安全策略設定項目

與本機的安全策略相關的設定項目說明於下。請選擇您要在設定畫面上套用之項目的核取方塊。

[介面]

[無線連線策略]
透過禁止無線連線防止未經授權存取。
[禁止使用直接連線]
<使用直接連線> 和 <指定SSID/網路鍵值時總是保持啟用> 設定為 <關閉>。無法從行動裝置存取本機。
[禁止使用無線區域網路]
<選擇有線/無線區域網路> 設定為 <有線區域網路>。無法透過無線網路路由器或存取點與本機建立無線連線。
 
[USB策略]

透過禁止 USB 連線以防止未經授權的存取和資料外洩。
[禁止作為USB裝置使用]
<作為USB裝置使用> 設定為 <關閉>。無法透過 USB 連線到電腦。
[禁止作為USB儲存裝置使用]
<使用USB儲存裝置> 設定為 <關閉>。無法使用 USB 儲存裝置。

[網路]

[通訊操作策略]
透過要求簽署和憑證驗證以提高通訊的安全性。
[總是對SMS/WebDAV伺服器功能驗證簽章]
在 <SMB伺服器設定> 中,<連線需要SMB簽章> 和 <使用SMB認證> 選項設定為 <開啟>,且 <WebDAV伺服器設定> 中的 <使用TLS> 設定為 <開啟>。當本機設定為使用作為 SMB 伺服器或 WebDAV 伺服器時,會在通訊期間驗證數位憑證簽署。
[使用TLS時總是驗證伺服器憑證]
下列設定設為 <開啟>,且勾選 <CN>。
<確認WebDAV傳送的TLS憑證>
<FTPS傳送時確認TLS憑證>
<確認SMTP傳送的TLS憑證>
<確認POP接收的TLS憑證>
<確認網路存取的TLS憑證>
<使用MEAP應用程式確認TLS憑證>
<確認LDAP伺服器存取的TLS憑證>
下列設定設為 <開啟>。
<SIP設定> <TLS設定> <驗證伺服器憑證>
<SIP設定> <TLS設定> <驗證CN>
[授權/其他
]  [視覺訊息設定]  [TLS通訊時確認憑證]
[授權/其他
]  [視覺訊息設定]  [添加CN至驗證項目]
在 TLS 通訊期間,會對通用名稱的數位憑證進行驗證。
IP傳真擴充組件 使用者指南
[禁止對伺服器功能進行純文字認證]
<FTP列印設定> 中的 <使用FTP列印> 設定為 <關閉>、<電子郵件/網際網路傳真設定>  <通訊設定> 中的 <允許TLS(SMTP接收)> 設定為 <總是TLS>、<網路> 中的 <專用連接埠認證方法> 設定為 <模式2>,且 <WebDAV伺服器設定> 中的 <使用TLS> 設定為 <開啟>。將本機做為伺服器使用時,純文字認證以及使用純文字認證的功能無法使用。
[禁止使用SNMPv1]
在 <SNMP設定> 中,<使用SNMPv1> 設定為 <關閉>。從電腦取得裝置資訊時無法使用 SNMPv1。
即使勾選了 [使用TLS時總是驗證伺服器憑證],此設定也無法套用到使用 IEEE 802.1X 網路的通訊。
如果選擇了 [禁止對伺服器功能進行純文字認證] 且您使用舊版的裝置管理軟體或驅動程式,則可能無法連線至本機。請確定您使用最新的版本。
 
[連接埠使用策略]

