Durch den kürzlich bekannt gewordenen "PrintNightmare"-Exploit bei Microsoft Windows-Betriebssystemen ist es möglich, über den Spooler-Dienst Schadcode zu injizieren und diesen mit Systemrechten ausführen zu lassen. Hierzu hat Microsoft am 07.07.2021 ein Out-Of-Band Update veröffentlicht, welches die Sicherheitslücke schließen soll. Alle Informationen dazu finden Sie hier.
Mit N-able RMM gibt es mehrere Optionen, wie Sie den Dienst auf schnellstem Wege beenden können. Das effizienteste Vorgehen ist die Deaktivierung und das Beenden über eine Aufgabe und ein Script.
Als Erstes erstellen wir ein simples .ps1 Powershell-Script mit folgendem Inhalt:
Als Nächstes öffnen wir in N-Able RMM den Scriptmanager und laden das zuvor erstelltet Powershell-Script 1x als "Scriptüberpüfung" und 1x als "Automatisierte Aufgabe" hoch:
Als Nächstes erstellen wir über den entsprechenden Standort eine globale Aufgabe für alle Server, die den Spooler-Dienst beendet und deaktiviert:
Nutzen Sie folgende Settings oder passen Sie diese nach ihren Wünschen an:
Im nächsten Schritt richten wir noch eine Script-Überprüfung ein, die rund um die Uhr sicherstellt, dass der Dienst gestoppt und deaktiviert bleibt.
Der schnellste Weg wäre hierbei als Erstes eine Überwachungsvorlage zu erstellen und diese dann auf alle Server anzuwenden:
Im letzten Schritt wenden wird die grade erstellte Überwachungsvorlage auf alle Servern unterhalb eines Standorts an:
Sollte Microsoft in naher Zukunft einen Fix bzw. Patch veröffentlichen, können Sie diesen über das N-able "Patch-Management" unter dem Punkt "Management-Workflow" global freigeben und so zentral auf allen Geräten ausrollen.