标签: network-printer

我不确定是否应该在此处或在security.stackexchange.com上询问此问题...

在复活节长周末，我们的一个小办公室发生了网络故障，使用一台旧的 HP 打印机打印了一些非常令人反感的反犹太文件。这似乎已经发生了一些西方文化在世界各地的大学。

无论如何......我读到它实际上是大多数联网打印机的一个非常基本的安全漏洞。与 TCP 端口 9100 和 Internet 访问有关。我没能找到很多关于如何的细节的信息，因为每个人似乎都太关心为什么了。

对于受影响的办公室来说，网络设置非常简单。它有 4 台个人电脑、2 台联网打印机、一个 8 端口交换机和一个运行 ADSL2+ 连接的住宅调制解调器/路由器（具有静态互联网 IP 和非常简单的配置）。
是调制解调器/路由器或打印机的弱点吗？

我从未真正将打印机视为需要配置的安全风险，因此为了保护该办公室的网络，我想了解打印机是如何被利用的。如何停止或阻止漏洞利用？并在我们其他更大的办公室中检查或测试漏洞（或正确的漏洞块）？

HP 4050N LaserJet 打印机的 RAM 升级是否重要？我们拥有这台真正的激光打印机主力。它是 HP 4050N，已使用多年。在过去的几年中，我注意到开始打印之前的处理时间可能需要很长时间。在某些情况下，某些打印队列的处理时间太长，我们最终会杀死它们并将其发送到网络上的其他打印机。

这台 HP 4050N 打印机共有 16 MB 的 RAM。我相信它内置了 8 MB，我怀疑它在主板上。RAM 有三个插槽。一个插槽有一个 8 MB 的 RAM 棒。我查看了用户指南，显然这个型号最多可以达到 200 MB 的 RAM。

我已经看到这款打印机的 RAM 以 64 MB 或 128 MB 的价格出售，非常便宜。

我的问题是，通过将总内存提高到 80 MB 或 144 MB 来升级这台打印机的 RAM 是否会显着改善处理时间，以便在打印包含现代图形的输出时值得做？或者 RAM 甚至是问题，而打印机 CPU 的处理速度才是真正的瓶颈？

更新：我以 10.00 美元（128 MB）订购的 RAM 到货并安装了它。因此，HP4050N 从总共 16 MB 的 RAM 变为 144 MB。我打印了之前一直处于“处理”状态并且从未出现过的测试打印，但是在这次升级之后，它正常打印了。这符合我们的需求。对于您的情况，正如他们所说，您的里程可能会有所不同。

我正在寻找一种在 Server 2012 和 Server 2012 R2 上禁用 WSD 的方法。基本上，我们的许多打印服务器上的许多打印机已经决定使用这种该死的服务比使用分配给它们的 TCP/IP 端口更好，并且它们正在将自己更改为 WSD 端口，这导致用户无法打印到这些打印机。

在 Windows 2008 R2 服务器上，我可以通过停止和禁用 PnP-X IP 总线枚举器服务来防止这种行为，但是，该服务似乎不存在于 Server 2012 中。

我遇到的阻止这种行为的唯一建议都是次优的。

1. 关闭网络发现（WDS 依靠它来运行）
2. 在防火墙上阻止 WDS
3. 禁用打印机上的 WDS 功能。

我想要一种在打印服务器上禁用此服务（并且仅此服务）的方法，因为任何其他选项都涉及比我想要的更多的工作 (2, 3) 或有不良副作用 (1 ）。有谁知道这样做的方法吗？

我需要创建一个包含打印机的 Active Directory 实验室并测试各种与打印机相关的功能（在 AD 中添加打印机、连接到打印机的客户端、打印机等）

有没有一种在网络上正确模拟打印机的好方法？或者是否需要在某个地方最终连接真正的物理打印机，即使没有输出。

你会如何解决这个问题？

我们有 3 台网络打印机来管理大约 50 个用户。

到目前为止，我们一直使用带有打印服务的 Windows 2003 服务器域控制器作为我们的打印服务器，但我们正在将许多服务迁移到云中（电子邮件、文件存储、数据库、DNS、Web）。

作为迁移的一部分，我们可能会消除用于用户身份验证的 Active Directory，所以我想知道当可以在每台计算机上安装网络打印机驱动程序时，是否有任何理由将 Windows 域控制器保留为打印服务器，或者我们可以使用Google Cloud Print等打印服务

作为更普遍的问题：为什么人们使用打印服务器而不是网络打印驱动程序？

由于我无法控制的原因，我的任务是设置 GPO/GPP 以将我们的 100 多台打印机部署到我们的 1000 多个客户。

好消息是我们有十多个站点，而且在大多数情况下，我可以将站点 X 的所有打印机推送到站点 X 的所有客户端 PC。

坏消息是，我知道的两种方法（“使用组策略部署...”，来自打印服务器”和使用 GPP/组策略首选项）涉及的手动工作比我愿意的要多得多这么多打印机。我什至似乎无法选择打印服务器上的所有打印机并使用该Deploy with Group Policy...选项，例如-它希望我逐一执行此操作，这不会发生。GPP 甚至更糟，因为它希望我从打印服务器中选择打印机的路径，然后手动输入它应该能够从打印机连接中获取的一堆信息（例如打印机 IP）。

我的用于将打印服务器上的所有打印机添加到 GPO/GPP 的脚本的 Google-Fu 是空的，我似乎看不到以半自动方式执行此操作的另一种方法，但我坚持相信我遗漏了一些东西，因为任何理智的人都不会选择手动将数百台打印机添加到 GPO 中。