透過關閉不使用的連接埠防止外部漏洞。
[限制LPD連接埠(連接埠號: 515)]
<LPD列印設定> 設定為 <關閉>。無法執行 LPD 列印。
[限制RAW連接埠(連接埠號: 9100)]
<RAW列印設定> 設定為 <關閉>。無法執行 RAW 列印。
[限制FTP連接埠(連接埠號: 21)]
在 <FTP列印設定>,<使用FTP列印> 設定為 <關閉>。無法執行 FTP 列印。
[限制WSD連接埠(連接埠號: 3702、60000)]
在 <WSD設定> 中,<使用WSD>、<使用WSD瀏覽> 和 <使用WSD掃描> 全都設定為 <關閉>。無法使用 WSD 功能。
[限制BMLinkS連接埠(連接埠號: 1900)]
本機沒有套用安全策略的設定項目。
[限制IPP連接埠(連接埠號: 631)]
<IPP列印設定> 和 <使用Mopria> 選項全都設定為 <關閉>。無法使用 IPP 或 Mopria™ 列印。
[限制SMB連接埠(連接埠號: 139、445)]
在 <SMB伺服器設定> 中,<使用SMB伺服器> 設定為 <關閉>。本機無法使用作為 SMB 伺服器。
[限制SMTP連接埠(連接埠號: 25)]
在 <電子郵件/網際網路傳真設定>  <通訊設定> 中,<SMTP接收> 設定為 <關閉>。無法進行 SMTP 接收。
[限制專用連接埠(連接埠號: 9002、9006、9007、9011-9015、9017-9019、9022、9023、9025、20317、47545-47547)]
<專用連接埠設定> 設定為 <關閉>。無法使用專屬連接埠。
[限制Remote Operator's Software連接埠(連接埠號: 5900)]
<遠端操作設定> 設定為 <關閉>。無法使用遠端操作功能。
[限制SIP(IP傳真)連接埠(連接埠號: 5004、5005、5060、5061、49152)]
在 <內部網路設定> 中的 <使用內部網路> 和 <VoIP閘道器設定> 中的 <使用VoIP閘道器> 設定為 <關閉>。無法使用 IP 傳真。
IP傳真擴充組件 使用者指南
[限制mDNS連接埠(連接埠號: 5353)]
在 <mDNS設定> 中,<使用IPv4 mDNS> 和 <使用IPv6 mDNS> 選項設定為 <關閉>,且 <使用Mopria> 設定為 <關閉>。無法搜尋網路或使用 mDNS 執行自動設定。也無法使用 Mopria™ 列印。
[限制SLP連接埠(連接埠號: 427)]
在 <多點傳送發現設定> 中,<回應> 設定為 <關閉>。無法搜尋網路或使用 SLP 執行自動設定。
[限制SNMP連接埠(連接埠號: 161)]
在 <SNMP設定> 中,<使用SNMPv1> 和 <使用SNMPv3> 選項設定為 <關閉>,且 <顯示Scan for Mobile> 設定為 <關閉>。無法從電腦獲得裝置資訊或使用 SNMP 指定設定。

[認證]

[認證操作策略]
透過實施安全使用者認證,防止未註冊的使用者執行未經授權的操作。
[禁止來賓使用者使用裝置]
下列設定設為 <開啟>。
<進階郵件信箱設定> <認證管理>
<使用者管理> <認證管理> <使用使用者認證>
<限制來自遠端裝置未經使用者認證的工作>
[未註冊的使用者登入:] [允許未註冊的使用者以來賓使用者身份登入]
下列設定設為 <關閉>。
<使用使用者認證> <簡單登入>
<登入螢幕顯示設定> 設定為 <裝置操作開始時顯示>。
如果 [遠端使用者介面認證] 中的 [認證模式:] 設為 [來賓認證模式],會變為 [標準認證模式]。
此外,不能再將 [遠端使用者介面認證] 中的 [認證模式:] 選擇為 [來賓認證模式]。
未註冊的使用者無法登入機器,且來自電腦的列印工作會被取消。
ACCESS MANAGEMENT SYSTEM 管理者操作說明書
[強制設定自動登出]
<自動重設時間> 啟用。如果經過指定時間期間沒有執行任何操作,會自動將使用者登出。選擇遠端使用者介面畫面上的 [登出前的時間:]。
 
[密碼操作策略]

對密碼操作實行嚴格的限制。
[禁止快取外部伺服器密碼]
<禁止快取認證密碼> 設定為 <開啟>,且 <儲存登入使用者的認證資訊> 設定為 <關閉>。存取外部伺服器時一律要求使用者輸入密碼。
[使用預設密碼時顯示警告]
<使用預設密碼時顯示警告> 設定為 <開啟>。使用本機的出廠預設值時會顯示警告訊息。
[禁止為遠端存取使用預設密碼]
<允許為遠端存取使用預設密碼> 設定為 <關閉>。從電腦存取本機時無法使用出廠預設密碼。
 
[密碼設定策略]

P透過設定使用者認證密碼的最低等級複雜度和有效前間,防止第三方輕易猜中密碼。
[設定密碼最少字元數]
<最小長度設定> 設定為 <開啟>。無法設定較遠端使用介面設定畫面上 [最少字元數] 指定之字元數更少的密碼。
[設定密碼有效期]
<有效期設定> 設定為 <開啟>。對密碼設定有效期間。在遠端使用者介面設定畫面的 [有效期:] 中指定期間。
[禁止使用3個或更多連續相同的字元]
<禁止使用3個或更多連續的相同字元> 設定為 <開啟>。無法設定包含相同字元連續重複三次或以上的密碼。
[強制使用至少1個大寫字母]
<使用至少1個大寫字元> 設定為 <開啟>。密碼必須至少包括一個大寫字母字元。
[強制使用至少1個小寫字母]
<使用至少1個小寫字元> 設定為 <開啟>。密碼必須至少包括一個小寫字母字元。
[強制使用至少1個數字]
<使用至少1個數字> 設定為 <開啟>。密碼必須至少包括一個數字字元。
[強制使用至少1個符號]
<使用至少1個符號> 設定為 <開啟>。密碼必須至少包括一個符號。
 
