Главная Без рубрики, Новое Безопасная печать
  • Безопасная печать

    max_a46cecb9215a88BC-30075Поводом для данной статьи послужил казус, который недавно произошел у меня на фирме. Забирая распечатанный документ, я нашел в лотке принтера расчётку с зарплатой сотрудника нашей фирмы. Меня, как администратора заинтересовал вопрос, как могла попасть эта распечатка на принтер нашего отдела. Выяснилось, что сотрудница бухгалтерии отправила документ на печать, не получив распечатку, она отправила задание печати еще раз и документ вышел на правильном принтере. Я посчитал, что расчёт зарплаты пролежал в принтере около 15 часов и даже не хочу думать о том, сколько человек могли посмотреть его за это время.

    На самом деле, подобные ситуации встречаются в рабочем быту каждый день и я вижу две основные причины для этого: во-первых, часто возникающие ошибки с переадресацией принтера в терминальной сессии и невнимательность сотрудников. Если для решения проблем с маппингом есть различные решения (например, Easy Print, thinprint и т.д.), то с невнимательностью сотрудников бороться гораздо сложнее.

    Не смотря на это, я занялся поиском подходящего решения и обнаружил ряд различного ПО, которое помогает сократить частоту ошибок пользователей до нуля. Принцип работы всех этих решений практически одинаковый: рядом с принтером или внутри него устанавливается считывающий аппарат, на котором пользователи производят авторизацию. Пользователь посылает задание печати на принт-сервер, где оно хранится до тех пор, пока он не захочет распечатать ее. Принтер начинает печатать только после авторизации пользователя смарткартой, пин кодом или другими средствами. Такой концепт печати обеспечивает безопасность и конфиденциальность печати и не позволит пользователям забывать распечатки в лотке принтера.

    После ознакомления с общим функционалом многих решений, я решил провести тесты в рабочем окружении. Я связался с вендорами и их партнерами по вопросу предоставления тестовых аппаратных устройств. Ответы на мою просьбу поступали разные. Некоторые производители не позволяют тестировать в рабочей среде клиента, а только предлагают ознакомиться с функционалом в собственном демонстрационном зале. Другие партнеры предлагают тестирование, но на определенных условиях: если решение будет работать без ошибок, то после этого должна следовать покупка. В принципе, подобное поведение реселлеров понятно. В большинстве случаев аппаратные считыватели зависят от конкретных производителей и даже от определенных моделей принтеров. Установить считыватели могут только обученные специалисты. Соответственно, чтобы оправдать затраты на подобного специалиста на выезде нужно либо продать решение, либо брать деньги за настройку тестового окружения. От третьих вендоров ответ до сих пор не пришел.

    Все же, мне удалось найти решение, которое наряду с привычным способом авторизации с считывателем, предлагает еще один способ авторизации без дополнительного железа. Продукт называет personal printing от разработчика Thinprint. Авторизация осуществляется следующим образом: на принтере закрепляется наклейка штрих кода, а на мобильном телефоне устанавливается бесплатный App. Пользователь фотографирует камерой телефона этот код после чего принтер начинает печать.

    За неимением альтернативных решений, я решил тестировать этот продукт.

     

     

    Установка и настройка ПО

     

    Весь процесс установки и настройки можно разделить на четыре фазы: установка и настройка серверной части, активация принтеров для Personal Printing, настройка способа авторизации для пользователя на сервере, и настройка клиентской части на смартфоне Android.

    Дистрибутив с тестовой версией можно скачать со страницы производителя http://www.thinprint.com/Download/Software/PersonalPrinting.aspx. Установка серверной части на принт-сервере стандартная и не вызывает сложностей. Единственное, при авторизации со смартфоном надо учитывать, что принт-сервер и почтовый сервер должны входить в один домен. После установки серверной части в меню пуска появился Personal Printing Essentials, запуск которого открывает консоль MMC, где и производятся все необходимые установки.

     

    clip_image002

     

    В настройках печати Edit Settings предлагаются три вкладки: Print Job Storage, ADAM Service Account и Authentication, где производятся основные настройки.

