如何防止利用打印机的攻击？

wen 网络安全 2026-06-16 4

本文目录导读：

如何防止利用打印机的攻击？

防止利用打印机进行攻击，需要从设备自身安全、网络安全以及使用管理三个层面入手，打印机（尤其是网络打印机和多功能一体机）常被视为被忽视的“物联网设备”,是攻击进入内网的理想跳板。

以下是具体的防护措施：

加强设备本身的安全配置

更改默认密码：
- 这是最基本也最重要的一步，许多打印机出厂时使用默认用户名（如 admin）和空密码或弱密码（如 password、0000）,攻击者会利用这些信息登录打印机控制面板。
- 措施：立即更改所有管理账户的强密码,并定期更换。
禁用不必要的服务：
- 打印机通常开启大量协议（如 telnet、FTP、SNMP、Bonjour/mDNS、LLMNR、NetBIOS 等），这些协议若未使用,会成为攻击面。
- 措施：在打印机管理界面中，禁用以下服务（除非业务需要）：
  - 远程管理（如 Web 管理界面、Telnet、SSH，如果必须用，仅限 HTTPS）
  - 文件共享（如 SMB、FTP）
  - 丢弃的协议（如 LPD/LPR、IPP 如果不用）
  - 无线直连（Wi-Fi Direct）
  - SNMP（如果必须用，升级到 SNMPv3 并设置复杂团体字符串）
固件更新：
- 打印机厂商会修复已知漏洞（如远程代码执行、缓冲区溢出等）。
- 措施：定期检查并安装打印机厂商发布的最新固件，考虑开启自动更新（如果可用）或通过集中管理工具推送。
限制物理访问：
- 防止有人直接按下重置按钮、插入 USB 启动盘或通过控制面板更改设置。
- 措施：将打印机放置在只有授权人员能接触的区域，如果支持,锁定打印机前面板设置。

网络分段：
- 绝对不要将打印机与核心服务器（如域控、文件服务器）或员工电脑直接放在同一个广播域。
- 措施：将打印机部署在独立的 VLAN（虚拟局域网） 中，通过防火墙规则严格控制访问：只有必要的用户/部门的电脑能直接访问打印服务，禁止打印机主动发起对外连接（如访问互联网、DNS 查询等非打印必要行为）。
启用端口安全与802.1X：
- 防止有人将恶意设备（如伪造的USB打印机）接入网络。
- 措施：在交换机上启用端口安全或 802.1X 认证,确保只有经过认证的打印机才能接入网络。
过滤入站连接：
- 默认情况下，许多打印机允许网络上任何设备发起连接（如通过 JetDirect 端口 9100/515 发送打印任务）。
- 措施：在防火墙或打印机本身上，将允许通信的 IP 地址范围限制为仅该部门/区域的用户子网。

加密打印通信：
- 防止打印任务在传输过程中被嗅探（如打印的敏感文件内容）。
- 措施：使用 IPPS（基于 HTTPS 的打印协议）或 IPSec 加密打印通信，禁用明文协议（如端口 9100、LPR）。
禁用硬盘存储与安全擦除：
- 许多打印机内置硬盘，会缓存打印、扫描、传真过的文档,黑客可通过网络攻击或物理获取硬盘读取历史数据。
- 措施：如果不需要，在 BIOS 或设置中禁用硬盘，如果必须使用，启用“安全擦除”或“覆盖”功能,在每次作业后自动清除残留数据。
安全删除印作业：

启用“安全打印”功能（用户需在打印机面板输入 PIN 码才能释放任务）,防止打印件被他人取走导致信息泄露。

日志审计：
- 开启打印机的审计日志功能，并集中发送到 SIEM（安全信息和事件管理）或日志服务器。
- 措施：监控异常行为，如：大量失败的登录尝试、非工作时间的大批量打印、扫描操作、配置变更等。
定期检查与扫描：
- 将打印机纳入企业资产管理和漏洞扫描范围。
- 措施：定期使用扫描工具检查打印机开放的端口、已知漏洞、弱密码或默认配置。
针对特定攻击的预防（如“打印机洪水”攻击）：
- 速率限制：在交换机或防火墙上限制单个打印机 IP 的高频连接数量。
- 设备防火墙：部分打印机支持内置防火墙,可限制每分钟允许的连接数。

集中打印管理：使用统一的打印管理服务器（如 PaperCut、PrinterLogic），由该服务器统一处理所有打印请求，打印机本身只接受来自该服务器 IP 的通信。
零信任原则：对待打印机如同对待任何其他网络设备一样，不信任其默认配置,始终遵循最小权限原则。
禁用互联网访问：打印机正常情况下完全不需要访问互联网，在防火墙上阻断打印机 VLAN 到 internet 的流量（除了可能需要的固件更新服务器 IP 或厂商管理云，但需严格白名单）。