今天早上，關于勒索病毒新聞傳播可以說是鋪天蓋地，有來自各種自媒體，門戶以及IT垂直專業媒體，當然也有很多安全軟件廠商也第一時間做出了反應，比如說卡巴斯基等等。經過安天CERT緊急分析，判定該勒索軟件是一個名稱為“WannaCry”的新家族，目前暫無法解密該勒索軟件加密的文件。隨之而來的各種解決辦法也在網絡上非常之多。這次勒索病毒來襲，主要大家都在關注自己的電腦問題，其實在勒索病毒來襲時，除了關注電腦安全外，其實跟電腦連接的打印機，您是否也會重視其安全性呢。可能這次的勒索病毒不一定會給打印機造成安全問題，但是打印機、復印機等辦公設備的打印服務器受到非法訪問或者非法配置的問題時常有發生，因此在打印機安全輸出方面，我們也不能忽視。下面筆者針對惠普HP Jetdirect 和嵌入式 Jetdirect Inside 打印服務器方面的安全打印應用為大家支招，希望對能夠對有安全打印輸出的用戶有所幫助。

用戶在保護 HP Jetdirect 打印服務器的安全，使其免受非法訪問或非法配置。 HP Jetdirect 設備和 HP 端口監控軟件此時不具有打印數據加密功能; 但是可以通過其它解決方法確保安全打印。也可以使用虛擬專用網絡 (VPN)，其可以通過互聯網提供安全 IP tunneling; 普通打印數據通過 VPN 架構傳輸到互聯網。

安全步驟一 - 升級 HP Jetdirect 固件

HP Jetdirect 打印服務器的固件始終處于最新版本。 隨著固件的修訂，性能和安全性將得到提升。 可以使用 Download Manager 或 HP Web Jetadmin 軟件對 Jetdirect 固件進行升級，不過 HP Web Jetadmin 是面向大型企業網絡的完整管理軟件。 以上兩個應用程序都可以自動從互聯網上下載最新的固件映像。

安全步驟二 - Telnet 密碼

必要信息

在到 HP Jetdirect 打印服務器的 telnet 會話過程中可以設置密碼，這樣可以阻止未經授權的 telnet 訪問 Jetdirect。 密碼最長可以是 16 個字符，區分大小寫，即使關閉并重新啟動打印機或 Jetdirect ，密碼仍然存在。 如果忘記了密碼，Jetdirect 必須冷重置為出廠默認值，這樣將會丟失所有的 TCP/IP 配置，并且打印服務器也需要重新配置。

一旦設置了密碼，在下次 telnet 會話打開之前將會提示輸入密碼。 如果 Jetdirect 固件為 x.20.xx 或更高版本，也會要求輸入用戶名和密碼。 有四個有效的用戶名，分別為： root、admin、administrator 或 supervisor。

