Thursday, November 23rd, 2017

Обеспечение безопасности при использовании принтера в Windows Server 2003 (Часть 3)

Published on Февраль 18, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В первой части этой статьи я рассказал о том, что самый эффективный способ управления сетевым принтером заключается в создании очереди печати (print queue) на одном из ваших серверов, а также обязательное прохождение всех заданий на печать через эту очередь. Во второй части этой статьи я рассказал вам о некоторых техниках, используемых для обеспечения безопасности очереди печати (print queue), которую вы создали в первой части. В этой статье я закончу эту серию статей и расскажу вам о том, как настроить аудит за использованием принтера (и разрешение на использование) для сетевого принтера (network printer).

Для чего нужен аудит сетевых принтеров?

Существует несколько причин, по которым вы может понадобиться аудит сетевого принтера. Как я объяснял ранее в этой статье, очень важно проводить аудит принтеров, которые используются для печати чеков. Вы должны знать, кто печатал чеки, и есть ли у него полномочия на такую работу.

Менее экстремальный пример аудита может касаться использования расходных материалов, таких как чернила и бумага. Мне доводилось бывать в таких компаниях, в которых отслеживается использование бумаги, и отдельные подразделения должны платить за расходные материалы, которые они используют. Я также видел несколько случаев, когда проводился аудит дорогостоящих фото принтеров, т.к. расходные материалы для них очень дорогие.

Аудит сетевого принтера (Network Printer)

Теперь, когда я немного рассказал о том, для чего необходим аудит сетевых принтеров, давайте перейдем к самому процессу аудита. Если вы когда-нибудь смотрели в журнал безопасности вашего сервера, то вы, вероятно, понимаете, что по умолчанию аудит вашего принтера выключен. Чтобы подключить аудит принтера, выберите команду Printers and Faxes (принтеры и факсы) и меню Start (пуск) вашего сервера. После этого вы увидите уже знакомое окно Printers and Faxes (принтеры и факсы). Щелкните правой кнопкой мыши на принтере, для которого вы хотите включить аудит, и выберите команду Properties (свойства) из выпадающего контекстного меню. После этого откроется окно свойств принтера, с которым вы работали в предыдущей статье из этого цикла.

После этого перейдите к закладке Security (безопасность), а затем нажмите на кнопку Advanced (дополнительно). После этого появится окно Advanced Security Settings (дополнительные настройки безопасности). Перейдите на закладку Auditing (аудит). Вы увидите, что она абсолютно пуста, как показано на рисунке A.

Xtv kexit посмотреть аудит Windows 2008

Рисунок А: По умолчанию аудит принтера отключен

Аудит принтера основывается не на самом принтере, а на пользователях и группах, у которых есть права на использование принтера. Это значит, что вы не можете просто сказать операционной системе Windows создавать запись в журнале аудита (audit log) каждый раз, когда кто-то посылает задание на печать (по крайней мере, не напрямую). Вместо этого, для операционной системы Windows необходимо указать имена пользователей или групп, для которых вы хотите установить аудит. Если вашей целью является установление аудита за всем пользователями принтера, то вы всегда можете задать для аудита группу Everyone (Все).

Помня обо всем об этом, нажмите на кнопку Add (добавить), и перед вами появится окно, на котором вы должны указать названия пользователей и групп, для которых вы хотите настроить аудит, как показано на рисунке B. После задания имен пользователей или групп я настоятельно рекомендую нажать на кнопку Check Names (проверить имена). С помощью этого вы сможете выявить ошибки в написании названий пользователей или групп. К тому же, аудит несуществующих пользователей не слишком нужен.

Аудит принтеру

Рисунок B: Для включения аудита необходимо указать имена пользователей и групп

Нажмите на кнопку OK и перед вами появится диалоговое окно Auditing Entry (Запись аудита), которое изображено на рисунке C. Как вы можете увидеть из рисунка, это диалоговое окно позволяет вам настроить аудит различных событий, связанных с принтером (как успешных, так и неуспешных). Для включения аудита все, что вам нужно, это выбрать события, для которых вы хотите проводить аудит, и нажать на кнопку OK. Перед тем, как вы это сделаете, очень важно понять, что значить каждое из событий.

Настроить аудит на принтер

Рисунок C: Диалоговое окно Auditing Entry позволяет вам настроить события, для которых вы хотите настроить аудит

В разделе ниже я привел описание того, что в действительности означает каждое из событий, для которых вы можете подключить аудит. Также очень важно помнить, что мое описание подразумевает, что вы проводите аудит успешного завершения соответствующего события. Аудит неуспешного завершения этих действий просто означает, что кто-то пытался выполнить эти действия, но у него не хватило на это полномочий. Например, если настроить аудит за успешным выполнением команды Print, то в журнале безопасности (security log) будет создаваться запись каждый раз, когда кто-нибудь напечатает на принтере. А если настроить аудит за неуспешным выполнением той же самой команды, то в журнал событий будет добавляться запись каждый раз, когда кто-то отправил задание на печать, но не смог напечатать из-за нехватки прав. Помня об этом, вы можете посмотреть различные события для аудита и их описание ниже:

  • Print – пользователь, для которого настроен аудит, послал задачу на печать.
  • Manage Printers – пользователь изменил либо свойства принтера, либо права на него.
  • Manage Documents – пользователь приостановил, возобновил, удалил или заново запустил задачу на печать.
  • Read Permissions – пользователь смотрел разрешения на принтер.
  • Change Permissions – пользователь изменил настройки безопасности принтера.
  • Take Ownership – пользователя взял пользователь в собственность.

Зачем необходим аудит?

Увидев все доступные для вас настройки аудиты, вы можете удивиться, а аудит чего в действительности необходимо проводить. На самом деле это зависит от назначения принтера, и насколько для него необходима безопасность. Если принтер используется для печати чеков, то я бы порекомендовал вам осуществлять как аудит успешно проведенных операций, так и неуспешных. Но с другой стороны, если принтер является принтером общего назначения и широко используется, то вы можете не осуществлять аудит успешного завершения события Print (печать). Если вы это сделаете, что ваш журнал событий очень быстро вырастит до огромных размеров, и будет создаваться новый журнал событий, каждый раз, когда кто-нибудь пошлет задание на принтер.

Я склоняюсь к мысли, что для большинства принтеров в организации среднего размера, скорее всего, нет необходимости осуществлять аудит. Однако, если принтер используется для финансовых целей (например, печать чеков), или потребляет дорогостоящие расходные материалы, то стоит задуматься о настройке аудита для такого принтера. В таких ситуациях я рекомендую проводить аудит, как успешных, так и неуспешных событий, связанных с событиями Manage Printers (управление принтерами) и Change Permissions (изменение прав). Я бы также рекомендовал настроить аудит неуспешного завершения события Print.

Заключение

В этом цикле статей я рассказал о том, как легко присматривать за принтерами, при разработке плана сетевой безопасности, т.к. принтеры стали настолько повсеместно распространены, что трудно увидеть в них угрозу безопасности. Но, даже не смотря на это, бывают ситуации, когда результатом игнорирования ваших принтеров могут быть дополнительные финансовые затраты для вашей компании. А раз так, то я рекомендую, чтобы для любого важного принтера была настроена централизованная очередь печати, размещающаяся на сервере Windows server. После этого вы легко можете усилить безопасность принтера и проводит аудит его использования.

www.windowsnetworking.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]