【IT168 技术】今天早上,关于勒索病毒新闻传播可以说是铺天盖地,有来自各种自媒体,门户以及IT垂直专业媒体,当然也有很多安全软件厂商也第一时间做出了反应,比如说卡巴斯基等等。经过安天CERT紧急分析,判定该勒索软件是一个名称为“WannaCry”的新家族,目前暂无法解密该勒索软件加密的文件。随之而来的各种解决办法也在网络上非常之多。这次勒索病毒来袭,主要大家都在关注自己的电脑问题,其实在勒索病毒来袭时,除了关注电脑安全外,其实跟电脑连接的打印机,您是否也会重视其安全性呢。可能这次的勒索病毒不一定会给打印机造成安全问题,但是打印机、复印机等办公设备的打印服务器受到非法访问或者非法配置的问题时常有发生,因此在打印机安全输出方面,我们也不能忽视。下面笔者针对惠普HP Jetdirect 和嵌入式 Jetdirect Inside 打印服务器方面的安全打印应用为大家支招,希望对能够对有安全打印输出的用户有所帮助。
用户在保护 HP Jetdirect 打印服务器的安全,使其免受非法访问或非法配置。 HP Jetdirect 设备和 HP 端口监控软件此时不具有打印数据加密功能; 但是可以通过其它解决方法确保安全打印。也可以使用虚拟专用网络 (VPN),其可以通过互联网提供安全 IP tunneling; 普通打印数据通过 VPN 架构传输到互联网。
安全步骤一 - 升级 HP Jetdirect 固件
HP Jetdirect 打印服务器的固件始终处于最新版本。 随着固件的修订,性能和安全性将得到提升。 可以使用 Download Manager 或 HP Web Jetadmin 软件对 Jetdirect 固件进行升级,不过 HP Web Jetadmin 是面向大型企业网络的完整管理软件。 以上两个应用程序都可以自动从互联网上下载最新的固件映像。
安全步骤二 - Telnet 密码
必要信息
在到 HP Jetdirect 打印服务器的 telnet 会话过程中可以设置密码,这样可以阻止未经授权的 telnet 访问 Jetdirect。 密码最长可以是 16 个字符,区分大小写,即使关闭并重新启动打印机或 Jetdirect ,密码仍然存在。 如果忘记了密码,Jetdirect 必须冷重置为出厂默认值,这样将会丢失所有的 TCP/IP 配置,并且打印服务器也需要重新配置。
一旦设置了密码,在下次 telnet 会话打开之前将会提示输入密码。 如果 Jetdirect 固件为 x.20.xx 或更高版本,也会要求输入用户名和密码。 有四个有效的用户名,分别为: root、admin、administrator 或 supervisor。
Telnet 要求
要求在打印机上启用 TCP/IP,并设置 IP 地址
打印机上的固件版本为 x.03.16 或更高版本
在电脑或工作站上安装 Telnet 实用程序和 TCP/IP
在电脑或工作站上设置 IP 地址
打印服务器的 TCP/IP 通信良好
设置密码
用于固件 x.20.xx 或更高版本
在 Telnet 之后,在同一行键入命令和密码。 例如: passwd: mypassword
完成之后,键入 quit。 按下 Enter 退出。
键入“Y”,以在 Jetdirect 上保存密码。
注意:
如果忘记了密码,必须冷重置 HP Jetdirect 设备。
用于固件 x.08.40 及更低版本
在 Telnet 之后,键入以下命令:passwd
按下 Enter,将显示要求输入 telnet 密码的提示。
键入密码。
完成之后,键入: quit
按下 Enter,以在 HP Jetdirect 上退出并保存密码。
注意:
如果忘记了密码,必须冷重置 HP Jetdirect 设备。
在启用密码后执行 telnet
对于固件版本 X.20.XX
Telnet 到 HP Jetdirect 打印服务器。
键入以下某个有效用户名: root、admin、administrator 或 supervisor。
按 Enter 键。
在提示行中键入密码。
按 Enter 两次,以确认连接。
对于固件版本 X.06.00 - x.08.04
Telnet 到 HP Jetdirect 打印服务器。
按 Enter,直到提示输入密码为止。
在提示行中键入密码。
按 Enter 两次,以确认连接。
对于固件版本 X.05.34 及更低版本
Telnet 到 HP Jetdirect 打印服务器。
按 Enter,直到提示输入密码为止。