理想情况下，我想找到一种使用 GPP 的编程方式，但在这种情况下，任何不涉及数十小时手动添加打印机的解决方案都会很棒。

有没有人有办法做到这一点，或者我是否需要构建一个 PowerShell 脚本和/或诱使下属这样做？

• 工作站：Windows 7 (x64) [安装打印机目标]
• 服务器：Windows Server 2012 R2 (x64) [Active Directory、打印服务器]

我一直在试图通过组策略安装这台打印机！出于某种原因，我根本无法使用 GPO 部署这台打印机。我尝试将其设置为通过Computer Configuration->Policies->Windows Settings->Deployed Printers、以及Computer Configuration->Preferences->Control Panel Settings->Printers和进行部署User Configuration->Preferences->Control Panel Settings->Printers。我还尝试通过我的打印服务器管理控制台通过用户和/或计算机定位来添加它。我已经尝试了各种方法，但没有任何效果。我遵循了一堆教程并观看了一堆视频，以确保我没有遗漏任何东西，但这确实是一项简单的任务（理论上）......它只是行不通。

在尝试调试问题时，我发现如果我去\\myserver\并双击打印机，它会尝试安装打印机，然后提示我安装带有 UAC 类型提示的驱动程序。

我已经尝试了所有我能想到的方法来让该消息框停止弹出。我深入研究并发现，如果我要编辑一个名为Point and Print Restrictionsat的 GPO Computer Configuration->Policies->Administrative Templates->Printers，User Configuration->Policies->Administrative Templates->Control Panel->Printers您可以尝试将策略设置为Disabled或Enabled并选择Do not show warning or elevation prompt策略设置底部列出的两个安全提示。

嗯，这也是一个半身像...

我确实发现，如果我尝试通过转到 unc 并输入我的管理员凭据来手动安装打印机，它将从服务器下载驱动程序并安装打印机（如预期）。如果用户尝试删除打印机并以某种方式成功，只要他们注销并重新登录 GPO 就会执行我想要的操作并重新添加打印机。但是它要求我第一次在每台 PC 上手动添加它。

对此进行测试，然后从 GPO 中删除打印机，然后注销并再次登录。我可以运行命令printui /s /t2来调出一个 GUI，它允许我轻松删除已安装的驱动程序，使 PC 恢复到原始状态（要求提供管理员凭据）。我还了解到，打印机存储在位于 …

我正在尝试使用组策略首选项来管理用户与共享打印机的连接。

打印服务器是 Windows Server 2003 R2 Std 版。安装了几台打印机，我还向打印服务器添加了所有驱动程序的 x64 版本。

我创建了一个包含打印机首选项设置的新 GPO。打印机映射基于 AD 安全组成员身份。

我登录到安装了组策略 CSE 的 Windows XP PC，并且打印机映射完美。

我登录到 Windows 7 x64 PC，但它没有映射。如果我手动连接到共享打印机，我会收到一个提示，要求我在安装驱动程序之前确认我是否信任服务器，然后它就完美运行了。

我有域管理员权限并且我的 UAC 设置没有从默认值更改，即启用了 UAC 并选择了默认级别。

打印机映射失败是因为它无法提示我安装驱动程序，还是有其他问题？

语境：

我们有一个 AD/GPO 管理的公司网络，其中有一百多台运行 Windows 7 x64 的 PC 和几台托管打印机。我们的 Server2008R2 主域控制器被配置为他们所有人的打印服务器。

问题：

在 DC 上最近一次 Windows 更新和重新启动（不包括打印机驱动程序更新）后，特定的共享打印机 (Lexmark T650) 开始表现出一些奇怪的行为。首先，它在大约一半的客户端机器提交的作业上为几乎每个文档打印一个前后空白页（服务器或我见过的任何客户端上都没有配置分隔页）。其次，每当有人尝试访问任何客户端上的“打印首选项”时，他们都会收到以下错误消息（这种情况发生在任何地方，100% 的时间，并且在 DC 更新之前没有发生）：

一旦他们单击“确定”，就会出现首选项屏幕（没有选择分隔页），一切看起来都很好。我什至不确定这两个问题是否相关，但每个人似乎都受到其中一个或两个问题的影响。

我试过的：

我一直在犹豫要不要取消部署有问题的打印机，或者通过 GPO 将其删除，因为它被大量使用。我已经尝试更新（通过 MS 更新和我们的内部 WSUS 服务器）客户端机器和 DC。没有出现打印机驱动程序更新，服务器或客户端上的更新或重新启动似乎没有取得任何成就，除了我的老板变得脾气暴躁，因为我经常弹跳域控制器。我已经尝试删除服务器上的驱动程序，并从过去一年一直有效的原始源重新安装它们......没有变化。我尝试为客户端计算机上的一台共享打印机选择“新驱动程序”，以域管理员身份运行，并将 MSupdate 找到的最新驱动程序推送回 DC。这更改了打印服务器管理器中记录的驱动程序版本号，但没有引起任何变化——在我推送的客户端或任何其他客户端上。错误仍然出现。

题：

为什么会发生这种情况？显然，我从某个地方得到了一个坏司机，但我该如何摆脱它呢？我不知道集中管理的打印驱动程序有任何“回滚驱动程序”功能，比如 Windows 为其他设备提供的。我将如何 a) 在客户端上解决此问题，以及 b) 将修复推送给域的其他成员？

我突然想到工作站可以通过以下两种方式之一连接到打印机：

1. 使用本地安装的打印驱动程序直接打印到打印机的 IP。
2. \\Server\Printer1使用驻留在服务器上的打印队列打印到共享。

哪种方式是首选？

我认为从网络流量的角度来看，直接打印到网络打印机而不是通过服务器是最有效的。另一方面，服务器打印机共享会更容易管理，正确的驱动程序会自动下载到工作站。

另外，如何使用组策略首选项在工作站上安装这台打印机？这需要任何特定的方式吗？