Anavem
FrancaisEnglish
Anavem
Languageen
IT security analyst configuring Print Spooler Redirection Guard policies in Microsoft Intune admin console

Comment activer la protection de redirection du spouleur d'impression à l'aide de Microsoft Intune

Configurer et déployer la politique de sécurité Print Spooler Redirection Guard via Microsoft Intune pour prévenir les attaques de redirection de fichiers et atteindre la conformité CIS Niveau 1 dans les environnements d'entreprise.

11 mai 2026 12 min
Commencer la procédure
Moyenintune9 étapes 12 min

Pourquoi activer la protection de redirection du spooler d'impression dans les environnements d'entreprise ?

La protection de redirection du spooler d'impression représente un contrôle de sécurité critique qui aborde l'un des vecteurs d'attaque les plus importants dans les environnements Windows. Suite aux vulnérabilités PrintNightmare (CVE-2021-34527 et exploits associés), Microsoft a introduit ce mécanisme de protection pour empêcher les acteurs malveillants d'exploiter le service de spooler d'impression Windows pour des attaques de redirection de fichiers et des escalades de privilèges.

Ce contrôle de sécurité est devenu une exigence obligatoire dans le cadre du CIS Microsoft Intune pour Windows 11 Benchmark v4.0.0, spécifiquement désigné comme contrôle de niveau 1 4.7.2. La politique empêche les processus non administratifs de rediriger des fichiers via le spooler d'impression, bloquant ainsi efficacement une technique d'attaque courante utilisée dans les scénarios de mouvement latéral et de compromission du système.

Contre quoi la protection de redirection du spooler d'impression protège-t-elle réellement ?

La protection de redirection cible spécifiquement les attaques de redirection de fichiers où du code malveillant tente d'utiliser le service de spooler d'impression pour accéder, modifier ou rediriger des fichiers vers des emplacements non autorisés. Ces attaques impliquent souvent la manipulation de liens symboliques, où les attaquants créent des liens symboliques qui redirigent les opérations de fichiers vers des emplacements système sensibles, pouvant potentiellement conduire à une escalade de privilèges ou à une exfiltration de données.

En activant ce contrôle via Microsoft Intune, vous mettez en œuvre une stratégie de défense en profondeur qui complète d'autres mesures de sécurité d'impression. La politique fonctionne au niveau du système, interceptant les tentatives de redirection avant qu'elles ne puissent compromettre l'intégrité du système, tout en maintenant la fonctionnalité d'impression normale pour les opérations légitimes.

Comment le déploiement de Microsoft Intune simplifie-t-il la gestion de la sécurité d'impression ?

La gestion de la sécurité d'impression sur des centaines ou des milliers d'appareils Windows nécessitait traditionnellement des déploiements complexes de stratégies de groupe ou des modifications manuelles du registre. L'approche du catalogue de paramètres de Microsoft Intune simplifie ce processus en fournissant un système de gestion de politiques centralisé et basé sur le cloud qui peut déployer automatiquement la configuration de la protection de redirection du spooler d'impression sur tous les appareils inscrits.

Ce tutoriel vous guidera à travers le processus complet de configuration, de déploiement et de surveillance de ce contrôle de sécurité critique en utilisant les capacités modernes de gestion des appareils d'Intune, garantissant que votre organisation respecte les exigences du benchmark CIS tout en maintenant l'efficacité opérationnelle.

Guide de mise en oeuvre

Procédure complète

01

Accédez au Centre d'administration Microsoft Intune et créez un profil de configuration

Commencez par vous connecter au centre d'administration Microsoft Intune et naviguez vers la section des profils de configuration où vous créerez une nouvelle stratégie.

Ouvrez votre navigateur web et accédez à https://endpoint.microsoft.com. Connectez-vous avec vos identifiants d'administrateur disposant des autorisations Intune.

