今天早上，關(guān)于勒索病毒新聞傳播可以說(shuō)是鋪天蓋地，有來(lái)自各種自媒體，門戶以及IT垂直專業(yè)媒體，當(dāng)然也有很多安全軟件廠商也第一時(shí)間做出了反應(yīng)，比如說(shuō)卡巴斯基等等。經(jīng)過(guò)安天CERT緊急分析，判定該勒索軟件是一個(gè)名稱為“WannaCry”的新家族，目前暫無(wú)法解密該勒索軟件加密的文件。隨之而來(lái)的各種解決辦法也在網(wǎng)絡(luò)上非常之多。這次勒索病毒來(lái)襲，主要大家都在關(guān)注自己的電腦問(wèn)題，其實(shí)在勒索病毒來(lái)襲時(shí)，除了關(guān)注電腦安全外，其實(shí)跟電腦連接的打印機(jī)，您是否也會(huì)重視其安全性呢?？赡苓@次的勒索病毒不一定會(huì)給打印機(jī)造成安全問(wèn)題，但是打印機(jī)、復(fù)印機(jī)等辦公設(shè)備的打印服務(wù)器受到非法訪問(wèn)或者非法配置的問(wèn)題時(shí)常有發(fā)生，因此在打印機(jī)安全輸出方面，我們也不能忽視。下面筆者針對(duì)惠普HP Jetdirect 和嵌入式 Jetdirect Inside 打印服務(wù)器方面的安全打印應(yīng)用為大家支招，希望對(duì)能夠?qū)τ邪踩蛴≥敵龅挠脩粲兴鶐椭?/p>

用戶在保護(hù) HP Jetdirect 打印服務(wù)器的安全，使其免受非法訪問(wèn)或非法配置。 HP Jetdirect 設(shè)備和 HP 端口監(jiān)控軟件此時(shí)不具有打印數(shù)據(jù)加密功能; 但是可以通過(guò)其它解決方法確保安全打印。也可以使用虛擬專用網(wǎng)絡(luò) (VPN)，其可以通過(guò)互聯(lián)網(wǎng)提供安全 IP tunneling; 普通打印數(shù)據(jù)通過(guò) VPN 架構(gòu)傳輸?shù)交ヂ?lián)網(wǎng)。

安全步驟一 - 升級(jí) HP Jetdirect 固件

HP Jetdirect 打印服務(wù)器的固件始終處于最新版本。 隨著固件的修訂，性能和安全性將得到提升。 可以使用 Download Manager 或 HP Web Jetadmin 軟件對(duì) Jetdirect 固件進(jìn)行升級(jí)，不過(guò) HP Web Jetadmin 是面向大型企業(yè)網(wǎng)絡(luò)的完整管理軟件。 以上兩個(gè)應(yīng)用程序都可以自動(dòng)從互聯(lián)網(wǎng)上下載最新的固件映像。

安全步驟二 - Telnet 密碼

必要信息

在到 HP Jetdirect 打印服務(wù)器的 telnet 會(huì)話過(guò)程中可以設(shè)置密碼，這樣可以阻止未經(jīng)授權(quán)的 telnet 訪問(wèn) Jetdirect。 密碼最長(zhǎng)可以是 16 個(gè)字符，區(qū)分大小寫，即使關(guān)閉并重新啟動(dòng)打印機(jī)或 Jetdirect ，密碼仍然存在。 如果忘記了密碼，Jetdirect 必須冷重置為出廠默認(rèn)值，這樣將會(huì)丟失所有的 TCP/IP 配置，并且打印服務(wù)器也需要重新配置。

一旦設(shè)置了密碼，在下次 telnet 會(huì)話打開之前將會(huì)提示輸入密碼。 如果 Jetdirect 固件為 x.20.xx 或更高版本，也會(huì)要求輸入用戶名和密碼。 有四個(gè)有效的用戶名，分別為： root、admin、administrator 或 supervisor。