    В вкладке ADAM Service Account , в настройках ADAM account следует указать ту учетную запись, под которой происходила установка ПО, в моем случае PPservice.

    LDAP-URL служит для регистрации сервера personal printing и устанавливается автоматически.

     

    clip_image004

     

    Переходим к настройкам Print Job Storage. В этом регистре происходит настройка пути, где будут храниться задания печати пользователей. Теоретически, задания могут сохраняться на любом сервере, который является объектом домена (AD). В директории указывается корневой каталог для сохранения заданий печати Personal Printing. В этой папке автоматически создаются подпапки для заданий печати определенного пользователя. По желанию, эти папки можно зашифровать. В этом же регистре указывается максимальное время для сохранения задания, например, после 8 часов хранения задания стираются. Если время установить на ноль, то задания печати стираться не будут.

     

    clip_image006

     

    Авторизация. В вкладке авторизация активируются все способы авторизации, которые будут использоваться (смарт-карта, пин-код, смартфон и др.) В моем случае мне нужно было активировать Scan barcode using sparthphone.

    Установка авторизации на этом закончена и мы переходим к настройке принтеров. Для тестирования я выделил два принтера Keyocera и HP LaserJet, которые стоят в моей фирме на разных этажах. В уже знакомой консоли Personal Printing выбираем Enable Printers. После этого следует активировать принтеры, в моем случае локальные. Маркированием и подтверждением эти принтеры конвертируются в Personal Printer.

     

    clip_image008

     

    clip_image010

     

    На этом настройка принтеров завершена.

     

     

    Конфигурация пользователя

     

    На скриншоте виден регистр, где находятся пользователи: Active Directory Users and Computers domain Users.

     

    clip_image012

     

    Если нажать на пользователя, то откроется конфигурация в AD, где появится регистр Personal Printing. Там следует активировать Enable Personal Printing и подтвердить способ авторизации для конкретного пользователя. На этом настройка серверной части завершена.

    Переходим к настройке смартфона. Во время настройки серверной части генерируется Email конфигурации. Полученный файл следует открыть на мобильном устройстве, после чего производится конфигурация клиентского ПО. Пользователям ничего настраивать не надо, так как настройка клиента осуществляется автоматически. Если конфигурация прошла успешно, то на смартфоне появится приложение personal printing.

    Как я уже писал, авторизация на принтере происходит с помощью штрихового кода, который можно скачать со страницы производителя, указав ID и обозначение принтера. Полученный штрих-код закрепляется на принтере, после чего можно переходить к тестированию.

     

    clip_image014

     clip_image016

     

     

    Тестирование

    После успешной установки и настройки программной части в интерфейсе диалога печати появился дополнительный принтер Personal Printer. Я отправил задание на Personal Printer и оно сохранилось на сервере. Перед непосредственной печатью я решил испробовать функцию JobViewer , с помощью которой пользователь может посмотреть всю очередь печати и удалить не нужные задания. Все сохраненные задания печати можно увидеть в окне браузера по следующей ссылке: http://personalprintingserver/jobviewer, но сперва необходимо ввести пароль и логин. Таким образом, задания печати защищены от посторонних. Если в окне браузера нажать на корзину, то задание печати удаляется.

     

    clip_image018

     

    clip_image020

     

    Перейдя к принтеру, я отсканировал камерой моего телефона штрих -код и принтер начал печатать. Весь процесс тестирования я повторил на другом принтере, распечатка документа на втором принтере произошла немного быстрее.

     

    Заключение

    В заключение хочу сразу сказать, что из-за сложностей с доставкой демонстрационного оборудования от других вендоров, тесты пришлось ограничить только на продукте Personal Printing. Кроме того, авторизация с помощью смартфона не является оптимальным решением для работы всех сотрудников моей фирмы, так как далеко не у всех есть соответствующие мобильные устройства. Тем не менее, для получения первого впечатления о работе продукта и его функционале, этот способ авторизации был оптимальным.

    Стоит отметить, что данный продукт обладает ограниченным функционалом по сравнению с решениями конкурентов. Например, нет возможности квотировать или вводить различные правила для ограничения печати (например, запрещение цветной печати). Для мониторинга печати требуется дополнительное ПО от того же производителя. В качестве положительных моментов следует упомянуть простоту в установке и настройке (этот процесс занял у меня около 3-х часов с учетом времени на изучение документации), данное ПО легко внедряется в существующую инфраструктуру и его можно использовать с любым принтером. Отдельно хочется остановиться на различных способах авторизации. Кроме испытанной мной авторизации со смартфоном, производитель предлагает множество других способов. Например, с помощью комбинации считывателя и бесконтактных карт (например, mifare), которые на моей фирме используются для учета времени. Если в ближайшее время получу считыватели от других производителей, то обязательно поделюсь результатами новых тестов. На этом не прощаюсь, так как продолжение следует…

     

     

    Андрей Коновалов

Комментарии

  1. как всё сложно в этом мире….

  2. Для корпоративного рынка существуют готовые решения, интегрированные в оборудование. На панели управления принтера необходимо набрать ваш пароль и распечатка ваша.
    Например Minolta Bizhub 222, Canon iR C2020i. ( Это только которые сам протестировал.)

  3. Могласен с KenguruHard – все это в нормальных аппаратах уже встроено. У нас всякие разные коники и мы этим активно пользуемся.
    Но даже с аппаратами никто никогда не защитит от того, что пользователь выберет другой принтер или перенастроит дефолтную печать с настроек печати с паролем на обычную. Без административных мер это все выкинутые на ветер деньги.

  4. Андрей, слово “функционал”, которое Вы используете означает не то, что Вы подразумеваете. Скорее стоит использовать слово “функциональность”.

  5. знаю про решение централизованной печати Safeq – RFID сканер на принтере, специальные настройки в принтере + серверная часть. Знаю работающее решение – пользователь домена прикладывает к сканеру свою карточку доступа и получает всю очередь отправленных на печать документов с учетом, контролем и другими плюшками

  6. Самое простое решение для печати sensitive docs – персональный принтер. 🙂

  7. Рецепт банально прост: кадровая безопасность + персональный принтер и никаких сетевых…Хотя при злом умысле(сам человек или “кто-то”(саппорт или одмин) подсказал) и это не поможет.

  8. т.е. использование пин-кода автор отверг по религиозным соображениям.
    конечно зачем нам использовать функцию которая есть в любом приличном принтере, мы не ищем легких путей.

  9. Уже давно разработана и во многих конторах внедрена прекрасная система Follow Me – на каждом принтере считыватель карт, тех самых по которым люди входят в офис и открывают двери.

    Подошел, приложил – принтер стал печатать ВАШИ документы. И вам БЕЗ РАЗНИЦЫ на какой принтер их отправлять – вы всегда печатаете в эту службу “Follow Me” – а к какому принтеру приложите карту из того и полезут ваши листы.

    Просто и удобно.

  10. Андрей, спасибо за интересный обзор. Сам какое-то время назад искал решение по данной проблеме. У нас на фирме полный зоопарк принтеров, а большинство embedded решений рассчитаны под конкретные модельные ряды определённых производителей. Кроме того заявленные цены мягко говоря не находили понимания у начальства…В отношении цен thinprint приятно удивил, поэтому в ближайшее время планирую снова поднять эту тему перед начальством и начать тестирование.

  11. не проще было бы задать права пользования на принтер?
    вы устанавливаете стороннее решение, которое дублирует необходимый функционал Windows

  12. Дорогой ivs – решение Follow Me подходит или для маленьких или идеальных компаний. По факту после пилота от него отказались. Замечания:
    1. Пользователь должен заранее определяться с производителем принтера, а вовсе не любым. В нашем зооопарке это не всегда возможно.
    2. Если пользователь не зарегистрирован в системе, то печать вообще не возможна. А если их сотни и постоянно приходят,уходят посетители, то процесс печати встаёт.

  13. Интересная статья. Впрочем у нас в РФ большая часть организаций пользуется 1с предприятие, в котором подобные задачи легко решаются с помощью встроенного языка, для удобства можно прикрутить AD