Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- win_server:print [2021/10/26 11:47] – [Einstellungen für Point-And-Print] Punkt Sebastian Hetzel
+++ win_server:print [2021/10/26 12:04] (aktuell) – [Die Lösung - der Mittelweg] Ergänzung Sebastian Hetzel
@@ Zeile 23: / Zeile 23: @@
 Alternativ kann die Einstellung auch über GPO erfolgen.
+===== Problemstellung =====
+Leider stellt das Deaktivieren des Point-And-Print-Mechanismus die Admins eines klassischen Printserver vor eine Herausforderung: Bleibt es flächendeckend eingeschaltet, besteht enormes Kompromittierungsrisiko. Bleibt es allerdings ausgeschaltet, fragen alle Clients nach Adminrechten, sobald ein Druckertreiber installiert oder aktualisiert wird.
+===== Die Lösung - der Mittelweg =====
+Wenn wir nicht jedem Benutzer Adminrechte auf den Workstations geben möchten, bleibt nur die Sicherheit soweit aufzuweichen, wie es nötig ist. Also teilen wir die zu schützenden Systeme in folgende Gruppen auf:
+  - Domain Controller (besonders schützenswert)
+  - PCs und Server ohne Printfunktion
+  - PCs und Server mit Printfunktion als Client
+  - Printserver
+^Systemrguppe^Sinnvolle Maßnahme^
+|Domain Controller|Spoolerdienst deaktivieren|
+|PCs und Server ohne Printfunktion|Spoolerdienst deaktivieren|
+|PCs und Server mit Printfunktion als Client|GPO "Disallow client connections" sowie "Point-And-Print restricted" |
+|Printserver|Keine Maßnahme - exponiert|
+<note warning>Wird eine Printserverrolle auf einem Domain Controller betrieben, sollte diese schnellstens auf einen Memberserver migriert werden. Die Lücken erlauben das Erschleichen von Systemrechten auf dem Server. Ist der befallene Server ein DC, bedeutet dies, der Angreifer hat Domain-Admin-Rechte!</note>
 ===== Spooler deaktivieren oder abschotten =====