[鎖定策略]

經過特定次數的連續無效登入嘗試後,封阻使用者在特定時間期間內登入。
[啟用鎖定]
在 <鎖定設定> 中,<啟用鎖定> 設定為 <開啟>。在遠端使用者介面設定畫面上,指定 [鎖定閾值] 和 [鎖定時間] 的值。

[鍵值/憑證]

透過防止使用弱式加密,或透過在指定的硬體元件上儲存加密的使用者密碼和金鑰,保護重要的資料。
[禁止使用低度加密]
<禁止使用弱加密> 設定為 <開啟>。無法使用弱式加密。勾選核取方塊後可選擇 [禁止使用低度加密鍵值/憑證]。
[禁止使用低度加密鍵值/憑證]
在 <禁止使用弱加密> 中,<禁止使用弱加密的鍵值/憑證> 設定為 <開啟>。無法使用金鑰或使用弱式加密的憑證。
[使用TPM儲存密碼和鍵值]
<TPM設定> 設定為 <開啟>。會對密碼和金鑰加密並儲存在指定的硬體元件上。
啟用 TPM 設定時
確認已變更「Administrator」密碼的預設值,以防止非管理員的第三方可以備份 TPM 金鑰。如果第三方取走 TPM 備份金鑰,您將無法還原 TPM 金鑰。
為增強安全性,TPM 金鑰只能備份一次。如果啟用了 TPM 設定,請確認將 TPM 金鑰備份到 USB 儲存裝置上,並將其保存在安全的地方以免遺失或失竊。
TPM 提供的安全功能並不能保證可以完全保護資料和硬體。

[日誌]

透過要求記錄日誌,您可定期調查本機的使用方式。
[強制記錄稽核日誌]
<儲存操作日誌> 設定為 <開啟>、<顯示工作日誌> 設定為 <開啟>、<顯示工作日誌> 中的 <使用管理軟體檢索工作日誌> 設定為 <允許>、<儲存稽核日誌> 設定為 <開啟>、<檢索網路認證日誌> 設定為 <開啟>,且 <將登入名稱用作列印工作的用戶名> 設定為 <開啟>。始終記錄稽核日誌。
[強制SNTP設定]
在 <SNTP設定> 中,<使用SNTP> 設定為 <開啟>。必須透過 SNTP 進行時間同步。在遠端使用者介面畫面上輸入 [伺服器名稱] 的值。

[工作]

[列印策略]
防止在列印時發生資訊外洩。
[禁止立即列印接收的工作]
下列設定設為 <開啟>。
傳真/網際網路傳真收件匣中的 <傳真記憶體鎖定>
傳真/網際網路傳真收件匣中的 <網際網路傳真記憶體鎖定>
<設定傳真/網際網路傳真收件匣> <使用「傳真記憶體鎖定」>
<設定傳真/網際網路傳真收件匣> <使用「網際網路傳真記憶體鎖定」>
<強制保留>
下列設定設為 <關閉>。
<設定/註冊郵件信箱> <從印表機驅動程式儲存時列印>
<郵件信箱安全性設定> <從印表機驅動程式儲存時顯示列印>
<處理包含轉寄錯誤的檔案> 設定為 <儲存/列印>。
<記憶體鎖定結束時間> 設定為 <不指定>。
在 <強制保留> 的操作條件中只能設定 <保留為共用工作>。
此外,不能變更 <全部郵件信箱的設定> <從印表機驅動程式儲存時列印> 設定。
即使執行列印操作,也不會立刻進行列印。
 
[傳送/接收策略]

限制對接收者的傳送作業,也限制如何處理接收的資料。
[僅允許傳送至已註冊的位址]
在 <限制新接收者> 中,<傳真>、<電子郵件>、<網際網路傳真> 和 <檔案> 選項設定為 <開啟>。僅可傳送到在通訊錄中註冊的接收者。
[強制確認傳真號碼]
<確認輸入的傳真號碼> 設定為 <開啟>。傳送傳真時使用者必須再次輸入傳真號碼以進行確認。
[禁止自動轉寄]
<使用轉寄設定> 設定為 <關閉>。無法自動轉傳傳真。

[儲存]

透過刪除儲存裝置上的不需要檔案防止資訊外洩。
[強制完全刪除資料]
<硬碟資料全部刪除> 設定為 <開啟>。
85LH-0F3