華文網

勒索病毒來襲!6個安全步驟幫您解決安全列印問題

今天早上,關於勒索病毒新聞傳播可以說是鋪天蓋地,有來自各種自媒體,門戶以及IT垂直專業媒體,當然也有很多安全軟體廠商也第一時間做出了反應,比如說卡巴斯基等等。

經過安天CERT緊急分析,判定該勒索軟體是一個名稱為“WannaCry”的新家族,目前暫無法解密該勒索軟體加密的檔。隨之而來的各種解決辦法也在網路上非常之多。這次勒索病毒來襲,主要大家都在關注自己的電腦問題,其實在勒索病毒來襲時,除了關注電腦安全外,其實跟電腦連接的印表機,您是否也會重視其安全性呢。可能這次的勒索病毒不一定會給印表機造成安全問題,
但是印表機、影印機等辦公設備的印表伺服器受到非法訪問或者非法配置的問題時常有發生,因此在印表機安全輸出方面,我們也不能忽視。下面筆者針對惠普HP Jetdirect 和嵌入式 Jetdirect Inside 印表伺服器方面的安全列印應用為大家支招,希望對能夠對有安全列印輸出的用戶有所幫助。

用戶在保護 HP Jetdirect 印表伺服器的安全,使其免受非法訪問或非法配置。 HP Jetdirect 設備和 HP 埠監控軟體此時不具有列印資料加密功能; 但是可以通過其它解決方法確保安全列印。也可以使用虛擬私人網路絡 (VPN),其可以通過互聯網提供安全 IP tunneling; 普通列印資料通過 VPN 架構傳輸到互聯網。

安全步驟一 - 升級 HP Jetdirect 固件

安全步驟二 - Telnet 密碼

必要資訊

在到 HP Jetdirect 印表伺服器的 telnet 會話過程中可以設置密碼,

這樣可以阻止未經授權的 telnet 訪問 Jetdirect。 密碼最長可以是 16 個字元,區分大小寫,即使關閉並重新開機印表機或 Jetdirect ,密碼仍然存在。 如果忘記了密碼,Jetdirect 必須冷重置為出廠預設值,這樣將會丟失所有的 TCP/IP 配置,並且印表伺服器也需要重新配置。

一旦設置了密碼,在下次 telnet 會話打開之前將會提示輸入密碼。 如果 Jetdirect 固件為 x.20.xx 或更高版本,也會要求輸入用戶名和密碼。 有四個有效的用戶名,分別為: root、admin、administrator 或 supervisor。

Telnet 要求

要求在印表機上啟用 TCP/IP,並設置 IP 位址

印表機上的固件版本為 x.03.16 或更高版本

在電腦或工作站上安裝 Telnet 實用程式和 TCP/IP

在電腦或工作站上設置 IP 位址

印表伺服器的 TCP/IP 通信良好

設置密碼

用於固件 x.20.xx 或更高版本

在 Telnet 之後,在同一行鍵入命令和密碼。 例如: passwd: mypassword

完成之後,鍵入 quit。 按下 Enter 退出。

鍵入“Y”,以在 Jetdirect 上保存密碼。

注意:

如果忘記了密碼,必須冷重置 HP Jetdirect 設備。

用於固件 x.08.40 及更低版本

在 Telnet 之後,鍵入以下命令:passwd

按下 Enter,將顯示要求輸入 telnet 密碼的提示。

鍵入密碼。

完成之後,鍵入: quit

按下 Enter,以在 HP Jetdirect 上退出並保存密碼。

注意:

如果忘記了密碼,必須冷重置 HP Jetdirect 設備。

在啟用密碼後執行 telnet

對於固件版本 X.20.XX

Telnet 到 HP Jetdirect 印表伺服器。

鍵入以下某個有效用戶名: root、admin、administrator 或 supervisor。

按 Enter 鍵。

在提示行中鍵入密碼。

按 Enter 兩次,以確認連接。

對於固件版本 X.06.00 - x.08.04

Telnet 到 HP Jetdirect 印表伺服器。

按 Enter,直到提示輸入密碼為止。

在提示行中鍵入密碼。

按 Enter 兩次,以確認連接。

對於固件版本 X.05.34 及更低版本

Telnet 到 HP Jetdirect 印表伺服器。

按 Enter,直到提示輸入密碼為止。

請不要在密碼提示中鍵入密碼,否則會顯示密碼失敗。 正確的方法是按 Enter,轉到下一行,其中只有“>”提示符。

然後輸入新的 telnet 密碼。 可能會顯示如下回應: logged in

按 Enter 兩次,以確認連接。

背景:Telnet 是 TCP/IP 協定族中的一個實用程式,也是一個系統使用者介面。 是通過網路從一個系統登錄到另一個系統的途徑。 Telnet 可以作為 HP Jetdirect 印表伺服器的使用者介面,並可以配置設備參數。 通過 TCP/IP 協定提供 Telnet 實用程式路徑的所有作業系統都可以使用 Telnet 配置 HP Jetdirect 印表伺服器。

安全步驟三 - 禁用閒置協定

禁用閒置協定有助於最小化網路流量,更好地實現網路安全。 可以使用 Telnet、Web Jetadmin 或 HP 嵌入式 Web 伺服器禁用協定。 Web Jetadmin 軟體可以單獨或批量禁用 HP Jetdirect 協定。 查看 HP Web Jetadmin 文檔,瞭解更多有關設備配置的資訊。

Telnet 可以禁用 TCP/IP 以外的所有協議。

如要通過 Telnet 禁用協議,請在 Telnet 會話中鍵入以下命令:

如要禁用 Novell 或 IPX/SPX 協議,請鍵入 ipx/spx: 0

如要禁用資料連結 (DLC) 協議,請鍵入 dlc/llc:0

如要禁用 EtherTalk 協議,請鍵入 ethertalk: 0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

安全步驟四 - 禁用其它閒置的列印和管理程式

HP Jetdirect 印表伺服器上的程式和連接埠都可以用於列印和配置。 強烈推薦通過該方法禁用閒置程式。 例如,如果管理員目前沒有使用 HP 嵌入式 Web 伺服器,就應將其禁用。

在 Telnet 中使用以下相應命令禁用協定或程式:

如要禁用 Internet Printing 協議,請鍵入 ipp-config: 0

如要禁用 File Transfer 協議,請鍵入 ftp-config: 0

如要禁用 HP Jetdirect 的嵌入式 Web 伺服器,請鍵入 ews-config: 0

如要禁用 Service Location 協議,請鍵入 tl-slp: -1

如要禁用 SNMP,請鍵入 snmp-config: 0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

警告:

只有在管理員不使用 HP Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實用程式時才可以禁用 SNMP。

注意:

如要禁用 SNMP,Jetdirect 的固件版本必須為 x.08.32 或更高版本。 同時,只有安裝了 x.08.03 或更高版本固件的 HP Jetdirect 印表伺服器(J25xx 印表伺服器上的 A.08.03 或更高版本除外)才具有 FTP 功能,也只有這些印表伺服器才可以禁用該功能。

安全步驟五 - SNMP set 和 get community name

注意:

只有安裝了 x.2x.xx 或更高版本固件的 Jetdirect 才可以使用 get-cmnty-name 命令。

可以使用 Telnet、HP 嵌入式 Web 伺服器或 HP Web Jetadmin 軟體配置或禁用 SNMP set community name 和 get community name。 HP Web Jetadmin 軟體可以同時在多個 HP Jetdirect 中配置 set community name。 set community name 最大長度為 32 個字元。

如要在 Telnet 中配置 SNMP set community name,請使用以下命令: set-cmnty-name: my_setcommunitypasswd

. (設置您自己的密碼)

