[Forced Password Change] Multifunctional Printers

Is het niet zinvol om te standaardiseren op 1 of 2 merken printers/MFP's en daar dan ook een beheertool bij te krijgen/nemen? Ik denk dat iets als (Canon) uniFLOW of (Xerox) CentreWare niet gaat werken met andermans printers. Er zijn alternatieve printer management tools die wat minder aan 1 fabrikant hangen, afhankelijk van je budget. Heb je er al een paar bekeken? (Misschien overkill).

Of, geen idee, kan je via SNMP passwords veranderen?

Thycotic Secret Server staat het toe om wachtwoorden te veranderen via custom scripts. Zie ook https://thycotic.force.co...uilt-In-Password-Changers .

Kun je dus niet een of ander (curl?) script bakken om een wachtwoord via de web interface te veranderen?

edit:
Bedoel je trouwens het administrative password van de printer zelf of een password wat de printer nodig heeft om iets op een ander systeem te doen?

[ Voor 21% gewijzigd door Rukapul op 10-10-2016 14:30 ]

Trek er een externe scripter voor naar binnen die zich een paar dagen mag vermaken met het scripten voor een X aantal modellen en jullie een handleiding geeft over hoe je dit naar andere modellen kan porten?

Zolang er tig verschillende types en werkwijzen zijn, zal in alle gevallen naar ik aanneem tig scripts nodig. En sowieso is het minder tijdrovend dan periodiek rondjes te lopen. Misschien goed moment om te gaan standaardiseren op 1 merk en beheertooling.

Enige mogelijkheid is om te telnetten naar de printers.

Mopperman schreef op maandag 10 oktober 2016 @ 14:05:
Hier in het bedrijf hebben we recentelijk een nieuwe policy aangenomen: Passwords van generic accounts moeten iedere 3 maanden veranderd worden.

..en de persoon die dat bedacht heeft realiseerde zich niet helemaal dat dit de consequentie zou zijn?

Helaas ondersteund dit pakket geen printers/multifunctionals. Wij hebben door de 2000 printers welke met scan to folder en scan to mail werken, waar gebruik word gemaakt van LDAP.

Om nu te voorkomen om iedere 3 maanden 2000 machines de web interface te moeten gaan openen en het wachtwoord te veranderen: Hoe zouden jullie dit doen?

Zoals je zelf al aangeeft en wel duidelijk is uit de reacties, is een technische oplossing niet mogelijk of dan wel heel erg omslachtig. Naar mijn idee is dat veel te veel werk voor het afdichten van het eventuele risico wat je hiermee denkt te lopen. Je security officer zou het moeten accepteren dat je voor deze policy in dit geval een exception moet hanteren.

Als alternatief zou ik specifiek service accounts maken voor alleen dit doeleinde (dus een svc_mfpsmb en svc_mfpldap bijvoorbeeld) en deze dus niet meenemen in de verplichte drie maandelijkse wachtwoordwijziging. Zorg dat deze accounts alleen kunnen rechten hebben waarvoor ze bedoeld zijn. Dus zo laag mogelijke privileges, dus het LDAP account read only (domain user is genoeg geloof ik) en SMB alleen schrijven op de share waar scans in terecht komen).

Maak de wachtwoorden vervolgens zo lang als je kunt, en probeer de printers zo goed als je kunt te beveiligen door op zijn minst alle onnodige services te stoppen, default wachtwoorden te veranderen, en de printerbeheerder altijd de firmware te laten updaten tijdens een servicebeurt. Dat zou in ieder geval de beste maatregelen zijn om te voorkomen dat een onbevoegd iemand achter de wachtwoorden van die accounts kunnen komen.

Wil je er nog een schep bovenop doen, regel dan ook een detective control in om te kunnen detecteren dat deze accounts alleen worden gebruikt door de betreffende printers en dus niet dat er stiekem iemand anders mee inlogt. Dit zou je bijvoorbeeld kunnen doen met een SIEM waarbij je een regel opneemt dat je gealarmeerd wordt als er een succesvolle aanmelding op een DC plaatsvind met één van die accounts die niet afkomstig zijn van bekende printer hostnames/ip's/mac-addressen.

Voila

[ Voor 5% gewijzigd door ebia op 15-10-2016 17:46 ]