Thursday, November 23rd, 2017

Обеспечение безопасности при использовании принтера в Windows Server 2003 (Часть 2)

Published on Февраль 18, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В первой части этой статьи я показал вам, как настроить отдельно стоящий принтер так, чтобы его очередь печати располагалась на сервере, который работает под управлением операционной системы Windows Server 2003. Теперь, когда эта очередь печати размещается на сервере с операционной системой Windows, пришло время идти дальше в плане обеспечения безопасности ваших принтеров.

Давайте начнем с того, что посмотрим на страницу свойств принтера (properties sheet). Вы можете найти это окно, перейдя из меню Start (Пуск) к Control Panel (Панель управления)| Printers and Faxes (Принтеры и факсы). Когда вы выберите меню Printers and Faxes, то очереди печати, которые размещаются на сервере, будут отражены в качестве подменю. Щелкните правой кнопкой мыши на очереди печати, которую вы хотите обезопасить, и выберите команду Properties (свойства) из выпадающего меню.

Когда откроется страница свойств принтера, то закладка General (общие) будет выбрана по умолчанию. В плане безопасности вы мало чего сможете сделать в закладке General (Общие), поэтому перейдите на закладку Sharing (Доступ). Как вы можете увидеть из рисунка A, закладка Sharing (Доступ) позволяет вам указать имя для общего доступа к принтеру (printer share name). Это имя для общего доступа будет использоваться, как часть универсального соглашения по наименованию Universal Naming Convention (UNC). Существуют различные команды, которые можно использовать для того, чтобы вручную подключить принтер с помощью UNC. Например, если вы хотите вручную указать LPT1 порт принтера, то вы должны использовать следующую команду:

NET USE LPT1: \\servername\sharename

В команде, приведенной выше, servername отражает имя сервера, на котором размещается принтер с общим доступом, а sharename отражает имя, под которым принтер будет использоваться для общего доступа.

Свойства безопасности принтеров

Рисунок A Закладка Sharing (доступ) позволяет вам указать имя принтера для общего доступа

На первый взгляд эта закладка выглядит точно также, как окно, которое вы используете для того, чтобы открыть общий доступ к папке в файловой системе (file system). Если говорить в целом, то общий доступ к принтеру работает во многом также, как и общий доступ к папке, но с одним основным отличием. Когда вы открываете общий доступ к папке, то у вас есть возможность задать права на уровне NTFS и права на общий доступ. Если вы посмотрите на Рисунок A, то увидите, что нет такого механизма задания прав на закладке Sharing (доступ). Вместо этого, все разрешения устанавливаются на закладке Security (безопасность), о которой я расскажу позже.

Есть пара вещей, которыми вы можете воспользоваться на закладке Sharing (доступ), чтобы помочь улучшить безопасность принтера. Первая настройка – это не включать принтер в список Active Directory. Не включение принтера в список Active Directory не сделает принтер невидимым, т.к. пользователи по-прежнему смогут просмотреть сеть на наличие принтера (с помощью NetBIOS обзора, а не обзора с помощью Active Directory). Это снижает шансы того, что пользователи случайно наткнуться на принтер.

Если вы посмотрите на рисунок A, то увидите кнопку Additional Drivers (дополнительные драйвера). Операционная система Windows спроектирована таким образом, что когда пользователи подключают принтер с помощью общего доступа, все необходимые драйвера автоматически устанавливаются на компьютер пользователя. Если вы оказались в ситуации, когда вы знаете, что каждый правомочный пользователь работает под управлением определенной операционной системы, то вы можете установить драйвера только для этой операционной системы. Опять же, это не настоящее решение проблемы с безопасностью, т.к. пользователь всегда может вручную установить драйвер на свой компьютер, загрузив его из Internet (предполагается, что у них есть на это разрешение). Такие действия просто заставляют пользователей совершать дополнительные действия для подключения к принтеру.

Ни одну из настроек на закладке Sharing (доступ), о которых я рассказал, нельзя рассматривать в качестве настоящих настроек для безопасности, это лишь настройки, которые в некоторых ситуациях позволяют улучшить безопасность в определенной степени, поэтому я и упомянул о них.

