kb-win-desactiver-service-spouleur - My Personal Knowledge Base

# Sécuriser le service Spooler d'impression sur un DC Lors d'un audit PingCastle, vous pouvez parfois obtenir le message suivant. Dans cet article, nous allons proposer des solutions techniques pour supprimer ce risque de sécurité dans l'AD : ![[_img-kb-AD-A-DC-Spooler.png]] ## Description de la règle A-DC-Spooler Dans la section "*Anomalies analyzis*" on peut prendre connaissance des détails relatifs au point de contrôle nommé "*Ensure that the Spooler service cannot be abused to get the DC credentials*" : - **Règle ID** : A-DC-Spooler - **Point** : +10 - **Description** : Le service spooler d'impression est démarré avec un compte SYSTEM sur le DC, ce qui représente une menace, car il est exposé sur le réseau. - **Explications techniques** : Ceci représenter une faille qui permet de récupérer les informations d'identification du contrôleur de domaine. L’attaquant peut récupérer le TGT du DC et le réutiliser dans une attaque DCSync pour extraire les hashs de tous les utilisateurs afin d’usurper leur identité sur le réseau. - **Les solutions préconisées** : Généralement un DC n'a pas besoin d'être serveur d'impression, il est recommandé de désactiver ce service. ## Solution 1 : Désactiver le service via services.msc La première méthode consiste à arrêter et à désactiver le service dans le "*Gestionnaire de services*" de Windows : - Ouvrez une session sur le DC. - Lancez la console « **services.msc** » (Gestionnaire de services sous Windows), - Ouvrez les propriétés du service nommé « **Spouleur d’impression** », - Suivez les étapes suivantes : ![[_img-kb-ad-pingcastle-A-DC-Spooler.png]] ## Solution 2 : Désactiver le service via GPO Il existe 2 paramètres de GPO qui permettent de désactiver le service spooler, choisissez l'une ou l'autre de ces deux options. ### Option 1 : GPO Services systèmes Les détails de création et de configuration de la GPO ne seront pas présentés ici, mais voici le paramètre à configurer : - *Configuration Ordinateur* > *Paramètres Windows* > *Paramètres de sécurité* > S*ervices Systèmes*. - Définir le paramètre de stratégie nommé "*Spouleur d'impression*" sur "Désactivé". ![[_img-kb-ad-pingcastle-A-DC-Spooler-1.png]] ### Option 2 : via un Modèle d'administration Il est aussi possible d'utiliser l'alternative suivante : - *Configuration Ordinateur* > *Stratégies* > *Modèles d'administration* > *Imprimantes* - Définir le paramètre nommé "*Autoriser le spouleur d'impression à accepter les connexions des clients*" sur "Désactivé". ![[_img-kb-ad-pingcastle-A-DC-Spooler-4.png]] # Conclusion Une fois le service Spooler désactivé sur le DC, vérifiez qu’il ne se relance pas après redémarrage. Désactiver le service Spooler sur un contrôleur de domaine élimine un vecteur d’attaque critique et renforce la résilience globale de l’Active Directory.