Une fois connecté, suivez ce chemin de navigation :

  1. Cliquez sur Appareils dans le volet de navigation de gauche
  2. Sélectionnez Profils de configuration
  3. Cliquez sur le bouton Créer un profil

Dans l'assistant de création de profil, configurez les paramètres de base :

  • Plateforme : Sélectionnez "Windows 10 et versions ultérieures"
  • Type de profil : Choisissez "Catalogue de paramètres"
  • Cliquez sur Créer
Astuce pro : Le catalogue de paramètres est l'approche recommandée car il fournit des stratégies soutenues par ADMX avec un meilleur contrôle granulaire par rapport aux configurations OMA-URI personnalisées.

Vérification : Vous devriez maintenant voir l'assistant "Créer un profil" avec "Catalogue de paramètres" sélectionné et prêt pour l'étape de configuration suivante.

02

Configurer les informations de profil de base et les métadonnées

Configurez le nom du profil, la description et les métadonnées de base qui vous aideront à identifier et gérer cette politique dans votre environnement Intune.

Dans l'onglet Basique de l'assistant de création de profil, entrez les informations suivantes :

Nom : CIS 4.7.2 - Garde de Redirection du Spouleur d'Impression
Description : Activer la Garde de Redirection du Spouleur d'Impression (CIS Niveau 1 Benchmark 4.7.2) - Empêche les attaques de redirection de fichiers dans le processus de spouleur et réduit la surface d'attaque

Cette convention de nommage suit les normes de benchmark CIS et identifie clairement le contrôle de sécurité mis en œuvre. La description fournit un contexte pour d'autres administrateurs qui pourraient examiner cette politique plus tard.

Avertissement : Utilisez des noms descriptifs qui incluent la référence du contrôle de sécurité. Cela devient crucial lors de la gestion de centaines de politiques dans de grands environnements d'entreprise.

Cliquez sur Suivant pour passer à la section des paramètres de configuration.

Vérification : Confirmez que le nom et la description de votre profil sont correctement enregistrés avant de passer à l'étape suivante. Le profil devrait apparaître dans vos brouillons avec le nom spécifié.

03

Ajouter le paramètre de protection de redirection du spouleur d'impression depuis le catalogue des paramètres

Vous allez maintenant ajouter le paramètre spécifique de garde de redirection du spouleur d'impression à partir du catalogue complet des paramètres de Microsoft.

Dans l'onglet Paramètres de configuration, cliquez sur le bouton Ajouter des paramètres. Cela ouvre le sélecteur de paramètres où vous pouvez rechercher des politiques spécifiques.

Dans la boîte de recherche, tapez Redirection Guard et appuyez sur Entrée. Vous devriez voir apparaître le paramètre suivant :

Catégorie : Imprimantes
Nom du paramètre : Configurer la garde de redirection : Options de garde de redirection
Chemin : ./Device/Vendor/MSFT/Policy/Config/Printers/ConfigureRedirectionGuardRedirectionGuardOptions

Sélectionnez ce paramètre en cochant la case à côté, puis cliquez sur Ajouter. Le paramètre apparaîtra maintenant dans votre liste de configuration.

Configurez la valeur du paramètre :

  • Configurer la garde de redirection : Options de garde de redirection : Réglez sur Activé : Garde de redirection activée
  • Cela correspond à la valeur entière 1 dans le registre sous-jacent
Astuce pro : Le paramètre a trois valeurs possibles : 0 (Désactivé), 1 (Activé - par défaut), et 2 (Mode audit). Utilisez le mode audit (2) initialement dans les environnements de test pour surveiller l'impact avant l'application complète.

Vérification : Confirmez que le paramètre apparaît dans votre liste de configuration avec la valeur correcte sélectionnée. Le chemin de la politique devrait afficher le chemin complet du CSP comme indiqué ci-dessus.

04

Configure Assignment Groups and Target Devices

Define which devices and users will receive this Print Spooler Redirection Guard policy through strategic group assignments.

Click Next to reach the Assignments tab. Here you'll specify which devices should receive this security policy.

