禁用打印服务和蓝牙驱动可显著降低攻击风险。Print Spooler存在远程代码执行漏洞,需执行net stop spooler & sc config spooler start= disabled;蓝牙相关服务与驱动也应禁用,并通过服务管理器、设备管理器及注册表加固验证。
禁用不必要的系统服务和驱动是缩小攻击面的有效手段,尤其对办公终端、服务器或高安全要求环境而言,关闭打印服务和蓝牙驱动能显著降低被利用风险。
禁用Windows打印服务(Print Spooler)
Print Spooler服务长期存在远程代码执行漏洞(如CVE-2021-1675、CVE-2021-34527),即使未连接打印机,开启该服务仍可能被攻击者利用。
- 以管理员身份运行命令提示符或PowerShell,执行:
net stop spooler && sc config spooler start= disabled - 若需临时启用,可运行 net start spooler 并设为手动启动(sc config spooler start= demand)
- 组策略方式(适用于域环境):打开“gpedit.msc” → 计算机配置 → 管理模板 → 打印机 → “禁止安装打印机”,并启用“关闭打印机后台处理程序”策略
禁用蓝牙驱动与服务
蓝牙协议栈(如BlueSoleil、Intel BT、Realtek RTL8761B等)曾多次曝出本地提权或信息泄露漏洞。若设备无需蓝牙功能,应彻底禁用相关驱动与服务。
- 在“设备管理器”中展开“蓝牙”,右键每个蓝牙适配器 → “禁用设备”;右键选择“属性” → “驱动程序”选项卡 → “禁用驱动程序”或“卸载设备”(勾选“删除此设备的驱动程序软件”)
- 停止并禁用蓝牙支持服务:
net stop bthserv && sc config bthserv start= disabled
同时建议禁用 Bluetooth Support Service、Bluetooth User Support Service(bthsvcs)等关联服务 - 注册表加固(可选):定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT,将 Start 值改为 4(已禁用)
验证与持续维护
禁用后需确认服务未自启、驱动未重载,并纳入日常运维检查项。
- 使用 services.msc 检查 spooler、bthserv 等状态是否为“已停止”且启动类型为“禁用”
- 运行 pnputil /enum-drivers 或在设备管理器中启用“显示隐藏的设备”,确认无残留蓝牙驱动实例
- 结合Windows事件查看器(Windows Logs → System)筛选“spooler”或“bth”相关错误/警告,排查异常唤醒痕迹
- 系统更新后需重新验证——部分补丁或驱动更新可能重置服务状态
不复杂但容易忽略,关键是把“不用”真正落实为“不可用”。
