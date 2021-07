Dass es bei Windows 10 und Druckern immer wieder zu Problemen kommt, dürfte insbesondere Administratoren bekannt sein. Allerdings gab es in der Vergangenheit immer wieder Sicherheitslücken beim Printer-Spooler-Service. Dies ist besonders in Unternehmen problematisch, da sich dieser nicht einfach deaktivieren lässt. Schließlich müssen die Mitarbeiter weiterhin in der Lage sein, Dokumente an den Drucker zu schicken. Mit PrintNightmare gab es erst vor Kurzem eine kritische Schwachstelle im Spooler. Jetzt ist allerdings wieder ein Sicherheitsproblem von Microsoft lokalisiert worden.

Der internationale Hard- und Softwarehersteller stuft den Bedrohungsgrad mit “hoch” ein. Somit besteht insbesondere im Enterprise-Sektor umgehender Handlungsbedarf. Einen Patch gibt es bislang noch nicht. Laut Microsoft wird die Schwachstelle derzeit nicht aktiv ausgenutzt. Angreifer müssen zwar in der Lage sein, lokalen Code auszuführen, dies lässt sich aber problemlos mit einer präparierten Datei realisieren. Anschließend können die Kriminellen das gesamte System kompromittieren. Besonders kritisch wäre dies zum Beispiel bei einem Domain-Controller. Wobei es hier möglich sein sollte, den Spooler-Service zu deaktiveren.

Mittlerweile scheint es zum guten Ton zu gehören, insbesondere bei Windows-Servern grundsätzlich den Printer-Spooler-Service zu entfernen, sofern dieser nicht benötigt wird. Allerdings ist dies auch nicht immer machbar. Je nach verwendeter Applikation kann es vorkommen, dass dieser genutzt wird um PDF-Dateien zu generieren. Mit Hilfe eines Bash-Scripts und einer entsprechenden Gruppenrichtlinie lässt sich das automatisierte Deaktivieren des Spoolers leicht realisieren. Um den Service zu stoppen beziehungsweise auszuschalten, reichen folgende Befehle aus:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Ob der Dienst gestoppt wurde, kann mit Hilfe der Konsole und der Anweisung “Get-Service -Name Spooler” überprüft werden.