For enterprise-wide deployment, configure assignments as follows:

  1. Click Add group under "Included groups"
  2. Select All devices or create a specific device group like "Windows 11 Enterprise Devices"
  3. Choose Assignment type: Required (this ensures the policy is enforced)

For phased deployment approach:

Phase 1: Pilot Group (10-50 devices)
Phase 2: Department Groups (IT, Security teams)
Phase 3: All Enterprise Devices

If you need to exclude specific devices (like print servers or legacy systems), use the "Excluded groups" section:

  1. Click Add group under "Excluded groups"
  2. Select groups containing devices that should not receive this policy
Warning: Excluding print servers from this policy might be necessary if they require specific file redirection capabilities. Test thoroughly in your environment first.

Verification: Review your assignment summary to ensure the correct groups are included and excluded. The assignment should show the expected device count.

05

Set Applicability Rules for Windows Version Compatibility

Configure applicability rules to ensure the policy only applies to compatible Windows versions that support Print Spooler Redirection Guard.

Click Next to access the Applicability Rules tab. This step is crucial because the Redirection Guard feature requires specific Windows versions.

Create a new applicability rule:

  1. Click Add rule
  2. Configure the rule parameters:
Rule: Device
Property: OS version
Operator: Greater than or equal to
Value: 10.0.22621 (Windows 11 22H2)

For organizations with mixed Windows 10/11 environments, add an additional rule:

Rule: Device
Property: OS version
Operator: Greater than or equal to
Value: 10.0.19044 (Windows 10 22H2)

Use OR logic between these rules to support both operating systems.

Pro tip: Applicability rules prevent policy conflicts and "Not Applicable" status reports on unsupported devices. This keeps your compliance reporting clean and accurate.

The rule ensures that only devices running Windows 11 22H2+ or Windows 10 22H2+ will receive this policy, preventing errors on older systems that don't support the CSP.

Verification: Confirm your applicability rules are correctly configured with the proper OS version numbers. Test the logic by checking which devices in your tenant would match these criteria.

06

Review Configuration and Deploy the Policy

Complete the policy creation process by reviewing all settings and deploying the Print Spooler Redirection Guard configuration to your target devices.

Click Next to reach the Review + create tab. This final step allows you to verify all configuration details before deployment.

Review the following key elements:

  • Profile name: CIS 4.7.2 - Print Spooler Redirection Guard
  • Settings: Configure Redirection Guard = Enabled
  • Assignments: Verify correct device groups
  • Applicability: Windows version rules are properly set

Once you've confirmed all settings are correct, click Create to deploy the policy.

The policy will now begin deploying to assigned devices. Initial deployment typically takes 15-30 minutes, but can take up to 8 hours for all devices to receive and apply the policy.

Warning: Monitor the first few devices closely after deployment. While this policy has minimal impact (it's enabled by default), always verify that printing functionality remains normal in your environment.

Verification: Navigate to DevicesConfiguration profiles and confirm your new policy appears in the list with "Assigned" status. Check the overview dashboard for deployment progress.

07

Surveiller le déploiement des politiques et l'état de conformité des appareils

Suivez la progression du déploiement et vérifiez que les appareils reçoivent et appliquent avec succès la politique de garde de redirection du spouleur d'impression.

Naviguez vers votre politique nouvellement créée dans le centre d'administration Intune :

  1. Allez à AppareilsProfils de configuration
  2. Cliquez sur votre politique "CIS 4.7.2 - Garde de redirection du spouleur d'impression"
  3. Examinez le tableau de bord Aperçu

L'aperçu fournit des métriques clés de déploiement :

Statut de l'appareil :
- Réussi : Appareils ayant appliqué la politique avec succès
- Erreur : Appareils ayant rencontré des erreurs
- Conflit : Appareils avec des politiques conflictuelles
- Non applicable : Appareils ne répondant pas aux règles d'applicabilité

Pour un dépannage détaillé, cliquez sur Statut de l'appareil pour voir les résultats individuels des appareils. Les indicateurs de statut courants incluent :

  • Succès : Politique appliquée correctement
  • En attente : L'appareil ne s'est pas encore enregistré (normal jusqu'à 8 heures)
  • Erreur : Vérifiez les journaux de l'appareil ou les règles d'applicabilité
Astuce pro : Utilisez la fonction "Exporter" pour créer des rapports pour l'audit de conformité. Cela est particulièrement important pour la documentation de conformité au benchmark CIS.