Telnet 要求

要求在打印機(jī)上啟用 TCP/IP，并設(shè)置 IP 地址

打印機(jī)上的固件版本為 x.03.16 或更高版本

在電腦或工作站上安裝 Telnet 實(shí)用程序和 TCP/IP

在電腦或工作站上設(shè)置 IP 地址

打印服務(wù)器的 TCP/IP 通信良好

設(shè)置密碼

用于固件 x.20.xx 或更高版本

在 Telnet 之后，在同一行鍵入命令和密碼。 例如： passwd: mypassword

完成之后，鍵入 quit。 按下 Enter 退出。

鍵入“Y”，以在 Jetdirect 上保存密碼。

注意：

如果忘記了密碼，必須冷重置 HP Jetdirect 設(shè)備。

用于固件 x.08.40 及更低版本

在 Telnet 之后，鍵入以下命令：passwd

按下 Enter，將顯示要求輸入 telnet 密碼的提示。

鍵入密碼。

完成之后，鍵入： quit

按下 Enter，以在 HP Jetdirect 上退出并保存密碼。

注意：

如果忘記了密碼，必須冷重置 HP Jetdirect 設(shè)備。

在啟用密碼后執(zhí)行 telnet

對(duì)于固件版本 X.20.XX

Telnet 到 HP Jetdirect 打印服務(wù)器。

鍵入以下某個(gè)有效用戶名： root、admin、administrator 或 supervisor。

按 Enter 鍵。

在提示行中鍵入密碼。

按 Enter 兩次，以確認(rèn)連接。

對(duì)于固件版本 X.06.00 - x.08.04

Telnet 到 HP Jetdirect 打印服務(wù)器。

按 Enter，直到提示輸入密碼為止。

在提示行中鍵入密碼。

按 Enter 兩次，以確認(rèn)連接。

對(duì)于固件版本 X.05.34 及更低版本

Telnet 到 HP Jetdirect 打印服務(wù)器。

按 Enter，直到提示輸入密碼為止。

請(qǐng)不要在密碼提示中鍵入密碼，否則會(huì)顯示密碼失敗。 正確的方法是按 Enter，轉(zhuǎn)到下一行，其中只有“>”提示符。

然后輸入新的 telnet 密碼。 可能會(huì)顯示如下回應(yīng)： logged in

按 Enter 兩次，以確認(rèn)連接。

背景：Telnet 是 TCP/IP 協(xié)議族中的一個(gè)實(shí)用程序，也是一個(gè)系統(tǒng)用戶界面。 是通過(guò)網(wǎng)絡(luò)從一個(gè)系統(tǒng)登錄到另一個(gè)系統(tǒng)的途徑。 Telnet 可以作為 HP Jetdirect 打印服務(wù)器的用戶界面，并可以配置設(shè)備參數(shù)。 通過(guò) TCP/IP 協(xié)議提供 Telnet 實(shí)用程序路徑的所有操作系統(tǒng)都可以使用 Telnet 配置 HP Jetdirect 打印服務(wù)器。

安全步驟三 - 禁用閑置協(xié)議

禁用閑置協(xié)議有助于最小化網(wǎng)絡(luò)流量，更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全。 可以使用 Telnet、Web Jetadmin 或 HP 嵌入式 Web 服務(wù)器禁用協(xié)議。 Web Jetadmin 軟件可以單獨(dú)或批量禁用 HP Jetdirect 協(xié)議。 查看 HP Web Jetadmin 文檔，了解更多有關(guān)設(shè)備配置的信息。

Telnet 可以禁用 TCP/IP 以外的所有協(xié)議。

如要通過(guò) Telnet 禁用協(xié)議，請(qǐng)?jiān)?Telnet 會(huì)話中鍵入以下命令：

如要禁用 Novell 或 IPX/SPX 協(xié)議，請(qǐng)鍵入 ipx/spx: 0

如要禁用數(shù)據(jù)鏈路 (DLC) 協(xié)議，請(qǐng)鍵入 dlc/llc:0

如要禁用 EtherTalk 協(xié)議，請(qǐng)鍵入 ethertalk: 0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

