互联网打印安全与IIS6.0监控全解析

# 互联网打印安全与 IIS 6.0 监控全解析 ## 1. 互联网打印安全保障 互联网打印作为一种网络资源，其安全保障应遵循与保护网络资源内容相同的原则。互联网打印在 IIS 服务器上以 Web 应用程序的形式运行，可借助以下内置安全功能来保护： - **身份验证**：在用户发送打印任务和管理互联网打印机之前，对其进行身份验证。 - **连接控制**：基于客户端的 IP 地址或域名，允许或拒绝客户端访问。默认情况下，所有 IP 地址都可访问互联网打印。 ### 1.1 身份验证方法 以下是可用于保障互联网打印安全的身份验证方法： | 方法 | 描述 | | ---- | ---- | | 匿名 | 访问服务器无需用户名或密码。默认匿名用户使用 IUSR_<COMPUTERNAME> 账户。 | | 集成 Windows | 需要有效的 Windows 用户账户进行身份验证，用户凭据以加密模式发送。 | | 摘要 | 需要有效的 Active Directory 用户账户进行身份验证，用户凭据以加密模式发送。 | | 基本 | 需要有效的 Windows 用户账户进行身份验证，用户凭据以纯文本模式发送。 | | Microsoft .NET Passport | 需要有效的 .NET 护照用户账户进行身份验证，用户凭据以加密模式发送。 | 默认情况下，互联网打印仅配置了集成 Windows 身份验证，确保不允许匿名访问。若要配置其他身份验证模式，可按以下步骤操作： 1. 在 IIS 管理器中，展开本地计算机，再展开“网站”文件夹，然后展开所需的网站。 2. 右键单击“打印机”虚拟目录，然后点击“属性”。 3. 在“目录安全性”选项卡上，点击“编辑”。 4. 在“身份验证方法”对话框中，启用所需的身份验证方法。不建议选择“启用匿名访问”，因为这将允许匿名用户在无需任何身份验证过程的情况下连接到打印服务器。 5. 点击“确定”。 ### 1.2 连接控制与其他安全措施 为进一步保护打印服务器，可使用连接控制，基于客户端的 IP 地址或域名来阻止或授予访问权限。例如，公司销售经理每晚 9 点左右通过固定 IP 宽带连接访问打印服务器打印销售报告，可先配置身份验证，要求销售经理提供用户名和密码，再配置 IP 地址限制，仅允许销售经理使用的宽带 IP 地址访问。 此外，还可应用 SSL 等内置安全功能，保障客户端与打印服务器之间的连接安全。同时，可在 Windows 控制面板的“打印机和传真”文件夹中，基于用户或用户组配置打印机访问权限，限制访问权限。若不想让打印机显示在互联网打印页面上，可停止共享该打印机。 ### 1.3 互联网打印访问监控 监控 Web 访问日志文件有助于跟踪打印服务器的访问详情。默认情况下，/printers 虚拟目录的日志记录功能已启用。通过分析日志条目，可了解互联网打印机的访问情况，包括访问时间、用户信息和使用的 Web 浏览器等。访问日志文件还能为解决连接问题提供线索，同时可检测是否有未经授权的用户试图访问互联网打印机。 IIS 6.0 支持以下日志记录格式： - **W3C 扩展**：可自定义格式，允许配置 IIS 写入日志条目时收集的信息类型，遵循 W3C 工作草案规范。 - **NCSA 通用**：旧的日志文件规范，记录的详细信息固定且不可自定义，包括远程主机名、日期、时间、请求类型、HTTP 状态和服务器发送的字节数。 - **IIS 日志**：固定格式，记录的信息比 NCSA 通用格式更多，包括处理请求所需的时间、服务器接收的字节数和 Win32 状态。 - **ODCB 日志记录**：可将一组固定数据记录到数据库源中。 IIS 6.0 还引入了一些新的日志文件功能，如 UTF - 8 日志记录、远程日志记录、集中式二进制日志记录、HTTP 错误日志记录和协议子状态等。 ### 1.4 互联网打印安全要点总结 为确保互联网打印的安全，需完成以下配置： - 配置互联网打印用户身份验证。 - 配置互联网打印机的用户访问权限。 - 配置互联网打印服务器与客户端计算机之间的 SSL 连接。 - 配置 IP 地址和域名限制。