beveiliging aan de voordeur is achterhaald. De serverruimte is niet meer de veilige zone. Zero trust.
Maar het gaat nu om de legacy werkplek. Een werkstation kan niet zomaar SYSTEM rechten verkrijgen op een DC. Een DC kan wel SYSTEM rechten verkrijgen op een werkstation.
Zolang je niet vanaf je domaincontrollers hoeft te printen, of je domaincontroller ook als printserver fungeert maakt dat niks uit.
Buiten het feit dat de spooler service standaard aan staat (ook op domain controllers). Dus heb ik maar snel een policy gemaakt die hem voor alle servers uitzet.

Ook kun je de C:\Windows\System32\Spool\Drivers map deny modify rechten geven voor SYSTEM.

Zie ook:
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/
Ja die 2e lijkt me niet zo handig... Windows kennende weet je maar nooit wat er daarna allemaal stuk gaat.

Die eerste, ja dat kan, zolang je geen printservers of applicatieservers hebt die willen printen-naar-PDF en dat soort ongein.
Ik weet dat HP in ieder geval modellen heeft met ePrint: dan mail je je documenten naar de printer, in plaats van de klassieke manier.
Je kunt nog wel printen, maar dan dus alleen nog als de printer direct op de betreffende machine is aangesloten, dan is de printspooler niet perse nodig.
Nee kan dus niet want op RDSen waarop
Mensen gewoon werken is de spooler gewoon nodig. Daarbij geldt dit lek ook voor workstations
Ik heb het specifiek over Domain Controllers. Een RDS rol installeer je niet op een DC.
Dan nog staat een printspooler gewoon op een DC. Staat ook standaard op automatic start.
Die zet je dan toch gewoon uit?
Lol, dan heb jij zeker nog nooit in de “keuken” van kleine MKB bedrijven gekeken.

Daar is de DC alles, file, print, DC, etc.

En uiteraard single uitgevoerd want ja kost geld. En ja argumenten als 1 is geen en combineren van rollen is zeer onverstandig zijn aan dovemansoren gericht.
Dan kun je diezelfde hardware toch ook inzetten met een gratis virtualisatielaag en daarop 3 VMs draaien, eentje DC en de andere 2 zoveel mogelijk taken scheiden.
Ik praat nu uit oogpunt van een mkb partij die ergens een vps gehost afneemt.

En ja virtualiseren en kleine bedrijven. Vaak is het hebben van 1 server al een dingetje.

Blijft de een is geen regel van kracht als je 1 hardware doos virtueel gaat gebruiken.
Volgens mij kun je forceren dat de print server spoolt en niet de client met de gpo "Always render print jobs on the server". Maar geen idee of dit nog werkt als je de spooler daadwerkelijk uitzet op je RDS server.
Kleine opmerking, op core server 2019 is de printspooler niet standaard geïnstalleerd...
Goede. Jammer genoeg gebruiken te weinig mensen de core server.
Volgens mij juist wel toch? Er is volgens mij geen enkele reden meer om bijv. in Azure een DC met GUI te installeren. Hoe meer GUI, hoe meer onnodige kosten.
Helaas wel op bijvoorbeeld een domaincontroller die de ADSync service draait bij nood aan de extra's die AAD Cloud Sync niet biedt. Deze laatste heb ik onlangs werkend gekregen op een core server terwijl de starndaard ondersteuning hiervoor ontbreekt.
ADSync hoort niet op een domain controller maar op een applicatieserver.
Als IT het budget zou bepalen wel ja
Volgens mij kan ik beter zeggen dat ik puppy's haat. Dat zou minder reactie geven dan dat ik zeg dat je gewoon de core versie kan gebruiken. :X
Omdat het gros van de bedrijven nog beheerders heeft die in het verleden leven en alle verandering is eng.
Erm, dat je een DC niet als printserver gebruikt of gebruikt om er op af te drukken wil niet zeggen dat er geen printspooler op staat! Dat staat praktisch los van elkaar.

Default staat de spooler service op domain controllers gewoon aan en ben je dus vatbaar voor misbruik! Vandaar ook deze beveiligingswaarschuwing!
Denk even vooruit. Omdat een DC nooit een printspooler gebruikt kun je hem dus gewoon uitschakelen. Ik geef alleen een waarschuwing af dat het in het MKB met Legacy Werkplekken gebruikelijk is dat servers gedeelde taken kunnen hebben, dus dat een printspooler met een applicatieserver of fileserver wordt gecombineerd. De applicatie of legacy fileshare kan dan worden gecompromitteerd.
Dit heeft niets met vooruitdenken te maken maar gewoon met de realiteit. Een printspooler is totaal wat anders dan een server die ook dient als printserver. De spooler service wordt simpelweg gebruikt om af te drukken, ook als een server niet dienst doet als printserver.