安全步驟四 - 禁用其它閑置的打印和管理程序

HP Jetdirect 打印服務(wù)器上的程序和連接端口都可以用于打印和配置。 強(qiáng)烈推薦通過(guò)該方法禁用閑置程序。 例如，如果管理員目前沒(méi)有使用 HP 嵌入式 Web 服務(wù)器，就應(yīng)將其禁用。

在 Telnet 中使用以下相應(yīng)命令禁用協(xié)議或程序：

如要禁用 Internet Printing 協(xié)議，請(qǐng)鍵入 ipp-config: 0

如要禁用 File Transfer 協(xié)議，請(qǐng)鍵入 ftp-config: 0

如要禁用 HP Jetdirect 的嵌入式 Web 服務(wù)器，請(qǐng)鍵入 ews-config: 0

如要禁用 Service Location 協(xié)議，請(qǐng)鍵入 tl-slp: -1

如要禁用 SNMP，請(qǐng)鍵入 snmp-config: 0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

警告：

只有在管理員不使用 HP Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實(shí)用程序時(shí)才可以禁用 SNMP。

注意：

如要禁用 SNMP，Jetdirect 的固件版本必須為 x.08.32 或更高版本。 同時(shí)，只有安裝了 x.08.03 或更高版本固件的 HP Jetdirect 打印服務(wù)器(J25xx 打印服務(wù)器上的 A.08.03 或更高版本除外)才具有 FTP 功能，也只有這些打印服務(wù)器才可以禁用該功能。

安全步驟五 - SNMP set 和 get community name

注意：

只有安裝了 x.2x.xx 或更高版本固件的 Jetdirect 才可以使用 get-cmnty-name 命令。

可以使用 Telnet、HP 嵌入式 Web 服務(wù)器或 HP Web Jetadmin 軟件配置或禁用 SNMP set community name 和 get community name。 HP Web Jetadmin 軟件可以同時(shí)在多個(gè) HP Jetdirect 中配置 set community name。 set community name 最大長(zhǎng)度為 32 個(gè)字符。

如要在 Telnet 中配置 SNMP set community name，請(qǐng)使用以下命令： set-cmnty-name: my_setcommunitypasswd

. (設(shè)置您自己的密碼)

該密碼可以與 Telnet 密碼相同(查看安全步驟二)》 這樣，管理員只需記住一個(gè)密碼。

如果涉及從 SNMP 管理軟件中監(jiān)控和發(fā)現(xiàn)設(shè)備，請(qǐng)按照上文步驟四的禁用 SNMP。

警告：

只有在管理員不使用 Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實(shí)用程序時(shí)才可以禁用 SNMP。 此外，打印路徑不能同時(shí)使用 SNMP(例如，Standard TCP/IP Port Monitor 需禁用 SNMP。)

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

如要在 Telnet 中配置 SNMP get community name，請(qǐng)使用以下命令： get-cmnty-name: my_getcommunitypasswd. (設(shè)置您自己的密碼)

如要禁用默認(rèn)的 get community name(在 x.08.49 和更高固件版本中)，請(qǐng)鍵入以下 Telnet 命令： default-get-cmnty: 0

背景： SNMP 是網(wǎng)絡(luò)管理應(yīng)用程序用以監(jiān)控和控制網(wǎng)絡(luò)設(shè)備的協(xié)議。 Jetadmin 或 Web Jetadmin 等 HP 軟件使用 SNMP 獲取 HP Jetdirect 打印服務(wù)器信息及其所連接的打印機(jī)。 Get 和 Set 都是用于收集信息和配置參數(shù)的 SNMP 命令。 community name 只不過(guò)是在執(zhí)行 Set 和 Get 操作過(guò)程中，網(wǎng)絡(luò)管理應(yīng)用程序所使用的一個(gè)密碼而已。

