打印服务器审计

打印服务器审计涉及对组织内的打印相关活动进行系统监控和日志记录。通过细致跟踪打印作业、用户活动及设备交互，组织能够深入了解潜在的漏洞与威胁。此主动措施使企业能够保障敏感信息安全，检测未授权访问，并确保符合行业法规。

前提条件

• 确保已在选定配置为打印服务器的设备上配置 Microsoft-Windows-PrintService/Admin 和 Microsoft-Windows-PrintService/Operational。

• 确保 Microsoft-Windows-PrintService/Admin 以及 Microsoft-Windows-PrintService/Operational 事件源文件已在 事件查看器 中配置并启用，路径为 应用程序和服务日志 > Microsoft > Windows > PrintService ，且在打印服务器设备上生效。
• 确保已配置以下审计策略，用于捕获日志中的文档名称：

计算机配置 → 管理模板 → 打印机 → 允许在事件日志中记录作业名称

或者，您可以进行以下注册表编辑：

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\Printers]

"ShowJobTitleInEventLogs" = dword:00000001

配置打印服务器

• 进入 设置 选项卡，选择 日志源配置 > 应用程序 > 打印服务器 > 添加打印服务器 ，位于 配置 部分



• 选择目标打印服务器并输入凭据或使用默认凭据。
注意：默认凭据指域凭据或设备特定凭据。请确保凭据可用后再继续。



• 为打印服务器选择合适的代理。



• 点击 选择打印机 显示与服务器关联的打印机。
注意： 当打印机被获取但未配置时，之前获取的打印机信息将保留一天。要更新信息，点击 刷新 以获取最新打印机数据。



• 从列表中选择打印机进行日志收集，点击 添加 完成配置。



点击 关联打印机 查看并管理与所选打印服务器关联的打印机，通过启用/禁用操作进行日志收集管理。



注意： 不可禁用所有打印机。确保至少有一个打印机保持启用，以维持监控和日志收集功能。

故障排除

配置期间未列出打印机详情

凭据验证

错误信息：无法从所选服务器获取打印机：<服务器名称>

1. 原因：无可用凭据

原因:

选定服务器或其关联域无可用凭据。

解决方案:

如果在打印服务器配置页面选择了默认凭据，确保设备或域配置了有效凭据。或者，您也可以在打印服务器配置页面手动输入凭据。

2. 原因：凭据无效

原因:

提供的凭据无效，可能是手动输入或与关联设备/域相关联的凭据。

解决方案:

确保在打印服务器配置页面输入了正确凭据。如有需要，请在“设置 → 日志源配置 → 设备”下更新设备凭据，或在“设置 → 管理员 → 账户设置 → 配置域”下更新域凭据。

3. 原因：设备无法访问

原因:

无法通过所选代理访问选定服务器。

解决方案：

确保所选代理与服务器处于同一域。使用 ping 命令验证服务器是否可达，并确认网络连接正常。

4. 原因：由于审计策略禁用，事件查看器中未记录文档名称

原因:

此问题由审计策略配置错误引起。

解决方案：

要在事件日志中捕获文档名称，必须启用以下审计策略：

计算机配置 → 管理模板 → 打印机 → 允许在事件日志中记录作业名称

或者，您可以进行以下注册表编辑：

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\Printers]

"ShowJobTitleInEventLogs" = dword:00000001