Dat het op een normale DC uit kan omdat je niet op je DC gaat zitten om af te drukken of (erger) je DC gebruikt als printserver doet niets af aan het feit dat het standaard áán staat op alle Windows systemen.

Daarbij komt dat deze kwetsbaarheid niet alleen geldt voor domain controllers. In feite zou je op alle Windows systemen de spooler service moeten uitschakelen. Maar dan kun je in zeer veel (bijna alle) gevallen dus totaal niet meer afdrukken. Zelfs als je Linux print servers zou hebben ontvangen deze de opdrachten van een Windows machine via, juist: de spooler service...

[Reactie gewijzigd door Mecallie op 2 juli 2021 11:04]

Elders zeg ik: Een gecompromitteerd werkstation is kwalijk, maar een gecompromitteerde DC, fileserver of applicatieserver is 100x kwalijker. Kies de minst kwalijke.

Ik besef terdege dat de kwetsbaarheid voor alles geldt, maar soms is er (nog) geen goede oplossing. Wel een matig kwalijke oplossing.
Dat is correct, iedereen denkt dat het alleen voor domain controllers geldt, maar om die mensen uit de droom te helpen:

https://docs.microsoft.co...ity/cas-isp-print-spooler
While this security assessment focuses on domain controllers, any server is potentially at risk to this type of attack.
Dat is leuk voor de zaak, maar iedereen met een printer thuis (en Windows) heeft een print spooler draaien.

Daarnaast hebben Citrix/RDS servers ook de print spooler nodig, ook al zijn ze geen print server, tenzij je bij Citrix (bijvoorbeeld VDI) gebruik maakt van de Citrix Print Manager Service.
Citrix Print Manager Service heeft print spooler als dependency.

Zonder print spooler service kun je niet printen. Zet die uit en je ziet niet eens printers.
Maar dat maakt het niet OK natuurlijk. Een aanvaller springt van het ene naar het andere systeem, altijd op zoek naar meer rechten. Het is niet omdat deze niet onmiddelijk op de print spooler kan van een DC dat dit geen andere mogelijkheden biedt in een netwerk.
Hoezo komt printspooler op een domain controller niet meer voor?
Ik heb hier gewoon Server 2016 waar de printspooler actief gebruikt wordt.
Microsoft heeft nog geen update uitgebracht om het lek te dichten, maar geeft in een beveiligingswaarschuwing twee opties om misbruik tegen te gaan. De eerste optie is om de Print Spooler-functie geheel uit te schakelen, de tweede is om via Groepsbeleid te voorkomen dat de Print Spooler binnenkomende clientconnecties geaccepteerd worden. In beide gevallen is printen op afstand niet meer mogelijk, lokaal aansluiten van een printer werkt nog wel.
Hoe dan, als de printspooler van je systeem uit staat?
Je kunt dus feitelijk niet meer printen met een Windows systeem.

Edit: Oh ja, op de parallelle poort waarschijnlijk.

[Reactie gewijzigd door wjn op 2 juli 2021 10:50]

Het gaat hier om domain controllers he... niet om client PC's.
Het gaat hier om alle machines waar windows NT, RT, 8, 10, 2008, 2012, 2016 of 2019 op staat.
Zowel servers als client devices zijn vatbaar voor de kwetsbaarheid in de print spooler.
Hier heb je informatie met links naar meer informatie:

https://advisories.ncsc.nl/advisory?id=NCSC-2021-0571

Het is met deze kwetsbaarheid mogelijk om via de Print Spooler service van Microsoft een verhoogde recht te krijgen waardoor het bij voorbeeld mogelijk is de Domain Controller over te nemen. Dit wil niet zeggen dat je verder niks kan met de rechten. ;-)

[edit: meer informatie toegevoegd]

[Reactie gewijzigd door Ethelind op 2 juli 2021 11:32]

Nee, je kunt de printspooler ook zo beveiligen (GPO of gewoon PowerShell commando) dat deze niet meer (remote) is aan te passen. Als je de juiste software hebt kan deze nog printertaken accepteren en kan er worden afgedrukt via de lokale print spooler.

Toegegeven: dramatisch is dit wel.
Je kunt je afvragen in hoeverre dit nou echt een issue is.
Ja, het is een serieuze bug. Maar, normaliter hangt een Domain Controller niet openbaar aan het internet.
Je moet al op het interne netwerk zijn en je dan toegang verschaffen tot die server voor je deze exploit kunt gaan inzetten.