Telnet 要求

要求在打印機上啟用 TCP/IP，并設置 IP 地址

打印機上的固件版本為 x.03.16 或更高版本

在電腦或工作站上安裝 Telnet 實用程序和 TCP/IP

在電腦或工作站上設置 IP 地址

打印服務器的 TCP/IP 通信良好

設置密碼

用于固件 x.20.xx 或更高版本

在 Telnet 之后，在同一行鍵入命令和密碼。 例如： passwd: mypassword

完成之后，鍵入 quit。 按下 Enter 退出。

鍵入“Y”，以在 Jetdirect 上保存密碼。

注意：

如果忘記了密碼，必須冷重置 HP Jetdirect 設備。

用于固件 x.08.40 及更低版本

在 Telnet 之后，鍵入以下命令：passwd

按下 Enter，將顯示要求輸入 telnet 密碼的提示。

鍵入密碼。

完成之后，鍵入： quit

按下 Enter，以在 HP Jetdirect 上退出并保存密碼。

注意：

如果忘記了密碼，必須冷重置 HP Jetdirect 設備。

在啟用密碼后執行 telnet

對于固件版本 X.20.XX

Telnet 到 HP Jetdirect 打印服務器。

鍵入以下某個有效用戶名： root、admin、administrator 或 supervisor。

按 Enter 鍵。

在提示行中鍵入密碼。

按 Enter 兩次，以確認連接。

對于固件版本 X.06.00 - x.08.04

Telnet 到 HP Jetdirect 打印服務器。

按 Enter，直到提示輸入密碼為止。

在提示行中鍵入密碼。

按 Enter 兩次，以確認連接。

對于固件版本 X.05.34 及更低版本

Telnet 到 HP Jetdirect 打印服務器。

按 Enter，直到提示輸入密碼為止。

請不要在密碼提示中鍵入密碼，否則會顯示密碼失敗。 正確的方法是按 Enter，轉到下一行，其中只有“>”提示符。

然后輸入新的 telnet 密碼。 可能會顯示如下回應： logged in

按 Enter 兩次，以確認連接。

背景：Telnet 是 TCP/IP 協議族中的一個實用程序，也是一個系統用戶界面。 是通過網絡從一個系統登錄到另一個系統的途徑。 Telnet 可以作為 HP Jetdirect 打印服務器的用戶界面，并可以配置設備參數。 通過 TCP/IP 協議提供 Telnet 實用程序路徑的所有操作系統都可以使用 Telnet 配置 HP Jetdirect 打印服務器。

安全步驟三 - 禁用閑置協議

禁用閑置協議有助于最小化網絡流量，更好地實現網絡安全。 可以使用 Telnet、Web Jetadmin 或 HP 嵌入式 Web 服務器禁用協議。 Web Jetadmin 軟件可以單獨或批量禁用 HP Jetdirect 協議。 查看 HP Web Jetadmin 文檔，了解更多有關設備配置的信息。

Telnet 可以禁用 TCP/IP 以外的所有協議。

如要通過 Telnet 禁用協議，請在 Telnet 會話中鍵入以下命令：

如要禁用 Novell 或 IPX/SPX 協議，請鍵入 ipx/spx: 0

如要禁用數據鏈路 (DLC) 協議，請鍵入 dlc/llc:0

如要禁用 EtherTalk 協議，請鍵入 ethertalk: 0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

安全步驟四 - 禁用其它閑置的打印和管理程序

HP Jetdirect 打印服務器上的程序和連接端口都可以用于打印和配置。 強烈推薦通過該方法禁用閑置程序。 例如，如果管理員目前沒有使用 HP 嵌入式 Web 服務器，就應將其禁用。

在 Telnet 中使用以下相應命令禁用協議或程序：

如要禁用 Internet Printing 協議，請鍵入 ipp-config: 0

如要禁用 File Transfer 協議，請鍵入 ftp-config: 0

如要禁用 HP Jetdirect 的嵌入式 Web 服務器，請鍵入 ews-config: 0

如要禁用 Service Location 協議，請鍵入 tl-slp: -1

如要禁用 SNMP，請鍵入 snmp-config: 0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

警告：

只有在管理員不使用 HP Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實用程序時才可以禁用 SNMP。

注意：

如要禁用 SNMP，Jetdirect 的固件版本必須為 x.08.32 或更高版本。 同時，只有安裝了 x.08.03 或更高版本固件的 HP Jetdirect 打印服務器(J25xx 打印服務器上的 A.08.03 或更高版本除外)才具有 FTP 功能，也只有這些打印服務器才可以禁用該功能。

安全步驟五 - SNMP set 和 get community name

注意：

只有安裝了 x.2x.xx 或更高版本固件的 Jetdirect 才可以使用 get-cmnty-name 命令。

可以使用 Telnet、HP 嵌入式 Web 服務器或 HP Web Jetadmin 軟件配置或禁用 SNMP set community name 和 get community name。 HP Web Jetadmin 軟件可以同時在多個 HP Jetdirect 中配置 set community name。 set community name 最大長度為 32 個字符。

如要在 Telnet 中配置 SNMP set community name，請使用以下命令： set-cmnty-name: my_setcommunitypasswd

. (設置您自己的密碼)