请不要在密码提示中键入密码,否则会显示密码失败。 正确的方法是按 Enter,转到下一行,其中只有“>”提示符。
然后输入新的 telnet 密码。 可能会显示如下回应: logged in
按 Enter 两次,以确认连接。
背景:Telnet 是 TCP/IP 协议族中的一个实用程序,也是一个系统用户界面。 是通过网络从一个系统登录到另一个系统的途径。 Telnet 可以作为 HP Jetdirect 打印服务器的用户界面,并可以配置设备参数。 通过 TCP/IP 协议提供 Telnet 实用程序路径的所有操作系统都可以使用 Telnet 配置 HP Jetdirect 打印服务器。
安全步骤三 - 禁用闲置协议
禁用闲置协议有助于最小化网络流量,更好地实现网络安全。 可以使用 Telnet、Web Jetadmin 或 HP 嵌入式 Web 服务器禁用协议。 Web Jetadmin 软件可以单独或批量禁用 HP Jetdirect 协议。 查看 HP Web Jetadmin 文档,了解更多有关设备配置的信息。
Telnet 可以禁用 TCP/IP 以外的所有协议。
如要通过 Telnet 禁用协议,请在 Telnet 会话中键入以下命令:
如要禁用 Novell 或 IPX/SPX 协议,请键入 ipx/spx: 0
如要禁用数据链路 (DLC) 协议,请键入 dlc/llc:0
如要禁用 EtherTalk 协议,请键入 ethertalk: 0
完成后,键入 quit,然后按 Enter 保存所有配置并退出。
安全步骤四 - 禁用其它闲置的打印和管理程序
HP Jetdirect 打印服务器上的程序和连接端口都可以用于打印和配置。 强烈推荐通过该方法禁用闲置程序。 例如,如果管理员目前没有使用 HP 嵌入式 Web 服务器,就应将其禁用。
在 Telnet 中使用以下相应命令禁用协议或程序:
如要禁用 Internet Printing 协议,请键入 ipp-config: 0
如要禁用 File Transfer 协议,请键入 ftp-config: 0
如要禁用 HP Jetdirect 的嵌入式 Web 服务器,请键入 ews-config: 0
如要禁用 Service Location 协议,请键入 tl-slp: -1
如要禁用 SNMP,请键入 snmp-config: 0
完成后,键入 quit,然后按 Enter 保存所有配置并退出。
警告:
只有在管理员不使用 HP Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理实用程序时才可以禁用 SNMP。
注意:
如要禁用 SNMP,Jetdirect 的固件版本必须为 x.08.32 或更高版本。 同时,只有安装了 x.08.03 或更高版本固件的 HP Jetdirect 打印服务器(J25xx 打印服务器上的 A.08.03 或更高版本除外)才具有 FTP 功能,也只有这些打印服务器才可以禁用该功能。
安全步骤五 - SNMP set 和 get community name
注意:
只有安装了 x.2x.xx 或更高版本固件的 Jetdirect 才可以使用 get-cmnty-name 命令。
可以使用 Telnet、HP 嵌入式 Web 服务器或 HP Web Jetadmin 软件配置或禁用 SNMP set community name 和 get community name。 HP Web Jetadmin 软件可以同时在多个 HP Jetdirect 中配置 set community name。 set community name 最大长度为 32 个字符。
如要在 Telnet 中配置 SNMP set community name,请使用以下命令: set-cmnty-name: my_setcommunitypasswd
. (设置您自己的密码)
该密码可以与 Telnet 密码相同(查看安全步骤二)》 这样,管理员只需记住一个密码。
如果涉及从 SNMP 管理软件中监控和发现设备,请按照上文步骤四的禁用 SNMP。
警告:
只有在管理员不使用 Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理实用程序时才可以禁用 SNMP。 此外,打印路径不能同时使用 SNMP(例如,Standard TCP/IP Port Monitor 需禁用 SNMP。)
完成后,键入 quit,然后按 Enter 保存所有配置并退出。