該密碼可以與 Telnet 密碼相同(查看安全步驟二)》 這樣,管理員只需記住一個密碼。

如果涉及從 SNMP 管理軟體中監控和發現設備,請按照上文步驟四的禁用 SNMP。

警告:

只有在管理員不使用 Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實用程式時才可以禁用 SNMP。 此外,列印路徑不能同時使用 SNMP(例如,Standard TCP/IP Port Monitor 需禁用 SNMP。)

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

如要在 Telnet 中配置 SNMP get community name,請使用以下命令: get-cmnty-name: my_getcommunitypasswd. (設置您自己的密碼)

如要禁用默認的 get community name(在 x.08.49 和更高固件版本中),請鍵入以下 Telnet 命令: default-get-cmnty: 0

背景: SNMP 是網路管理應用程式用以監控和控制網路設備的協定。 Jetadmin 或 Web Jetadmin 等 HP 軟體使用 SNMP 獲取 HP Jetdirect 印表伺服器資訊及其所連接的印表機。 Get 和 Set 都是用於收集資訊和配置參數的 SNMP 命令。 community name 只不過是在執行 Set 和 Get 操作過程中,網路管理應用程式所使用的一個密碼而已。

安全步驟六 - 允許清單或存取控制清單

固件版本為 x.08.03 或更高的 HP Jetdirect 印表伺服器通過在 telnet 會話中創建一個允許列表或存取控制清單,來限制訪問印表機的許可權。

點擊此處瞭解如何在 Jetdirect 或嵌入式 Jetdirect Inside 上從嵌入式 Web 伺服器中設置存取控制清單。

存取控制清單指定了允許 TCP 與 HP Jetdirect 連接的 IP 位址範圍。 存取控制清單影響列印和管理。 因此,在配置該清單時,請將管理員電腦的 IP 地址和列印幕後程式電腦的 IP 地址包含在內。

Web 代理伺服器可能會隱藏嘗試連接到 HP Jetdirect 的電腦的 IP 位址。 因此,如果需要 Web 訪問的話,請將代理伺服器的 IP 位址包含在內。 此外,在存取控制清單中明確列出的電腦需具有靜態 IP 位址(非 DHCP 分配)。

允許清單中最多可以配置 10 個 IP 位址範圍或者 10 個單獨的 IP 地址。 如要查看 HP Jetdirect 中已經配置的允許清單,請在 Telnet 中鍵入:

allow: list

最終,如果在 HP Jetdirect 上配置了 SNMP set community name,想要執行 SNMP SET 命令的電腦必須知道 HP Jetdirect 的 SNMP set community name,並必須位於 HP Jetdirect 的存取控制清單內。

示例 1

假設某個 HP Jetdirect 的 IP 地址是 192.168.0.70,子網路遮罩是 255.255.255.0。

如要允許局域子網內的所有用戶與 HP Jetdirect 建立 TCP 連接,請在 Telnet 中鍵入以下命令: allow: 192.168.0.70 255.255.255.0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中,未位於 192.168.0 子網內的電腦將無法與 HP Jetdirect 建立 TCP 連接,而且不能通過 SNMP 更改任何配置。 只有位於 192.168.0 子網內並知道 SNMP set community name 的電腦才可以通過 SNMP 更改配置。

示例 2

如要只允許一個 IP 位址與 HP Jetdirect 卡建立 TCP 連接(例如,192.168.10.15)),請在 Telnet 中鍵入: allow: 192.168.10.15 255.255.255.255

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中,IP 位址不是 192.168.10.15 的電腦將無法與 HP Jetdirect 建立 TCP 連接,而且不能通過 SNMP 更改任何配置。

示例 3

如要允許以 192.168 開頭的 IP 位址與 HP Jetdirect 建立 TCP 連接,請鍵入: allow: 192.168.0.0 255.255.0.0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中,不是以 192.168. 開頭的 IP 位址的電腦將無法與 HP Jetdirect 建立 TCP 連接,而且不能通過 SNMP 更改任何配置。

Telnet 到 HP Jetdirect 印表伺服器。

按 Enter,直到提示輸入密碼為止。

請不要在密碼提示中鍵入密碼,否則會顯示密碼失敗。 正確的方法是按 Enter,轉到下一行,其中只有“>”提示符。

然後輸入新的 telnet 密碼。 可能會顯示如下回應: logged in

按 Enter 兩次,以確認連接。

背景:Telnet 是 TCP/IP 協定族中的一個實用程式,也是一個系統使用者介面。 是通過網路從一個系統登錄到另一個系統的途徑。 Telnet 可以作為 HP Jetdirect 印表伺服器的使用者介面,並可以配置設備參數。 通過 TCP/IP 協定提供 Telnet 實用程式路徑的所有作業系統都可以使用 Telnet 配置 HP Jetdirect 印表伺服器。

安全步驟三 - 禁用閒置協定

禁用閒置協定有助於最小化網路流量,更好地實現網路安全。 可以使用 Telnet、Web Jetadmin 或 HP 嵌入式 Web 伺服器禁用協定。 Web Jetadmin 軟體可以單獨或批量禁用 HP Jetdirect 協定。 查看 HP Web Jetadmin 文檔,瞭解更多有關設備配置的資訊。

Telnet 可以禁用 TCP/IP 以外的所有協議。

如要通過 Telnet 禁用協議,請在 Telnet 會話中鍵入以下命令:

如要禁用 Novell 或 IPX/SPX 協議,請鍵入 ipx/spx: 0

如要禁用資料連結 (DLC) 協議,請鍵入 dlc/llc:0

如要禁用 EtherTalk 協議,請鍵入 ethertalk: 0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

安全步驟四 - 禁用其它閒置的列印和管理程式

HP Jetdirect 印表伺服器上的程式和連接埠都可以用於列印和配置。 強烈推薦通過該方法禁用閒置程式。 例如,如果管理員目前沒有使用 HP 嵌入式 Web 伺服器,就應將其禁用。

在 Telnet 中使用以下相應命令禁用協定或程式:

如要禁用 Internet Printing 協議,請鍵入 ipp-config: 0

如要禁用 File Transfer 協議,請鍵入 ftp-config: 0

如要禁用 HP Jetdirect 的嵌入式 Web 伺服器,請鍵入 ews-config: 0

如要禁用 Service Location 協議,請鍵入 tl-slp: -1

如要禁用 SNMP,請鍵入 snmp-config: 0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

警告:

只有在管理員不使用 HP Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實用程式時才可以禁用 SNMP。

注意:

如要禁用 SNMP,Jetdirect 的固件版本必須為 x.08.32 或更高版本。 同時,只有安裝了 x.08.03 或更高版本固件的 HP Jetdirect 印表伺服器(J25xx 印表伺服器上的 A.08.03 或更高版本除外)才具有 FTP 功能,也只有這些印表伺服器才可以禁用該功能。

安全步驟五 - SNMP set 和 get community name

注意:

只有安裝了 x.2x.xx 或更高版本固件的 Jetdirect 才可以使用 get-cmnty-name 命令。

可以使用 Telnet、HP 嵌入式 Web 伺服器或 HP Web Jetadmin 軟體配置或禁用 SNMP set community name 和 get community name。 HP Web Jetadmin 軟體可以同時在多個 HP Jetdirect 中配置 set community name。 set community name 最大長度為 32 個字元。

如要在 Telnet 中配置 SNMP set community name,請使用以下命令: set-cmnty-name: my_setcommunitypasswd

. (設置您自己的密碼)

該密碼可以與 Telnet 密碼相同(查看安全步驟二)》 這樣,管理員只需記住一個密碼。

如果涉及從 SNMP 管理軟體中監控和發現設備,請按照上文步驟四的禁用 SNMP。

警告:

只有在管理員不使用 Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實用程式時才可以禁用 SNMP。 此外,列印路徑不能同時使用 SNMP(例如,Standard TCP/IP Port Monitor 需禁用 SNMP。)

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

如要在 Telnet 中配置 SNMP get community name,請使用以下命令: get-cmnty-name: my_getcommunitypasswd. (設置您自己的密碼)

如要禁用默認的 get community name(在 x.08.49 和更高固件版本中),請鍵入以下 Telnet 命令: default-get-cmnty: 0

背景: SNMP 是網路管理應用程式用以監控和控制網路設備的協定。 Jetadmin 或 Web Jetadmin 等 HP 軟體使用 SNMP 獲取 HP Jetdirect 印表伺服器資訊及其所連接的印表機。 Get 和 Set 都是用於收集資訊和配置參數的 SNMP 命令。 community name 只不過是在執行 Set 和 Get 操作過程中,網路管理應用程式所使用的一個密碼而已。

安全步驟六 - 允許清單或存取控制清單

固件版本為 x.08.03 或更高的 HP Jetdirect 印表伺服器通過在 telnet 會話中創建一個允許列表或存取控制清單,來限制訪問印表機的許可權。

點擊此處瞭解如何在 Jetdirect 或嵌入式 Jetdirect Inside 上從嵌入式 Web 伺服器中設置存取控制清單。

存取控制清單指定了允許 TCP 與 HP Jetdirect 連接的 IP 位址範圍。 存取控制清單影響列印和管理。 因此,在配置該清單時,請將管理員電腦的 IP 地址和列印幕後程式電腦的 IP 地址包含在內。

Web 代理伺服器可能會隱藏嘗試連接到 HP Jetdirect 的電腦的 IP 位址。 因此,如果需要 Web 訪問的話,請將代理伺服器的 IP 位址包含在內。 此外,在存取控制清單中明確列出的電腦需具有靜態 IP 位址(非 DHCP 分配)。

允許清單中最多可以配置 10 個 IP 位址範圍或者 10 個單獨的 IP 地址。 如要查看 HP Jetdirect 中已經配置的允許清單,請在 Telnet 中鍵入:

allow: list

最終,如果在 HP Jetdirect 上配置了 SNMP set community name,想要執行 SNMP SET 命令的電腦必須知道 HP Jetdirect 的 SNMP set community name,並必須位於 HP Jetdirect 的存取控制清單內。

示例 1

假設某個 HP Jetdirect 的 IP 地址是 192.168.0.70,子網路遮罩是 255.255.255.0。

如要允許局域子網內的所有用戶與 HP Jetdirect 建立 TCP 連接,請在 Telnet 中鍵入以下命令: allow: 192.168.0.70 255.255.255.0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中,未位於 192.168.0 子網內的電腦將無法與 HP Jetdirect 建立 TCP 連接,而且不能通過 SNMP 更改任何配置。 只有位於 192.168.0 子網內並知道 SNMP set community name 的電腦才可以通過 SNMP 更改配置。

示例 2

如要只允許一個 IP 位址與 HP Jetdirect 卡建立 TCP 連接(例如,192.168.10.15)),請在 Telnet 中鍵入: allow: 192.168.10.15 255.255.255.255

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中,IP 位址不是 192.168.10.15 的電腦將無法與 HP Jetdirect 建立 TCP 連接,而且不能通過 SNMP 更改任何配置。

示例 3

如要允許以 192.168 開頭的 IP 位址與 HP Jetdirect 建立 TCP 連接,請鍵入: allow: 192.168.0.0 255.255.0.0

完成後,鍵入 quit,然後按 Enter 保存所有配置並退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中,不是以 192.168. 開頭的 IP 位址的電腦將無法與 HP Jetdirect 建立 TCP 連接,而且不能通過 SNMP 更改任何配置。