WIndowsのサービスの停止をBat、Powershell、Intune、GPOでそれぞれやってみる。

下記の記事にある「PrintNightmare」の対処として2021/07/03時点での推奨対応であるWindows Print Spoolerサービスを無効にすることを題材としてやってみる。

Windows 10の印刷スプーラに任意コード実行の脆弱性、機能を無効に

-----------------------------------------------------------------
追記1：2021/07/03
以下の方が影響が少ない。パッチの更新情報などは以下に記載

2022/05/18
脆弱性の対応はされたので、タイトルを「Windows 10の印刷スプーラに任意コード実行の脆弱性をIntuneとGPOで暫定対応してみる」から変更。
-----------------------------------------------------------------

今回の方法を適用すると印刷することもできなくなるので注意
あくまでも配布する方法の手順として残す。

Power shellスクリプトの作成

下記の内容の.ps1ファイルを作成して、管理者として実行する。

# Spoolerサービスの停止
Stop-Service -Name Spooler -Force
# Spoolerサービスの無効化け
Set-Service -Name Spooler -StartupType Disabled

batファイルの作成

下記の内容の.batファイルを作成して、管理者として実行する。

rem Spoolerサービスの停止
net stop Spooler
rem Spoolerサービスの無効化
sc config Spooler sart=disable
exit

Intuneでの止め方

適用すると印刷するもできなくなるので注意
「デバイス」-「スクリプト」-「追加」-「Windows 10」とクリック

名前を適当に入れて「次へ」

PowerShellスクリプトの作成で作ったファイルをアップロードする

配布するグループを選択する

問題ないことを確認する。

出来上がり

GPOでの止め方

即効性はないので再起動が必要
適用すると印刷するもできなくなるので注意
「コンピュータの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「システム サービス」-「Print Spooler」を開く

「このポリシーの設定を定義する」をチェックして、「無効」

GPOでの止め方2

「コンピュータの構成」-「ポリシー」-「管理用テンプレート」-「プリンター」-「印刷スプーラーにクライアント接続の受け入れを許可する」をクリック

無効にする

元に戻す(Powershell)

# Spoolerサービスを自動起動にする
Set-Service -Name Spooler -StartupType Automatic
# Spoolerサービスを起動する
Start-Service -Name Spooler

Intuneではこれを配布するようにすればいい。

元に戻す(bat)

rem Splloerサービスの自動起動化
sc config Spooler sart=auto
rem Spoolerサービスの開始
net start Spooler
exit

Intuneでの元に戻し方

元に戻す(Powershell)で作成したps1ファイルを配布するスクリプトを作成する。

GPOで元に戻す

「Print Splloer」の「自動」を選択する。

以上