Закладка Advanced (Дополнительно)

На закладке Advanced (дополнительно) в действительности не содержится много настроек для безопасности, но есть одна настройка, о которой я хочу вам рассказать. Если вы посмотрите на Рисунок B, то увидите, что на закладке Advanced содержится настройка, которая позволяет вам контролировать доступность и недоступность принтера. Если вы знаете, что никому в вашей компании не нужно будет что-то печатать по работе по прошествии определенного времени, то вы можете настроить принтер так, чтобы он был недоступен в нерабочее время.

Управление сервер2003 подключение принтера

Рисунок B На закладке Advanced содержится настройка, которая позволяет вам контролировать доступность и недоступность принтера

Закладка Security (Безопасность)

Закладка Security (Безопасность), изображенная на рисунке C, позволяет вам назначить действительные права для очереди печати. Как и в случае обеспечения безопасности файловой системы, вы можете назначать права, как для пользователей, так и для групп. Лучше всего назначать права на группу.

Закладка безопасность

Рисунок C Закладка Security (безопасность) позволяет вам назначать права для пользователей и для групп

Если вы посмотрите на Рисунок, то увидите четыре различных прав, которые вы можете задать для принтера. Это окно немного сбивает с толку, т.к. из него вытекает, что доступны лишь только эти права. Но если вы серьезно озабочены безопасностью принтера, то в должны забыть все об этом окне, а вместо этого нажать на кнопку Advanced (Дополнительно).

После этого Windows отобразить окно свойств Advanced Security Settings (дополнительные настройки безопасности). На этом окне содержатся своя закладка Permissions (Права), которая позволяет вам задать права для всех пользователей и групп, аналогично тому, что вы видели на рисунке C. Различие заключается в том, что в этом окне у вас появляется доступ к гораздо большему количеству прав, чем на закладке Security, что показано на рисунке D.

Закладка безопасность

Рисунок D Окно свойств Advanced Security Settings (дополнительные настройки безопасности) позволяет вам присваивать больше прав, чем основная закладка Security на странице свойств принтера

На первых порах, доступ к дополнительным правам в ситуации, когда мы пытаемся ограничить доступ к принтеру, вероятно, может звучать, как плохая возможность. Но помните, что у нас на вооружении есть, как разрешающие права, так и запрещающие. Например, предположим, что пользователь является членом двух различных групп. Права двух этих групп должны быть объединены, чтобы пользователю были назначены эффективные права. Обычно в такой ситуации применяются все ограничивающие права. Исключение заключается в том, что если пользователю был присвоен особый запрет, то этот запрет будет иметь приоритет над всем другими правами. Вы можете использовать эту концепцию для получения более четкого контроля над разрешениями на принтер. Перед тем, как я покажу вам, как это сделать, давайте кратко рассмотрим, для чего нужны различные права.

Print – Если пользователю было назначено право print (печать), то пользователю разрешено печатать на принтере.

Manage Printers – Право Manage Printers (управление принтерами) предоставляет пользователю право изменять свойства принтера и изменять права, назначенные другим пользователям.

Manage Documents – Право Manage Documents (управление документами) предоставляет пользователю право выполнять остановку, запуск и удаление заданий, посланных на печать.

Read Permissions – Если пользователю было присвоено право read (чтение), то пользователь имеет право посмотреть права, которые были назначены каждому пользователю.

Change Permissions – Как следует из названия, права Change Permissions (изменение прав) позволяют пользователю изменять права, предоставленные на принтер другим пользователям.

Take Ownership – Право Take Ownership (принять в собственность) позволяет пользователю принять принтер в собственность.

Ранее, я упоминал, что вы можете совместно использовать различные права на разрешение и запрет, чтобы получить более четки контроль на доступ к принтеру. Например, право Manage Printers (управление принтерами) позволяет пользователю изменять свойства принтера и изменять права на него. Предположим, что вы не хотите, чтобы человек, управляющий принтером, мог изменять права на принтер. Вы можете предоставить этому пользователю право Manage Printers, но также установить запрет с помощью права Changed Permissions. Таким образом, вы разрешите пользователю управлять принтером, но запретите ему изменять на него права.

Заключение

Как вы могли увидеть, существует много настроек, которые мы можете использовать для того, чтобы обезопасить принтер в вашей компании. В третьей части этой статьи я продолжу наше обсуждение и покажу вам, как настроить аудит для использования принтера.

www.windowsnetworking.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]