Wel een gelegenheid om je hardening te verbeteren en op servers gewoon die print spooler uit te zetten (dsiabled) tenzij absoluut nodig.
tenzij je domain Azure AD gebruikt natuurlijk, weet niet of die ook vatbaar is
Goede vraag. Is Universal Print eigenlijk vatbaar?
Nee, ik vermoed van niet...
The Microsoft Windows Print Spooler service fails to restrict access to the RpcAddPrinterDriverEx() function, which can allow a remote authenticated attacker to execute arbitrary code with SYSTEM privileges on a vulnerable system.

Description
The RpcAddPrinterDriverEx() function is used to install a printer driver on a system. One of the parameters to this function is the DRIVER_CONTAINER object, which contains information about which driver is to be used by the added printer.

https://www.kb.cert.org/vuls/id/383432

Dit is echt oude legacy meuk om drivers te installeren op afstand.
Dat is een issue omdat dit dus eventueel ook vanaf een werkstation kan worden afgetrapt. En je weet hoe de meeste mensen zijn: Die klikken over het algemeen alles aan zonder na te denken.
Als je op een systeem kunt geraken met gewone user rechten kan je met deze ineens remote code execution uitvoeren op elk systeem onder SYSTEM … Dus dit is echt een serieus issue want stap 1 is echt niet zo moeilijk….

Meer info
https://www.bleepingcompu...t-allows-domain-takeover/
Kan ik eindelijk Spotify installeren op mijn werk PC, dat mag niet van de systeembeheerders :(
Aangezien RCE mogelijk is, hoef je jezelf geen toegang te verschaffen tot de server.

Je hoeft dus alleen in het subnet te zitten van de omgeving met bijvoorbeeld een DC. Ik noem even wat scenario's op:

- Een medewerker krijgt een virus waardoor een RAT tool geinstalleerd wordt. De hacker kan daarna makkelijk via een scriptje SYSTEM rechten krijgen in het domain.
- Een medewerker voert de exploit zelf uit, om wat voor reden dan ook
- Je gaat als aanvaller bij een bedrijf naar binnen en komt erachter dat een bepaald poortje niet goed gepatched is en je gewoon met je laptop in het kantoor netwerksegment kan komen
- Je verbindt naar het gastennetwerk van een bedrijf en voert pivoting uit

Allemaal zaken die echt wel kunnen gebeuren. Dit is absoluut een issue. Natuurlijk zijn bovenstaande zaken die je als bedrijf kan voorkomen, maar hoe vaak gebeurt dat ook echt? En dit zijn dan een paar scenario's die ik nu in 1 minuut bedenk. Je kan een boel andere manieren gebruiken om dit exploit uit te voeren.
Maar, normaliter hangt een Domain Controller niet openbaar aan het internet.
Je DC hangt als het goed is niet zomaar aan internet, maar Betsy van HR kan evengoed nog wel op een malware linkje klikken in de mail ofzo, en via haar PC kan je DC geëxploiteerd worden.

De hamvraag is hier waarom die spooler standaard aanstaat en standaard remote verbindingen accepteert.
Vind dat niet echt een gezonde "default waarde" voor een server.
duidelijk verhaal, maar ik heb 2 vragen
1. wanneer de print spooler uitgeschakeld wordt werkt een wifi printer dan nog wel?
ik weet namelijk niet of deze als lokaal gezien wordt door windows of niet.
2. waarom staat deze service standaard aan?
1. in de meeste gevallen niet, tenzij er third-party software gebruikt wordt om de printer aan te sturen.
2. stupid default setting for server, ik denk dat <1% van de servers dit nodig heeft.
1) nee
2) omdat printen een standaard OS functionaliteit is die vaker wel dan niet gebruikt wordt.
1. Zonder print spooler kan je gewoon op de WiFi. Overigens, een DC via WiFi heb ik nog niet eerder gezien...
2. Deze staat standaard aan, omdat je standaard verwacht dat je kan printen. Zonder print spooler is printen niet mogelijk en dat is toch wel een redelijk basic functie.
1. Zonder print spooler kan je gewoon op de WiFi.
De vraag was of een wifi-printer nog wel werkt. Nee, dus. (werkt wel, maar niet via windows zonder print spooler)
Klopt, ik las over het woord printer heen.
Zonder print spooler is printen niet mogelijk en dat is toch wel een redelijk basic functie.
Das niet waar, je kunt gewoon printen zonder printspooler, naar een printer die direct is aangesloten op je eigen pc. Bepaalde opties bij printen vallen dan weg (bv niet te delen met andere gebruikers).
In een bedrijf is het verre van gebruikelijk om een printer rechtstreeks aan de computer te hebben hangen in plaats van via het netwerk. Daarom ga ik niet uit van uitzonderingssituaties.
1. ja als je direct naar de wifi printer verbind. Nee als de computer naar de DC verbind, en de DC vervolgens naar de WiFi printer.
2. Is nodig voor printen, tenzij je wilt dat je applicatie vastloopt terwijl hij wacht tot de printopdracht voltooid is.

