Служба печати существует в Windows уже более 20 лет, но похоже на то, что разработчики до сих пор не смогли сделать ее полностью безопасной. Специалисты не только Microsoft, но и сторонних компаний неоднократно находили в ней уязвимости, и вот буквально на днях в Microsoft подтвердили обнаружение еще одной критической уязвимости, позволяющей злоумышленнику удаленно запускать на зараженной системе произвольный программный код с правами SYSTEM.
Практически это означает, что получивший доступ к удаленному компьютеру хакер может выполнять на нём любые действия в обход антивирусов, начиная от удаления файлов и заканчивая установкой любых программ и созданием новых учетных записей.
Обнаруженной уязвимости официально был присвоен идентификатор CVE-2021-34527, но у нее есть и народное название — PrintNightmare, что буквально означает «Печатный кошмар».
Уязвимость присутствует во всех версиях и сборках Windows, наибольшую угрозу она представляет для серверных версий, но под угрозой оказываются и десктопные версии системы, особенно те, на которых отключен контроль учетных записей.
Закрывающий уязвимость патч только предстоит выпустить, на данном же этапе Microsoft рекомендует установить все доступные обновления безопасности и на время отключить службу Диспетчера очереди печати Spooler или как минимум приостановить функцию удаленной печати через групповые политики.
Отключение службы печати
Если вы не пользуетесь принтерами, можете отключить службу печати полностью.
Запустите от имени администратора консоль PowerShell и выполните одну за другой команды:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Первая команда останавливает службу печати, вторая команды изменяет ее тип запуска на «Отключена».
То же самое можно сделать из оснастки управления службами, найдя в ней службу «Диспетчер печати».
Недостаток этого способа в том, что больше вы не сможете пользоваться принтерами — ни виртуальными, ни находящимися в локальной сети, для этого вам придется на время включить службу печати.
Отключение входящей удаленной печати
Второй способ менее жесткий, он отключает только удаленную входящую печать, оставляя возможность отправлять команды печати на принтеры, находящиеся в локальной сети.
Откройте командой gpedit.msc редактор локальных групповых политик и перейдите к ветке Конфигурация компьютера -> Административные шаблоны -> Принтеры, найдите справа настройку «Разрешить очереди печати принтера прием клиентских подключений».
И дважды кликните по ней, чтобы открыть ее свойства.
Установите для политики значение «Отключено» и сохраните настройки.
Загрузка...
Добавить комментарий