Vérification : Visez un taux de réussite de 95 % ou plus dans les 24 heures suivant le déploiement. Enquêtez sur toute erreur ou conflit persistant apparaissant dans le tableau de bord de statut.

08

Vérifier l'application de la politique sur les appareils cibles à l'aide de PowerShell

Confirmez que la politique de garde de redirection du spouleur d'impression a été appliquée avec succès sur les appareils Windows individuels en utilisant des commandes de vérification PowerShell.

Connectez-vous à un appareil cible (via RDP, accès local ou PowerShell à distance) et ouvrez une session PowerShell avec élévation de privilèges. Exécutez les commandes suivantes pour vérifier l'application de la politique :

Vérifier la valeur du registre (État appliqué) :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\Printers" -Name "ConfigureRedirectionGuardRedirectionGuardOptions" -ErrorAction SilentlyContinue

La sortie attendue devrait montrer :

ConfigureRedirectionGuardRedirectionGuardOptions : 1

Vérifier l'état de la politique effective :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Printers" -Name "RedirectionguardPolicy" -ErrorAction SilentlyContinue

Vérifier l'état du service du spouleur d'impression :

Get-Service -Name "Spooler" | Select-Object Name, Status, StartType

Vérifier les journaux d'événements pour l'activité de la garde de redirection :

Get-WinEvent -LogName "Microsoft-Windows-PrintService/Operational" -MaxEvents 10 | Where-Object {$_.Id -eq 316} | Select-Object TimeCreated, Id, LevelDisplayName, Message
Astuce pro : L'ID d'événement 316 dans le journal PrintService indique quand la garde de redirection bloque une tentative de redirection de fichier. Cela vous aide à surveiller l'efficacité du contrôle de sécurité.

Vérification : La valeur du registre doit être définie sur 1, et le service du spouleur d'impression doit fonctionner normalement. Aucune entrée immédiate dans le journal des événements n'est attendue à moins que des tentatives de redirection ne se produisent.

09

Tester la fonctionnalité d'impression et les contrôles de sécurité

Effectuez des tests complets pour vous assurer que les opérations d'impression normales fonctionnent correctement tandis que les tentatives de redirection de fichiers malveillants sont correctement bloquées.

Tester les opérations d'impression normales :

  1. Imprimer un document de test sur une imprimante réseau
  2. Imprimer sur une imprimante USB locale
  3. Tester l'aperçu avant impression et les opérations de file d'attente d'impression
  4. Vérifier la fonctionnalité d'impression PDF et de l'écrivain de documents XPS

Tester l'impression à distance (si applicable) :

# Vérifier l'état de la redirection d'imprimante RDP
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -Name "fDisableCpm" -ErrorAction SilentlyContinue

Simuler un test de sécurité (utilisateurs avancés uniquement) :

Le Redirection Guard empêche spécifiquement les processus non administratifs de rediriger des fichiers via le spouleur d'impression. Ce test ne doit être effectué que dans des environnements de test isolés :

# Vérifier si les tentatives de redirection sont enregistrées
Get-WinEvent -LogName "Microsoft-Windows-PrintService/Operational" -FilterHashtable @{ID=316} -MaxEvents 5 | Format-Table TimeCreated, Message -Wrap
Avertissement : Ne tentez pas de créer de véritables fichiers malveillants ou exploits pour les tests. La politique fonctionne au niveau du système et doit être validée uniquement à l'aide d'outils de test de sécurité appropriés dans des environnements isolés.

