Windows保护打印模式 – Windows中的安全打印

教程

本文探讨 Windows 10 和 Windows 11 中的 Windows 保护打印模式 (PPM)。这是一项在 Windows 中保护敏感打印作业的安全功能。

Windows 保护打印模式通过仅允许使用经 Mopria 认证的打印机和阻止使用第三方打印驱动程序,在 Windows 打印系统中增加了对 Internet 打印协议 (IPP) 的支持。许多经 Mopria 认证的打印机默认加载制造商驱动程序。这些限制使 Microsoft 能够提供其他方式无法提供的安全性。

Windows 受保护打印模式简介

Windows保护打印模式是一种安全功能,确保机密和保护性打印任务在网络环境中安全打印。在数据泄露和未授权访问的时代,保护打印模式提供了一种强有力的解决方案,用以保护敏感文档免受潜在威胁。该模式采用多种高级安全措施,包括数据加密、用户身份验证和安全的任务存储,以防止打印过程中的未授权访问和篡改。

我为什么应该启用Windows保护打印模式?

有很多理由使您在您的环境中启用并使用Windows保护打印模式(PPM)。让我解释最常见的原因。

  1. 增强安全性 - 使用PPM,所有打印任务都会被加密并在网络上安全传输,降低遭受攻击威胁和截获的风险。敏感文档在整个打印过程中都受到保护。
  2. 遵守规定 - 在受到严格规定的行业(医疗、政府、金融等)中,PPM有助于满足数据保护和隐私要求。
  3. 用户身份验证 - PPM要求在打印之前进行用户身份验证,确保只有授权用户才能访问和取货打印的文档。
  4. 审计与问责 – PPM允许增强跟踪和审计打印作业,提高了您监控和问责所有打印活动的能力。这是在维护企业安全另一个领域时采取的主动而非被动的方法。

主要特点和功能

IT专业人士已经等待Windows PPM很长时间了。这里的关键特性非常深刻,尤其是从技术和安全基础设施的角度来看。它也是微软“放弃传统和兼容性”并实质性向前迈进的绝佳例证。

让我在这里描述Windows PPM的主要特点。

  • 不再需要打印驱动程序 – PPM使用Windows现代打印堆栈,消除了对第三方驱动程序的需求。是的,您没看错。这极大地简化了打印机的管理,并确保了所有连接用户拥有一致的可靠打印体验。
  • 安全的作业存储 – 打印作业会安全地存储在打印机上,直到授权用户亲自取货。
  • 数据加密 – 打印作业在传输过程中被加密,并在整个过程中保持安全。
  • 用户认证 – 如上所述,只有授权和经过验证的用户才能创建并发送打印作业。
  • 与Mopria认证打印机兼容– PPM仅与Mopria认证的打印机配合使用。这意味着,安装了一个单一的通用打印驱动程序。就这样,不需要也不支持其他驱动程序。打印管理IT专业人士几十年来一直梦寐以求的就是这个……
    • Mopria认证的打印机是指符合Mopria联盟设定的标准的打印机,Mopria联盟是一个开发和推广移动打印标准的组织。
  • 增强的安全性 – 通过禁止第三方打印驱动程序,PPM减轻了许多与旧打印方法相关联的安全漏洞,更不用说管理和故障排除打印驱动程序对用户计算机造成的影响了。
  • 简化的打印体验 – Windows保护打印模式提供了简化和一致的打印体验,无论您的计算机架构如何。这对于打印时终端用户的体验来说是一个福音。‘打印并忘记…’。
  • 打印队列 – 基本的打印队列任务现在在USER安全上下文中运行,而不是SYSTEM。因为打印驱动程序不再在SYSTEM上下文中运行,Windows打印队列服务的安全性得到了增强。

如何启用Windows保护打印模式

有两种主要方法可以启用Windows保护打印模式。您可以使用Windows的设置应用程序和组策略来无缝地将该功能推广到您的部分或全部环境。我将在这里展示这两种方法。

设置应用程序

在Windows 11上,点击开始按钮,然后点击设置应用程序。在左侧点击‘蓝牙 & 设备’,然后点击打印机 & 扫描仪

Accessing Printers & scanners in the Settings app to enable Windows Protected Print Mode (Image Credit: Michael Reinders/Petri.com)

