Безопасность принтеров в Active Directory

Обновлено 10.11.2017

Добрый день, уважаемые читатели, мы с вами продолжаем изучение доменных сетей, и сегодня коснемся темы, где поговорим про секьюрность, куда же без нее и на повестке дня безопасность принтеров в Active Directory. Если кто не в курсе их так же нужно защищать, от внешнего влияния. Можете поискать на хабре статью, о том, как хакеры, шутки ради печатали на них кучу бессмысленного текста и проникали в локальные сети компаний, советую отнестись к этой ситуации серьезно, так как будет очень нелепо потом объяснять руководству, что вас взломали из-за принтера. 

Политика безопасности для принтеров

И так что мы с вами имеем:

• Мы установили сервер печати windows server 2012 R2
• Установили принтеры групповой политикой
• Научились опубликовать принтеры в Active Directory

но еще не касались аспектов безопасности, что не есть хорошо, так как это очень важный критерий. Представим себе ситуацию, что у вас на предприятии есть цветной принтер с весьма дорогой заправкой. Предположим, что у человека есть права на компьютере и он при желании зайдя по UNC (\\) пути на сервер печати, сможет поставить себе данный принтер и, например, в незаметное для админа время напечатать свои фотографии, так сказать сэкономить. Через какое-то время вы обнаружите, что картриджи пусты, но вас будут уверять, что те чей это принтер на нем не печатали, и начнется разбирательство, кто печатал и израсходовал, в итоге виноватым будите все равно вы, так как не можете отследить кто это сделал и не сделали ничего, чтобы избежать данной ситуации.

Или еще пример у меня на работе есть цветной принтер и его ответственные сотрудники используют для распечатывания на фотобумаге сертификатов о прохождении семинаров по гос закупкам, были случаи в моей практике, что менеджер отправлял на печать свои договора на цветной принтер, так как он ближе и бывали случаи, что в этот момент там загрузили фотобумагу 🙂 ору было вагон, чтобы такого не произошло у ас должна быть выработана политика безопасности принтеров.

И так, что мы с вами можем сделать, раз у нас есть с вами Active Directory, то мы воспользуемся ее преимуществом, а именно членством в группах (более подробно про основы AD читайте по ссылке)

Как я и говорил, зайдя по UNC пути на сервер печати мы видим список принтеров, при наличии прав мы например можем поставить принтер Главный вход ресепшен. Давайте запретив печатание на нем для всех кроме определенной группы.

Зайдите в оснастку Active Directory пользователи и компьютеры, выберите нужное вам место, где вы создаете группы безопасности и создайте новую.

Выбираем группу безопасности Глобальную и задаем ей нужное вам имя, в мое политике безопасности принтеров название по стандарту идет с действия, в моем случае разрешить и далее, что именно. Занесите в данную группу всех сотрудников кому вы будите разрешать печать.

Все группа создана, чтобы повысить Безопасность принтеров, идем дальше. Идем на сервер печати и нажимаем WIN+R, в окне выполнить введите printmanagement.msc, чтобы открыть оснастку Управление печатью.

Раскрываем пункт принтеры и находим нужный, щелкаем по нему правым кликом и выбираем его свойства.

Переходим на вкладку Безопасность, выбираем в списке, он еще кстати называется ACL (Accsess Control List) выбираем группу Все, и снизу снимаем для нее галку Печать.

Далее нажимаем кнопку добавить и добавляем из AD нашу ранее созданную группу, тем кому мы разрешаем печать на данном принтере.

И ставим для нее галку Печать в поле разрешить.

Все первый этап безопасности принтеров в Active Directory выполнен, и мы ограничили круг лиц, кто может им пользоваться, теперь даже если принтер стоит у человека, и при его отсутствии в нужной группе, он не даст ему печатать. Еще можете пойти дальше и, например, задать в свойствах на вкладке Дополнительно время работы принтера.

Безопасность принтеров так же еще производится в ограничении доступа к веб интерфейсу. Да любой принтер имеет веб мордочку, попасть на нее можно открыв браузер и ввести либо DNS имя или IP адрес, заданный ему. Тут нужно ограничить административный раздел, для примера я покажу для принтера HP. Тут переходим в раздел система.

и меняем пароль по умолчанию для вашего печатающего устройства, после этого вы ограничили доступ к веб интерфейсу.

Как видите, организовать политику безопасности для печатающих устройств совсем не сложно, самое основное, чтобы просто знать где и как могут использоваться некие лазейки, но все приходит с опытом и практикой. В следующей статье я расскажу, как можно задавать нужные настройки, такие как куда сканировать или другие настройки, через групповую политику.