Documenter les résultats des tests :

  • Impression normale : ✓ Fonctionnelle
  • Imprimantes réseau : ✓ Accessibles
  • Files d'attente d'impression : ✓ Fonctionnelles
  • Contrôles de sécurité : ✓ Actifs (aucun événement de redirection)

Vérification : Toutes les fonctionnalités d'impression standard doivent fonctionner normalement. La présence de la valeur de registre confirme que le contrôle de sécurité est actif, même si aucun événement de blocage n'est enregistré initialement.

Questions Fréquentes

Qu'est-ce que le Print Spooler Redirection Guard et pourquoi est-il important pour la sécurité de Windows ?+
La protection de redirection du spouleur d'impression est une fonctionnalité de sécurité Windows qui empêche les processus non administratifs de rediriger des fichiers via le service de spouleur d'impression. Elle est cruciale car elle bloque un vecteur d'attaque courant utilisé dans les exploits de type PrintNightmare où les attaquants manipulent le spouleur d'impression pour accéder à des fichiers ou les rediriger vers des emplacements non autorisés. Ce contrôle est désormais obligatoire selon les benchmarks CIS Niveau 1 et aide à prévenir les attaques d'escalade de privilèges et de mouvement latéral dans les environnements d'entreprise.
Does enabling Print Spooler Redirection Guard affect normal printing functionality?+
No, enabling Print Spooler Redirection Guard does not impact normal printing operations. The policy specifically targets malicious file redirection attempts while allowing legitimate printing functions to work normally. Users can still print to network printers, local printers, PDF writers, and use Remote Desktop printing redirection. The guard only blocks unauthorized file system operations that could be exploited by attackers, not standard print jobs or administrative printer management tasks.
Comment puis-je vérifier que la protection de redirection du spouleur d'impression fonctionne correctement sur les appareils Windows ?+
Vous pouvez vérifier que la politique est active en vérifiant la valeur du registre à HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\Printers pour 'ConfigureRedirectionGuardRedirectionGuardOptions' qui devrait être égal à 1. De plus, surveillez l'ID d'événement 316 dans le journal Microsoft-Windows-PrintService/Operational, qui indique quand les tentatives de redirection sont bloquées. Utilisez des commandes PowerShell comme Get-ItemProperty et Get-WinEvent pour vérifier ces valeurs. L'impression normale devrait continuer à fonctionner sans aucun changement visible pour l'utilisateur.
Quelles sont les versions minimales de Windows requises pour le déploiement de la politique de protection de redirection du spouleur d'impression ?+
La protection de redirection du spouleur d'impression nécessite Windows 11 22H2 (build 10.0.22621) ou ultérieur, et Windows 10 22H2 (build 10.0.19044) ou ultérieur. La politique utilise le CSP des imprimantes qui a été amélioré pour prendre en charge cette fonctionnalité dans ces versions. Lors du déploiement via Intune, vous devez configurer des règles d'applicabilité pour cibler uniquement ces versions prises en charge afin d'éviter les rapports de statut 'Non applicable' sur les appareils plus anciens. Windows Server 2022 et Server 2025 prennent également en charge cette fonctionnalité.
Can I use audit mode for Print Spooler Redirection Guard before full enforcement?+
Yes, you can configure the policy with value 2 to enable audit mode, which logs redirection attempts without blocking them. This allows you to monitor potential impacts in your environment before full enforcement. In audit mode, Event ID 316 will still be logged in the PrintService operational log when redirection attempts occur, but the attempts won't be blocked. This is useful for testing environments or gradual rollouts where you want to understand the baseline behavior before implementing full protection with value 1 (enabled/blocking mode).
Tags
#intune#sécurité-impression#cis-benchmark

Intelligence Complémentaire

Approfondissez vos connaissances

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
tutorial
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer
Comment activer la protection de redirection du spouleur d'impression à l'aide de Microsoft Intune
tutorial
Cybersecurity

Comment activer la protection de redirection du spouleur d'impression à l'aide de Microsoft Intune

Explorer
Comment configurer l'inventaire des applications pour les appareils Windows dans Microsoft Intune
tutorial
Cloud Computing

Comment configurer l'inventaire des applications pour les appareils Windows dans Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte