打印机网络接入的安全加固 5 条建议

一台”沉默的打印机”引发的勒索噩梦

2019年深秋，望京某科技公司的IT负责人老周接到销售团队的紧急电话——所有打印机同时”罢了工”，屏幕上赫然显示一串加密提示，要求支付0.5个比特币才给解密密钥。更诡异的是，公司的文件服务器在同一天夜里也出现了异常访问日志。老周排查了整整两天，才发现攻击入口居然是一台连着网线的网络打印机——它从未被纳入任何安全策略，默认密码admin/123456用了三年，直到那天成为攻击者的跳板。这不是孤例。2022年北京某制造业客户也遭遇了类似场景，打印机被植入挖矿程序，CPU占用率常年跑满，打印速度慢得像蜗牛，运维人员排查了三个月才定位到这台”沉默的终端”。打印机，这个办公室角落里最不起眼的设备，正在成为企业内网最脆弱的突破口。

第一道防线：从修改默认密码开始

市面上常见的HP LaserJet、Ricoh MP、Canon imageRUNNER、Xerox WorkCentre等商用机型，出厂默认管理密码通常是admin、123456、空白或与型号相关的简单组合。企业采购后直接上线使用，密码这事儿一拖就是三五年。我见过最夸张的一家客户，20多台打印机全用一个admin账号，密码写在打印机底部的便签纸上——攻击者只要走进办公区拍张照就能拿到权限。

拿到打印机Web管理界面后，攻击者能做的事远比”偷偷打几张纸”严重得多：修改DNS指向钓鱼服务器、在打印任务中嵌入恶意宏代码、通过IPP协议抓取打印任务明文数据，甚至利用LDAP配置劫持获取域账户哈希值——这就是著名的”打印机攻击横向移动”手法。拿到域哈希之后，配合NTLM中继攻击，攻击者可以模拟域控权限，乱杀一片。

安全加固的第一步简单粗暴：购买或部署新设备后，第一时间修改所有默认凭证，建立”设备-账号-密码”台账并纳入交接清单。如果你的打印机还挂着默认密码，赶紧去改，改完顺手测一下能不能Telnet/SSH登录。我们的网络设备整包服务里就包含了上架前的基础安全加固流程，覆盖这一环节。

SNMP权限：被忽视的情报通道

打印机的SNMP（简单网络管理协议）是个好东西，方便IT管理员批量查询设备状态、墨粉余量、纸张容量。但问题在于，默认启用的SNMP v1和v2c协议没有任何加密，社区字符串（community string）默认是public/private，明文传输，街边随便一个扫描器扫一扫就能拿到数据。

攻击者通过SNMP能获取的信息包括：IP地址、MAC地址、打印机型号、固件版本、已安装的固件模块、网络配置、打印机共享名，甚至能读取历史打印任务中残留的敏感信息。某安全团队做过测试，仅凭一个默认的SNMP community string，在内网中探测10分钟就能绘制出完整的打印机资产拓扑图——包括每台设备所在的楼层、所属部门、连接的交换机端口。这张图对攻击者来说价值连城，比任何扫描工具都精准。

加固建议：进入打印机管理界面，将SNMP v1/v2c的社区字符串改为至少16位的复杂字符串，或者直接关闭SNMP v1/v2c，只保留SNMP v3并启用认证和加密。如果业务系统依赖SNMP监控，务必确认监控平台也同步更新为v3配置。老周后来把公司所有打印机的SNMP community改成了32位随机字符串，他说那天晚上睡得特别踏实。

1. 登录打印机Web管理界面 → 网络设置 → SNMP配置
2. 禁用SNMP v1/v2c或修改community string为强密码
3. 启用SNMP v3并配置认证（MD5/SHA）+加密（DES/AES）
4. 确认所有监控平台使用SNMP v3凭证
5. 定期审计SNMP访问日志，排查异常查询来源

9100端口：藏在角落的定时炸弹

Port 9100是RAW打印协议（也叫9100打印服务）的默认端口，几乎所有网络打印机都会默认监听这个端口。它的好处是传输效率高、兼容性好，打印数据直接发送到9100端口就能出纸；但坏处同样明显——这个端口没有任何认证机制，只要能访问到就能往里面灌数据。

