Dans encore beaucoup d’audit de sécurité Active Directory, il est entre autre remonté que le spooler d’impression est toujours activé sur les contrôler de domaine.
Pour tant, la désactivation de ce service est vivement recommandé.
Pour rappel, le service “Print Spooler” est exécuté avec le compte SYSTEM. Laisser ce service démarré de manière inutile sur des machines dont le rôle n’est pas d’être un serveur d’impression, expose inutilement un service SYSTEM aux utilisateurs. De plus de nombreuse failles sont présente sur ce service jouant sur la délégation de celui-ci.
C’est pour cela que ce service doit être désactivé à minima sur les contrôler de domaine, il est important de noter que la désactivation de ce service peut être étendu sans risque sur l’ensemble des machines qui n’hébergent pas le rôle serveur d’impression.
Deux options peuvent être configurées par GPO afin d’assurer la sécurité autour de ce sujet :
- Computer Configuration > Policies > Windows Settings > Security Settings > System Services > Print Spooler
- Valeur = Disabled
- Computer Configuration > Policies > Administrative Templates > Printers > Allow Print Spooler to accept client connections
- Valeur = Disabled
La désactivation du service “Print Spooler” peut être réalisé sans risque sur l’ensemble des machines (hors serveurs d’impression) et pas uniquement sur les contrôleurs de domaine. De plus, dans un but de sécuriser et d’optimiser vos systèmes, il est recommander de désactiver de base bon nombre de services Windows.
– Security guidelines for system services in Windows Server 2016 | Microsoft Docs