安全步驟六 - 允許列表或訪問(wèn)控制列表

固件版本為 x.08.03 或更高的 HP Jetdirect 打印服務(wù)器通過(guò)在 telnet 會(huì)話中創(chuàng)建一個(gè)允許列表或訪問(wèn)控制列表，來(lái)限制訪問(wèn)打印機(jī)的權(quán)限。

點(diǎn)擊此處了解如何在 Jetdirect 或嵌入式 Jetdirect Inside 上從嵌入式 Web 服務(wù)器中設(shè)置訪問(wèn)控制列表。

訪問(wèn)控制列表指定了允許 TCP 與 HP Jetdirect 連接的 IP 地址范圍。 訪問(wèn)控制列表影響打印和管理。 因此，在配置該列表時(shí)，請(qǐng)將管理員電腦的 IP 地址和打印后臺(tái)程序電腦的 IP 地址包含在內(nèi)。

Web 代理服務(wù)器可能會(huì)隱藏嘗試連接到 HP Jetdirect 的電腦的 IP 地址。 因此，如果需要 Web 訪問(wèn)的話，請(qǐng)將代理服務(wù)器的 IP 地址包含在內(nèi)。 此外，在訪問(wèn)控制列表中明確列出的電腦需具有靜態(tài) IP 地址(非 DHCP 分配)。

允許列表中最多可以配置 10 個(gè) IP 地址范圍或者 10 個(gè)單獨(dú)的 IP 地址。 如要查看 HP Jetdirect 中已經(jīng)配置的允許列表，請(qǐng)?jiān)? Telnet 中鍵入：

allow: list

最終，如果在 HP Jetdirect 上配置了 SNMP set community name，想要執(zhí)行 SNMP SET 命令的電腦必須知道 HP Jetdirect 的 SNMP set community name，并必須位于 HP Jetdirect 的訪問(wèn)控制列表內(nèi)。

示例 1

假設(shè)某個(gè) HP Jetdirect 的 IP 地址是 192.168.0.70，子網(wǎng)掩碼是 255.255.255.0。

如要允許局域子網(wǎng)內(nèi)的所有用戶與 HP Jetdirect 建立 TCP 連接，請(qǐng)?jiān)?Telnet 中鍵入以下命令： allow: 192.168.0.70 255.255.255.0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

同時(shí)假設(shè) HP Jetdirect 上已經(jīng)配置了 SNMP set community name。

在本示例中，未位于 192.168.0 子網(wǎng)內(nèi)的電腦將無(wú)法與 HP Jetdirect 建立 TCP 連接，而且不能通過(guò) SNMP 更改任何配置。 只有位于 192.168.0 子網(wǎng)內(nèi)并知道 SNMP set community name 的電腦才可以通過(guò) SNMP 更改配置。

示例 2

如要只允許一個(gè) IP 地址與 HP Jetdirect 卡建立 TCP 連接(例如，192.168.10.15))，請(qǐng)?jiān)?Telnet 中鍵入： allow: 192.168.10.15 255.255.255.255

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

同時(shí)假設(shè) HP Jetdirect 上已經(jīng)配置了 SNMP set community name。

在本示例中，IP 地址不是 192.168.10.15 的電腦將無(wú)法與 HP Jetdirect 建立 TCP 連接，而且不能通過(guò) SNMP 更改任何配置。

示例 3

如要允許以 192.168 開頭的 IP 地址與 HP Jetdirect 建立 TCP 連接，請(qǐng)鍵入： allow: 192.168.0.0 255.255.0.0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

同時(shí)假設(shè) HP Jetdirect 上已經(jīng)配置了 SNMP set community name。

在本示例中，不是以 192.168. 開頭的 IP 地址的電腦將無(wú)法與 HP Jetdirect 建立 TCP 連接，而且不能通過(guò) SNMP 更改任何配置。