在‘打印机偏好设置’部分下,您会找到‘Windows保护打印模式’。点击右侧的‘设置’按钮。

Warning before enabling Windows protected print mode (PPM) – (Image Credit: Michael Reinders/Petri.com)

系统会提示您确认启用Windows保护打印模式。您需要确保所有打算使用的打印机都兼容Windows PPM。您可以访问Movea网站来搜索您的打印机型号。

组策略

如果您不想访问每个用户的计算机,也可以使用组策略。哈。我将解释如何使用本地组策略编辑器来找到特定的策略。然后您可以在主远程工作站上使用组策略管理控制台来配置组策略对象,并将其分配到您环境中的适当域和OU。

打开组策略编辑器,通过点击开始按钮,输入‘gpedit.msc’,然后按回车。

Group Policy Editor in Windows (Image Credit: Michael Reinders/Petri.com)

浏览到计算机配置 -> 管理模板 -> 打印机

Locating the Windows PMM policy in GPEDIT (Image Credit: Michael Reinders/Petri.com)

找到名为‘配置Windows受保护打印’的策略,并双击它。

点击已启用选项,然后按确定

Enabling the Windows PMM policy with Help description (Image Credit: Michael Reinders/Petri.com)

在过渡到Windows受保护打印模式时可能会遇到哪些挑战?

尽管Windows PMM带来了许多我之前描述的优点,但在您的环境中迁移到这种模式时,很可能会遇到大量的问题和挑战。让我在这里列出最热门的项目。

  • 兼容性 – 这可能是您遇到的最普遍的问题。在设备上启用Windows PMM后,所有未经Mopria认证的打印驱动程序将被禁用/删除。您将无法再将打印作业发送到不兼容此模式的打印机。这包括软件打印驱动程序,包括桌面版和‘Windows 10版OneNote’应用的OneNote打印驱动程序。
  • 驱动程序移除 – 计算机上的现有打印队列和驱动程序将被永久删除。如果您禁用Windows PPM,将无法恢复它们。您需要重新下载打印驱动程序并从头开始安装打印机。
  • control over print servers.
    初始设置/培训 – 识别所有兼容打印机、设置组策略等初始配置和尽职调查是耗时的,并且需要计划好。培训用户使用新的打印过程,虽然简单,但仍然需要考虑在内。
  • 潜在的停机/成本 – 在您进行过渡期间,由于您在环境中实施新的打印机和打印队列,您的用户可能会有一些停机时间。此外,购买新的Mopria认证打印机无疑会花费您一些资本支出。

高级安全是Windows保护打印模式的核心

Windows PPM的高级安全措施与Windows的打印管理工具无缝集成,提供了用户友好的界面来配置和管理安全设置。这种紧密无缝的集成简化了在整个组织中实施和维护安全打印实践的过程。

Windows打印安全周围存在许多安全问题。以下是两个值得提及的:

  • 打印噩梦:2020年发现了一个严重漏洞,攻击者可以通过利用Windows打印队列服务执行具有系统特权的任意代码。黑客能够安装恶意的打印驱动程序并完全控制打印服务器。
  • 震网病毒:虽然这并不是直接与打印相关的问题,但在2010年,震网病毒是网络攻击的一个著名例子,它利用了几个漏洞,包括Windows打印队列服务的漏洞。震网病毒非常复杂,旨在针对伊朗核设施,并导致核离心机遭受重大损害,包括IT成本。

通过将高级安全放在首位,Windows保护打印模式确保打印作业得到最大程度的谨慎和保护处理,这对于任何重视数据安全的组织来说都是一个关键特性。

Windows PPM的应用场景和好处

让我通过强调Windows保护打印模式最常见的用例来结束这篇文章。

  1. 医疗机构——Windows PPM提供了易于理解的合规要求,包括HIPAA和其他患者记录保密性要求。
  2. 企业环境——确保敏感文件如合同、财务报表和人力资源薪资文件能够安全打印。用户身份验证强制只有授权员工才能访问和取货打印作业。
  3. 教育机构——通过保护学生记录和考试打印件,遵守学生隐私。通过受控访问,只有指定的员工可以打印包括行政记录在内的敏感文件。
  4. 律师事务所 —— 客户保密在这个领域显然至关重要,通过要求用户验证身份来打印所有文档来保护。要求用户在打印设备本身进行验证(PIN码)确保了只有授权用户才能领取他们的打印件。

Source:
https://petri.com/windows-protected-print-mode/