如要在 Telnet 中配置 SNMP get community name,请使用以下命令: get-cmnty-name: my_getcommunitypasswd. (设置您自己的密码)
如要禁用默认的 get community name(在 x.08.49 和更高固件版本中),请键入以下 Telnet 命令: default-get-cmnty: 0
背景: SNMP 是网络管理应用程序用以监控和控制网络设备的协议。 Jetadmin 或 Web Jetadmin 等 HP 软件使用 SNMP 获取 HP Jetdirect 打印服务器信息及其所连接的打印机。 Get 和 Set 都是用于收集信息和配置参数的 SNMP 命令。 community name 只不过是在执行 Set 和 Get 操作过程中,网络管理应用程序所使用的一个密码而已。
安全步骤六 - 允许列表或访问控制列表
固件版本为 x.08.03 或更高的 HP Jetdirect 打印服务器通过在 telnet 会话中创建一个允许列表或访问控制列表,来限制访问打印机的权限。
点击此处了解如何在 Jetdirect 或嵌入式 Jetdirect Inside 上从嵌入式 Web 服务器中设置访问控制列表。
访问控制列表指定了允许 TCP 与 HP Jetdirect 连接的 IP 地址范围。 访问控制列表影响打印和管理。 因此,在配置该列表时,请将管理员电脑的 IP 地址和打印后台程序电脑的 IP 地址包含在内。
Web 代理服务器可能会隐藏尝试连接到 HP Jetdirect 的电脑的 IP 地址。 因此,如果需要 Web 访问的话,请将代理服务器的 IP 地址包含在内。 此外,在访问控制列表中明确列出的电脑需具有静态 IP 地址(非 DHCP 分配)。
允许列表中最多可以配置 10 个 IP 地址范围或者 10 个单独的 IP 地址。 如要查看 HP Jetdirect 中已经配置的允许列表,请在 Telnet 中键入:
allow: list
最终,如果在 HP Jetdirect 上配置了 SNMP set community name,想要执行 SNMP SET 命令的电脑必须知道 HP Jetdirect 的 SNMP set community name,并必须位于 HP Jetdirect 的访问控制列表内。
示例 1
假设某个 HP Jetdirect 的 IP 地址是 192.168.0.70,子网掩码是 255.255.255.0。
如要允许局域子网内的所有用户与 HP Jetdirect 建立 TCP 连接,请在 Telnet 中键入以下命令: allow: 192.168.0.70 255.255.255.0
完成后,键入 quit,然后按 Enter 保存所有配置并退出。
同时假设 HP Jetdirect 上已经配置了 SNMP set community name。
在本示例中,未位于 192.168.0 子网内的电脑将无法与 HP Jetdirect 建立 TCP 连接,而且不能通过 SNMP 更改任何配置。 只有位于 192.168.0 子网内并知道 SNMP set community name 的电脑才可以通过 SNMP 更改配置。
示例 2
如要只允许一个 IP 地址与 HP Jetdirect 卡建立 TCP 连接(例如,192.168.10.15)),请在 Telnet 中键入: allow: 192.168.10.15 255.255.255.255
完成后,键入 quit,然后按 Enter 保存所有配置并退出。
同时假设 HP Jetdirect 上已经配置了 SNMP set community name。
在本示例中,IP 地址不是 192.168.10.15 的电脑将无法与 HP Jetdirect 建立 TCP 连接,而且不能通过 SNMP 更改任何配置。
示例 3
如要允许以 192.168 开头的 IP 地址与 HP Jetdirect 建立 TCP 连接,请键入: allow: 192.168.0.0 255.255.0.0
完成后,键入 quit,然后按 Enter 保存所有配置并退出。
同时假设 HP Jetdirect 上已经配置了 SNMP set community name。
在本示例中,不是以 192.168. 开头的 IP 地址的电脑将无法与 HP Jetdirect 建立 TCP 连接,而且不能通过 SNMP 更改任何配置。