攻击者可以直接向9100端口发送恶意数据触发已知漏洞，或者直接投递嵌入了恶意宏的Office文档、PDF文件。2021年某安全会议上就演示过，通过9100端口向一台未修复漏洞的HP打印机投递特制文档，成功在打印机嵌入式系统上执行任意代码，进而读取打印机内存中的打印任务数据——包括工资条、合同扫描件、机密备忘录。

加固思路有两种：其一，禁止9100端口对非授权IP暴露，在防火墙或交换机ACL中限定只有打印服务器IP可以访问打印机9100端口；其二，如果业务允许，彻底禁用RAW打印，改用IPP（Internet Printing Protocol，Port 631）或LPD（Line Printer Daemon，Port 515）等更安全的协议替代。我建议的做法是保留IPP用于Web打印，把9100从防火墙规则里踢出去，只允许特定IP段访问。对于确实需要保留9100的场景，建议通过VPN隧道封装后再传输，别让它裸奔在办公网里。

VLAN隔离：把打印机关进”笼子”里

大多数中小企业在规划网络时，交换机端口随手一插，打印机跟员工电脑、服务器混在同一网段里。这种”扁平化”架构方便管理，但也埋下了巨大的横向移动风险。一旦某台打印机被攻破，攻击者立刻就能扫描同一网段的所有设备——SMB共享、RDP服务、数据库端口……全在触手可及的范围之内。

正确的做法是把打印机归入独立的VLAN，与办公终端、业务系统、服务器域彻底隔离。打印流量统一通过一台或几台打印服务器中转，员工电脑只与打印服务器通信，打印服务器再通过专用VLAN与各楼层、各部门的打印机交互。这样即便某台打印机沦陷，攻击者也只能在打印机VLAN里打转，想往办公网或服务器网渗透，隔着三层路由和ACL，没那么容易。

实操层面，给打印机单独规划一个VLAN（比如VLAN 30，打印机网段），核心交换机上配置三层路由，办公网到打印机VLAN走ACL白名单策略，只放行打印服务器的IP。有条件的客户还可以启用802.1X认证，让打印机入网也需要身份验证，彻底杜绝私接设备。我们的 sTrust 零信任安全方案里就有网络准入控制的完整实践，可以从根本上管控设备入网安全。

固件升级：别让漏洞一直在那里等着

2022年5月，SentinelLabs披露了影响数十款HP打印机的严重漏洞（CVE-2022-3942），攻击者只需发送恶意数据包即可远程执行代码，受影响固件版本跨度长达数年。2023年，CISA（美国网络安全和基础设施安全局）更是直接警告，称主流商用打印机中存在可被利用的RCE漏洞，建议企业立即更新固件。厂商的补丁就在那里，但现实是企业里大量打印机跑着三年、五年前的老固件，漏洞从未修复。

固件不更新的原因很现实：打印机不像PC，没有弹窗提醒，升级固件需要手动下载固件包、进入管理界面上传、重启设备，操作一次耽误十几分钟的打印服务，很多运维人员嫌麻烦就搁置了。更麻烦的是，某些老型号打印机的固件升级过程中容易出错变砖，运维人员不敢动。

建议企业建立季度打印机固件巡检机制，登录各品牌官网查询对应型号的最新固件版本和已知漏洞说明（HP有PSRT报告，Xerox有安全公告），及时测试并部署安全补丁。对于已经停止安全支持的型号（厂商不再发布补丁），列入替换计划，新采购设备优先考虑已内置安全启动和自动更新功能的产品。

打印机安全没有银弹，但改变沉默的被动局面并不难。修改默认密码、收紧SNMP权限、把9100端口藏好、给打印机一个独立的VLAN房间、养成更新固件的习惯——这五件事做下来，普通黑客脚本小子大概率会绕道走。真正有决心的APT攻击需要更高成本，而大多数中小企业的资产价值还不至于让攻击者下这么重的注。

如果你看完这篇文章，想起公司某台角落里吃灰的老打印机，心里开始发虚——那就去改一改，真的不难。