Sebastians IT-Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Sebastians IT-Wiki » Windows Server » Windows Printserver
Zuletzt angesehen: Veeam Copy Jobs auf externe Medien NTP unter Windows Windows KMS Windows: Domain Controller installieren Nextcloud auf Ubuntu Windows Printserver ESXi updaten
win_server:print

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
win_server:print [2021/09/22 15:11] – [Druckerverteilung via GPO statt nur Point-And-Print] angelegt Sebastian Hetzelwin_server:print [2021/10/26 12:04] (aktuell) – [Die Lösung - der Mittelweg] Ergänzung Sebastian Hetzel
Zeile 21: Zeile 21:
 </code> </code>
  
-Alternativ kann die Einstellung auch über GPO erfolgen:+Alternativ kann die Einstellung auch über GPO erfolgen.
  
 +===== Problemstellung =====
  
 +Leider stellt das Deaktivieren des Point-And-Print-Mechanismus die Admins eines klassischen Printserver vor eine Herausforderung: Bleibt es flächendeckend eingeschaltet, besteht enormes Kompromittierungsrisiko. Bleibt es allerdings ausgeschaltet, fragen alle Clients nach Adminrechten, sobald ein Druckertreiber installiert oder aktualisiert wird.
 +
 +===== Die Lösung - der Mittelweg =====
 +
 +Wenn wir nicht jedem Benutzer Adminrechte auf den Workstations geben möchten, bleibt nur die Sicherheit soweit aufzuweichen, wie es nötig ist. Also teilen wir die zu schützenden Systeme in folgende Gruppen auf:
 +
 +  - Domain Controller (besonders schützenswert)
 +  - PCs und Server ohne Printfunktion
 +  - PCs und Server mit Printfunktion als Client
 +  - Printserver
 +
 +^Systemrguppe^Sinnvolle Maßnahme^
 +|Domain Controller|Spoolerdienst deaktivieren|
 +|PCs und Server ohne Printfunktion|Spoolerdienst deaktivieren|
 +|PCs und Server mit Printfunktion als Client|GPO "Disallow client connections" sowie "Point-And-Print restricted" |
 +|Printserver|Keine Maßnahme - exponiert|
 +
 +<note warning>Wird eine Printserverrolle auf einem Domain Controller betrieben, sollte diese schnellstens auf einen Memberserver migriert werden. Die Lücken erlauben das Erschleichen von Systemrechten auf dem Server. Ist der befallene Server ein DC, bedeutet dies, der Angreifer hat Domain-Admin-Rechte!</note>
 +===== Spooler deaktivieren oder abschotten =====
 +
 +Kann oder möchte man auf Point-And-Print nicht verzichten, dann hilft es nur den Spooler-Dienst einschzuschränken.
 +
 +^Maßnahme^Sinnvoll bei^
 +|Spooler stoppen|Alle Systeme ohne Druckfunktion: z. B. alle Server außer **Printserver**|
 +|GPO "Disallow client connections"|Alle Systeme, die keine Drucker zur Verfügung stellen, aber selbst drucken müssen: z. B. **PCs und Notebooks sowie Terminalserver**.|
 +
 +==== Spooler deaktivieren ====
 +
 +Hier einen Einzeiler für die Powershell (Adminrechte vorausgesetzt):
 +
 +<code |powershell>
 +Stop-Service -name Spooler -force; Set-Service -name spooler -startupType disabled
 +</code>
 +
 +Alternativ via GPO.
 +
 +==== Disallow Client Connections ====
 +
 +Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Drucker -> [Annahme von Clientverbindungen zum Druckspooler zulassen] = **Deaktiviert**
 +
 +{{:win_server:gpo_spooler_disallowclientsconnections.png|}}
win_server/print.1632316315.txt.gz · Zuletzt geändert: von Sebastian Hetzel
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki