Все дело в чипах
Современные принтеры имеют в логике своего функционирования чипы – небольшие микросхемы, установленные на картриджах (подробнее о чипированных картриджах читайте в наше статье). Такие чипы, помимо наличия таких функций как определения уровня оставшегося тонера, имеют одну их самых основных функций – максимально воспрепятствовать использованию неоригинальных совместимых материалов.
Первые поколения оригинальных картриджей не имели в своей конструкции чипов. Естественно, отработанный оригинальный картридж просто перезаправлялся и снова становился пригодным для использования. А чуть позже и вовсе появились совместимые картриджи, полностью изготовленные заново альтернативными производителями. Это стало проблемой для производителей оригинальных картриджей, снижавшей их прибыли. В большей мере, легкость использования совместимых (или перезаправленных) расходных материалов и послужило причиной, по которой производители печатной техники перешли на использование в своих картриджах чипов. Ведь без чипов, картридж представляет собой просто бункер с тонером, фоточувствительным барабаном, набором валов, шестеренок и т.д., - то есть ничего, что составляет труда его воспроизвести производителям совместимой продукции. Но в случае использования чипов – задача повторения оригинальных картриджей становится совсем нетривиальной. Совместимые картриджи без правильно работающего чипа просто не будут распознаны печатающим устройством, соответственно, их использование будет невозможно. Поэтому для современной печатной техники без копирования функционала оригинального чипа никак не обойтись. И если первые поколения чипов без особых проблем удавалось скопировать, то последние версии чипов иногда вызывают существенные трудности для воспроизводства. На некоторые версии картриджей, чипы от альтернативных поставщиков расходных материалов не удавалось корректно воспроизвести по несколько лет, и приходилось использовать оригинальные чипы повторно, что не всегда было возможно.
Производители оригинальных картриджей стараются максимально усложнить механизмы взаимодействия своего чипа с печатным устройством, используя методы криптографии, чтобы защитить свой чип от взлома. Но рано или поздно, оригинальный чип оказывается «взломанным» (либо принцип его функционирования становится доступным иными путями), после чего начинается его промышленное копирование и поставка картриджей с полнофункциональными совместимыми чипами. Но за это время производитель устройства обновляет микропрограмму своего устройства (прошивку), в которой закладывает иные принципы взаимодействия чипа и аппарата, и соответственно, совместимые чипы, рассчитанные на предыдущие версии прошивок принтера, перестают работать, и пользователь оказывается с неработающими картриджами, на которые нужны новые, исправно работающие совместимы чипы. Это классическая битва снаряда и брони, которая много лет продолжается на рынке печатной техники. Конечно, если пользователь не планирует использовать совместимые картриджи и будет пользоваться только оригинальными, все приведенные рекомендации в данной статье будут для него не актуальны, поскольку с оригинальными расходными материалами подобных проблем нет.
Обновление ПО
Обновление программного обеспечения принтера и является той причиной, по которой ранее исправно работающие совместимые чипы неожиданно перестают работать. Конечно, защита от использования неоригинальных расходных материалов не является единственной целью обновлений программного обеспечения принтера. Производитель принтера обновляет ПО по многим причинам – устранение ошибок функционирования устройства (когда некоторые функции работают некорректно или не работают вовсе при определенных сценариях), устранение выявленных уязвимостей принтера (зачастую, именно принтеры являются слабым звеном в корпоративной сети, через которые происходят атаки на инфраструктуру предприятия), добавление новых возможностей в устройства и т.д. Но мы рассматриваем в данной статье обновление ПО принтера, как способа не допустить использования неоригинальных расходных материалов. И тут производители печатающих устройств не устают придумать новые функции, по защите от совместимых картриджей или даже повторного использования перезаправленных оригинальных картриджей с оригинальными же чипами. Диапазон разнообразных проблем, возникающих от использования «неправильных» чипов достаточно широк – от простого не распознавания картриджа принтером, до превращения полноцветной печати в монохромную. И все это может ожидать пользователя, с очередным обновлением ПО принтера. Поэтому знание этого факта и набор действий по недопущению несанкционированного обновления ПО принтера, позволит сохранить максимальные выгоды от использования совместимых картриджей и убережет пользователя от существенных трат, возникших после «неудачного» обновления ПО.
Способы обновления ПО
Как же происходит обновление ПО принтера? Если раньше ПО необходимо было загружать на устройство в ручном режиме, то сегодня современные модели принтеров получают обновление через интернет, в своем большинстве, в автоматическом режиме. То есть пользователь может даже не знать, что принтер сам зашел на ресурс, указанный производителем в его настройках, обновился и теперь имеет самую последнюю версию прошивки. Участие пользователя в этой процедуре исключается по максимуму. Зачастую пользователи вообще не осведомлены о том, что делает его принтер, и уверены, что раз они купили принтер, например, пять лет назад, то и прошивка у него пятилетней давности. В последствии, при проверке версии ПО, они с удивлением обнаруживают, что на их принтере установлена самая свежая версия прошивки. Но ведь они ничего такого не делали! Но принтер это делает самостоятельно, без разрешения со стороны пользователя, потому что опция автообновления включена по-умолчанию. Нам известен случай из практики, когда одна компания купила большое количество совместимых картриджей для принтера, в надежде надолго закрыть потребность в их наличии, но забыла запретить принтеру автообновления. В один «прекрасный» день пользователи с удивлением обнаружили, что все эти картриджи больше не воспринимаются принтером, потому что недавно принтер обновился, и теперь чипы в этих картриджах стали абсолютно непригодны для использования. Масштаб возникших проблем у компании можно предположить.
Так же, стоит упомянуть такой аспект обновления ПО принтера, как возможность понижения версии ПО на предыдущую версию, на которой ранее работающие совместимые чипы работали. И действительно, создается мнение, что если принтер обновился на более новую версию ПО, на которой совместимые чипы перестали работать, то можно просто «откатить» версию ПО на предыдущую, и проблема будет устранена. Но, тенденции последнего времени таковы, что производители печатных устройств устраняют такую возможность в своих аппаратах. То есть понизить версию ПО в обычном режиме никак не получится, потому что обновления аппарат получает через интернет, и даже если найти файл с предыдущей версией прошивки, установить его на устройство даже опытному IT-специалисту невозможно, по причине отсутствия такой возможности в настройках принтера. Здесь потребуется физическое выпаивание микросхемы отвечающей за размещение ПО из принтера, специальными паяльными станциями и загрузка на ее программатором предыдущей работающей версии ПО. Очевидно, это требует совершенно иной квалификации и оборудования, чем те, которые имеются у IT-специалистов, обслуживающих принтер. При этом всегда есть риск нанести фатальные повреждения электронике принтера, при которых он не сможет вообще функционировать. Поэтому версия с понижением версии ПО будет становиться все более проблематичной для реализации для обычных пользователей.
Локальная вычислительная сеть компании
Теперь, когда мы поговорили о проблеме автообновлений ПО принтера, скажем пару слов о том, как устроена «обычная» сеть предприятия, в которой функционируют принтеры. Это понимание пригодится IT-специалистам, которые будут ограничивать автообновления у печатающей техники.
Не редки случаи, когда компании не имеют сложной и сегментированной сетевой инфраструктуры, которая обслуживается IT-специалистами реализующими правильные практики сетевого дизайна. Поэтому обычная ситуация для таких компаний, когда пользователи и принтеры находятся в одном сегменте сети, и получают такие же настройки от DHCP-сервера, как и обычные пользователи (возможно, за исключением привязки ip-адреса принтера к его mac-адресу, чтобы он оставался постоянным). Преимуществом такого подхода является простота настройки, очевидными недостатками является незащищенность такой сети, когда через уязвимости принтеров открывается доступ ко всей сети предприятия. И помимо небезопасности такого сетевого дизайна, принтеры получают такой же доступ к ресурсам интернета, как и обычные пользователи. Соответственно, при таком подходе, принтеры могут свободно скачивать обновления ПО, когда те появляются на серверах компании производителя. Или же ИТ-специалисты могут просто не знать о такой проблематике с автообновление ПО, и просто разрешать принтерам свободный выход в интернет, полагая, чем новее прошивка, тем лучше.
Способы выключения автообновлений
Какие же способы блокировки автообновлений принтеров имеются? Казалось бы, чтобы запретить принтеру самостоятельно скачивать и устанавливать обновления ПО, нужно в настройках принтера просто выставить явный запрет на автоматическое обновление, по аналогии, например, с операционной системой Windows. Но тенденция последнего времени такова, что производители принтеров убирают эту опцию из настроек принтера. То есть пользователь не может даже запретить принтеру самостоятельно обновляться. Справедливо это или нет – решать самим пользователям, мы же опишем способы простого отключения возможности автообновлений.
Мы рекомендуем воспользоваться несколькими основными способами, не требующими высокой квалификации IT-специалистов, обслуживающих сети предприятия. Перечень ниже приведенных способов рекомендуется реализовать в совокупности, для того чтобы надежно решить требуемую задачу.
- Запрет автообновления в настройках принтера
- Отключение у принтера шлюза по-умолчанию
- Запрет на пограничном шлюзе сети ip-адресу принтера иметь выход в интернет.
Запрет автообновления в настройках принтера
В этом случае в сервисном меню принтера выключается возможность получать обновления, если эта опция присутствует в настройках и производитель ее не удалил. Причем сделать это надо сразу, как только принтер оказался у вас, ну или когда вы узнали о необходимости это сделать. Это простая настройка, которую нужно найти в меню вашего принтера. Мы не рекомендуем пользоваться этим способом как единственным способом блокирования автообновлений. В какой-то момент кто-то из пользователей, может случайно снова активировать режим автообновления, либо же настройки принтера будут сброшены (случайно или намеренно) до заводских - и результаты не заставят себя долго ждать.
Ниже приведены еще два способа, которые являются наиболее действенными способами решения задачи с автообновлениями. Они позволяют запретить принтеру иметь доступ в интернет на сетевом уровне, и соответственно, возможность скачивать обновления ПО.
Отключение у принтера шлюза по-умолчанию
«Обычная» сеть небольшой компании имеет настройки для автоматического получения ip-адреса и шлюза для сетевых устройств. Поэтому если не предпринимать специальных действий, принтер получит все настройки, необходимые для выхода в интернет, в том числе и шлюз по-умолчанию. Рекомендуется в таких сетях назначать для принтеров IP-адрес вручную и не пользоваться DHCP-сервисом. В этом случае поле шлюза по-умолчанию следует оставить или не заполненным, либо если принтер не позволяет этого сделать – указать в качестве шлюза по-умолчанию любой адрес из этой же подсети (кроме истинного шлюза по-умолчанию). Например, если у вас подсеть 192.168.1.0/24 и шлюз по-умолчанию 192.168.1.254, то вы можете задать адрес, например, 192.168.1.25, даже если в вашей сети нет ни одного устройства с этим адресом. В этом случае принтер примет подобные настройки, а трафик, направленный на сервера с обновлениями, не будет достигать своего назначения.
Если ваше печатное устройство имеет Wi-Fi модуль и получает все сетевые настройки автоматически, можно также воспользоваться приведенной выше рекомендацией и отключить у Wi-Fi подключения опцию автоматического получения настроек сети, и ввести эти настройки в ручном режиме.
Запрет принтеру на пограничном шлюзе сети иметь выход в интернет
В этом случае, на пограничном сетевом устройстве (маршрутизаторе или межсетевом экране), создается правило, фильтрующее трафик с ip-адреса принтера, направленный в интернет. Любой IT-специалист без труда выполнит эту настройку. Основная задача при этом состоит в том, чтобы четко установить ip-адрес принтера и не позволять, чтобы это адрес менялся. Для этого необходимо на принтере установить ip-адрес вручную, либо же на DHCP-сервере (если он используется) сделать привязку mac-адреса принтера к выдаваемому ip-адресу.
Эта рекомендация справедлива в основном для плоской сети, в которой отсутствует разбиение потребителей на сегменты. В случае сегментированной сети, печатающие устройства выделяются в отдельную группу, с последующим установлением политик взаимодействия между различными сегментами. Это существенно повышает общую безопасность сети и облегчает управление трафиком подобного сегмента. В это случае доступ в интернет можно запретить всему сегменту с принтерами, не выискивая нужные ip-адреса отдельных устройств.
А как же сканирование с отправкой на почту?
В том случае, если у вас МФУ и вам необходимо оставить возможность отправлять сканы на почту пользователей, при том что почту МФУ использует расположенную на внешних сервисах типа mail.ru, gmail.com или mail.yandex.ru, - в таком случае не обойтись без более глубокой настройки политики доступа на пограничном шлюзе компании. Но тут тоже совсем не сложно. Необходимо будет просто прописать одно разрешающее правило доступа, при котором МФУ будет иметь доступ лишь к почтовому домену внешней почты. При этом доступ к серверам обновления останется заблокированным по правилу implicit deny шлюза. А в случае, если ваш почтовый сервер находится в DMZ-зоне компании, или же вы хотите открыть доступ к сканированию только во внутреннюю сетевую папку, расположенную во внутреннем периметре компании, то в таком случае доступ в интернет для МФУ можно не предоставлять вовсе.
Резюме
Для того чтобы иметь возможность пользоваться совместимыми картриджами и неожиданно не столкнуться с их блокировкой по причине внезапного обновления принтером своей прошивки, необходимо запретить принтеру обновлять свое программное обеспечение. Это реализуется рядом способов, которые рекомендуется выполнить в комплексе:
- Выключить в настройках принтера автообновление
- Убрать у принтера шлюз по-умолчанию
- Создать на шлюзе правило, запрещающее принтеру выход в интернет.
Эти простые рекомендации, которые не требуют углубленных знаний и выполнимы практически любым IT-специалистом, либо просто продвинутым пользователем.
Читать также
От выбора подходящего огнетушителя и правильного размещения зависит безопасность сотрудников и сохранность имущества. Далее рассмотрим, как правильно выбрать огнетушитель для офиса, чтобы в случае опасности спасти ценные документы или технику и не допустить распространение пламени в случае пожара.