該密碼可以與 Telnet 密碼相同(查看安全步驟二)》 這樣，管理員只需記住一個密碼。

如果涉及從 SNMP 管理軟件中監控和發現設備，請按照上文步驟四的禁用 SNMP。

警告：

只有在管理員不使用 Web Jetadmin、Jetadmin、OpenView 或任何其它 SNMP 管理實用程序時才可以禁用 SNMP。 此外，打印路徑不能同時使用 SNMP(例如，Standard TCP/IP Port Monitor 需禁用 SNMP。)

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

如要在 Telnet 中配置 SNMP get community name，請使用以下命令： get-cmnty-name: my_getcommunitypasswd. (設置您自己的密碼)

如要禁用默認的 get community name(在 x.08.49 和更高固件版本中)，請鍵入以下 Telnet 命令： default-get-cmnty: 0

背景： SNMP 是網絡管理應用程序用以監控和控制網絡設備的協議。 Jetadmin 或 Web Jetadmin 等 HP 軟件使用 SNMP 獲取 HP Jetdirect 打印服務器信息及其所連接的打印機。 Get 和 Set 都是用于收集信息和配置參數的 SNMP 命令。 community name 只不過是在執行 Set 和 Get 操作過程中，網絡管理應用程序所使用的一個密碼而已。

安全步驟六 - 允許列表或訪問控制列表

固件版本為 x.08.03 或更高的 HP Jetdirect 打印服務器通過在 telnet 會話中創建一個允許列表或訪問控制列表，來限制訪問打印機的權限。

點擊此處了解如何在 Jetdirect 或嵌入式 Jetdirect Inside 上從嵌入式 Web 服務器中設置訪問控制列表。

訪問控制列表指定了允許 TCP 與 HP Jetdirect 連接的 IP 地址范圍。 訪問控制列表影響打印和管理。 因此，在配置該列表時，請將管理員電腦的 IP 地址和打印后臺程序電腦的 IP 地址包含在內。

Web 代理服務器可能會隱藏嘗試連接到 HP Jetdirect 的電腦的 IP 地址。 因此，如果需要 Web 訪問的話，請將代理服務器的 IP 地址包含在內。 此外，在訪問控制列表中明確列出的電腦需具有靜態 IP 地址(非 DHCP 分配)。

允許列表中最多可以配置 10 個 IP 地址范圍或者 10 個單獨的 IP 地址。 如要查看 HP Jetdirect 中已經配置的允許列表，請在 Telnet 中鍵入：

allow: list

最終，如果在 HP Jetdirect 上配置了 SNMP set community name，想要執行 SNMP SET 命令的電腦必須知道 HP Jetdirect 的 SNMP set community name，并必須位于 HP Jetdirect 的訪問控制列表內。

示例 1

假設某個 HP Jetdirect 的 IP 地址是 192.168.0.70，子網掩碼是 255.255.255.0。

如要允許局域子網內的所有用戶與 HP Jetdirect 建立 TCP 連接，請在 Telnet 中鍵入以下命令： allow: 192.168.0.70 255.255.255.0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中，未位于 192.168.0 子網內的電腦將無法與 HP Jetdirect 建立 TCP 連接，而且不能通過 SNMP 更改任何配置。 只有位于 192.168.0 子網內并知道 SNMP set community name 的電腦才可以通過 SNMP 更改配置。

示例 2

如要只允許一個 IP 地址與 HP Jetdirect 卡建立 TCP 連接(例如，192.168.10.15))，請在 Telnet 中鍵入： allow: 192.168.10.15 255.255.255.255

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中，IP 地址不是 192.168.10.15 的電腦將無法與 HP Jetdirect 建立 TCP 連接，而且不能通過 SNMP 更改任何配置。

示例 3

如要允許以 192.168 開頭的 IP 地址與 HP Jetdirect 建立 TCP 連接，請鍵入： allow: 192.168.0.0 255.255.0.0

完成后，鍵入 quit，然后按 Enter 保存所有配置并退出。

同時假設 HP Jetdirect 上已經配置了 SNMP set community name。

在本示例中，不是以 192.168. 開頭的 IP 地址的電腦將無法與 HP Jetdirect 建立 TCP 連接，而且不能通過 SNMP 更改任何配置。