[Reactie gewijzigd door Yontekh op 2 juli 2021 13:07]

Ik neem aan alleen uitschakelen op servers die niet de rol als printserver dienen?
Naar mijn weten uitschakelen op alle servers, behalve de printserver en clients.

Houd er alleen wel rekening mee dat sommige servers misschien automatisch rapportages printen, die hebben het wél nodig, maar dat is normaliter geen DC (tenzij in een kleine omgeving).
ok, neem ik gelijk ff op met onze sysadmin.
beetje raar en kort advies van MS, ze hadden zich wel de moeite kunnen nemen om dit iets beter uit te leggen. maar goed, bijna weekend, adem-in, adem-uit :)
Dan heeft die sysadmin ook niet veel tijd meer om t te fixen, met bijna weekend..

[Reactie gewijzigd door Toontje_78 op 2 juli 2021 11:04]

Het was woensdag al bekend ;-)
Zo’n bericht als dit doet me beseffen dat ik anno 2021 echt geen flauw benul (meer) van printers heb.

Waarvoor dient deze ‘spooling’ service? Dat is toch een soort queuing van print opdrachten?

De meeste printers bieden die dienst toch gewoon zelf?

Misschien dat een groot bedrijf een dedicated ‘print server’ heeft, om follow me anywhere te kunnen printen?

Klinkt allemaal nogal archaïsch iig.
Als je windows hebt en rechten

Configuratiescherm > Systeembeheer > Services > Print Spooler zet die maar is uit (stoppen).

Moet jij is kijken bij je printers hoeveel printers je nog ziet ;)
Thuis geen printer en op de zaak Apple Airprint :-)

Niet dat die printer veel te doen heeft, zeker zo in Coronatijd.
Dit is geen 2021 software. De printspooler zat er volgens mij in Windows NT al in (ruim voor het milennium).

Printspooling heb je nodig om prints van gebruikers aan te bieden aan de printer, deze eventueel vast te houden, opnieuw af te drukken of te poolen (meerdere printers op 1 queue).
Vroeger met de matrixprinters was de spooler wel leuk als er een verkeerde opdracht heen ging. De printer uitzetten hielp niet na het opnieuw aanzetten begon deze overnieuw met langdurig en luidruchtig printen en de job cancelen wilde ook vaak niet.
Inderdaad, allemaal meegemaakt. Moest je eerst in Unix de opdracht cancellen, dan het lan>serieel kastje uit aan en dan de printer.
Bij het commando om af te drukken, zal windows eerst het document afdrukken naar een "spool" ipv rechtstreeks de printcommando's te sturen, zoals dat gebeurde met de LPT1-poort.
Bij de rechtstreekse methode moet je echt wachten op je computer totdat het vel papier is afgedrukt. Door het spoolen kan je na het virtueel printen weer verder, en dus multitasken, en ook meerdere documenten in wachtrij zetten.
Dat de spooler standaard erin zit is niet zo raar (inderdaad een queue voor verzenden)
Dat ie überhaupt met zo'n hoge rechten draait terwijl het maar een domme queue is, dat het is het rare.
Het is ook treurig dat het printersysteem van Windows nog steeds afhankelijk is van verhoogde rechten. Zie bijvoorbeeld CUPS, dat volledig in een omgeving met beperkte rechten werkt. Dit terwijl gebruikers gewoon printers kunnen beheren (toevoegen, verwijderen) en gebruiken.

Minder rechten had deze kwetsbaarheid niet voorkomen, maar wel de impact beperkt.

[Reactie gewijzigd door The Zep Man op 2 juli 2021 11:03]

wel een toevoeging op het uitschakelen van de print spooler op een domain controller. Het gevolg is wel dat pint pruning niet meer vanzelf gaat op de DC.

Zie ook: https://docs.microsoft.co...ain-controllers-introduce
The domain controller role adds a thread to the spooler service that is responsible for performing print pruning – removing the stale print queue objects from the Active Directory. Therefore, the security recommendation to disable the Print spooler service is a trade-off between security and the ability to perform print pruning. To address the issue, you should consider periodically pruning stale print queue objects.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True