管理功能

用户认证中的注册信息

最多可注册5,001个用户。

注册部门IDs

最多可注册1,000个用户。

身份认证功能

如果指定某动态目录服务器作为认证服务器,需要下列系统环境。
软件(操作系统):
Windows Server 2008 SP2*1/Windows Server 2008 R2 SP1/Windows Server 2012*2/Windows Server 2012 R2*2/Windows Server 2016*2/Windows Server 2019*2
*1 不支持64位操作系统。
*2 如果KDC相关策略(组策略)启用了Kerberos防护,用户将不能通过Active Directory认证登录。务必禁用Kerberos防护。
当前用户身份认证版本支持的用于动态目录认证的Kerberos加密方法如下。
加密方法
128位AES(高级加密标准)
256位AES(高级加密标准)
DES(数据加密标准)
RC4
可用的加密方法可能根据动态目录设置而异。
在可用的加密方法中,会自动选择密码强度最高的一种。
指定动态目录服务器作为认证服务器时,在服务器上使用以下端口*1
与域名服务器通信:
端口53
与KDC(密钥分配中心)通信:
端口88
为了LDAP目录服务与服务器进行通信(可改为任意端口用于LDAP服务):
端口389
*1 上述端口号是默认值。这些端口号可能随着所选的设置而变化。
如果指定某LDAP服务器作为认证服务器,需要下列系统环境。
软件:
OpenLDAP
操作系统:
要求符合LDAP服务器的产品规范。
指定LDAP服务器作为认证服务器时,在服务器上使用以下端口*1
使用LDAP与LDAP服务器通信(TLS已启用):
端口636
使用LDAP与LDAP服务器通信(TLS已禁用):
端口389
*1 可根据LDAP服务器设置更改端口号。

防火墙设置

在防火墙设置中指定IP地址,最多可以分别指定16个IPv4 与 IPv6 IP地址(或IP地址范围)。
在防火墙设置中指定MAC地址,最多可以指定100个MAC地址。
可用于子线路通信以及默认注册的例外地址和例外端口号如下所示。
例外地址:
0.0.0.1到255.255.255.255
例外端口号:
53,67,68,80,161,443,515*,631*,3702,5353,5357,5358,8000*,8080,8443*,9013,9100*,10443*,20010*,47545
* 仅入站筛选器

密钥与证书注册

如果从计算机安装密钥或CA证书,请确保其符合以下要求:
格式
密钥:PKCS#12*1
CA证书:X.509 DER/PEM
文件扩展名
密钥:“.p12”或“.pfx”
CA证书::“.cer”或“.pem”
公钥加密算法
(及密钥长度)
RSA(512 位、1,024 位、2,048 位、4,096 位)
DSA(1,024 位、2,048 位、3,072 位)
ECDSA (P256、P384、P521)
证书签名算法
RSA:SHA-1、SHA-256、SHA-384*2、SHA-512*2、MD2、MD5
DSA:SHA-1
ECDSA:SHA-1、SHA-256、SHA-384、SHA-512
证书指纹算法
SHA-1
*1 对于密钥中所包含证书的要求依照CA证书。
*2 仅在RSA密钥长度在1,024 位或以上时,SHA384-RSA 和 SHA512-RSA 才可用。

证书吊销列表(CRL)注册

最多可以注册50个证书吊销列表(CRL)。注意,在下列情况中不能注册CRL。
CRL的数据大小超过1 MB。
使用了不支持的签名算法。
单一CRL中所注册的吊销证书数量超过1,000。

“弱加密”定义

在选择了[禁止使用弱加密]时,禁止使用下列算法。
哈希:
MD4,MD5,SHA-1
HMAC:
HMAC-MD5
通用密钥密码系统:
RC2,RC4,DES
公用密钥密码系统:
RSA 加密(512 位/1024 位),RSA 签名(512 位/1024 位),DSA(512 位/1024 位),DH(512 位/1024 位)
即使在选择了[禁止使用弱加密的密钥/证书]时,也可以使用哈希算法SHA-1签署根证书。

FIPS 140-2标准算法

在选择了[以FIPS 140-2作为加密方法的格式]时,禁止使用下列算法。
哈希:
MD4,MD5,SHA-1(用于TLS以外的用途)
通用密钥密码系统:
RC2、RC4、DES、PBE
公用密钥密码系统:
RSA 加密(512 位/1024 位),RSA 签名(512 位/1024 位),DSA签名(512 位/1024 位),DH(512 位/1024 位)

日志管理

可以在本机上管理以下日志类型。收集能够以CSV文件格式导入的日志。
日志类型
CSV文件中指示"日志类型"的数字
说明
用户身份认证
日志
4098
该日志包含的信息涉及用户身份认证的认证状态(登录/退出以及用户身份认证成功/失败)、用户身份认证管理的用户信息的注册/更改/删除。
作业日志
1001
该日志包含与打印作业的完成相关的信息。
接收日志
8193
该日志包含与接收相关的信息。
机器管理日志
8198
该日志所含信息涉及机器的启动/关闭和使用<设置>对设置进行的更改。如果您的经销商或维修代表对机器进行了检查或维修,则机器管理日志同样会记录用户信息或安全相关设置的更改。
网络认证日志
8200
当IPSec通信失败时,该日志进行记录。
导出/导入全部日志
8202
该日志所含信息涉及使用导出全部/导入全部功能进行设置的导入/导出。
应用程序/软件管理屏幕操作日志
3101
这是软件注册/更新以及AddOn应用程序安装程序等的操作日志。
安全策略日志
8204
该日志所含信息涉及安全策略参数的设置状态。
系统管理日志
8206
该日志所含信息涉及固件更新以及AddOn应用程序的备份/恢复等操作。
认证打印日志
8207
该日志所含的信息与操作历史记录和被迫暂停的打印作业有关。
审计日志管理日志
3001
该日志所含信息涉及本功能(审计日志管理功能)的启动与停止,以及日志的导出等操作。
日志可以保护最多40,000条记录。当记录超过40,000条时,将删除多余部分,从保存时间最长的记录开始。

设置数据的导入/导出

请参阅设置/注册表

SCEP服务器支持

仅支持Windows Server 2008 R2/Windows Server 2012 R2/Windows Server 2016的网络设备注册服务(NDES)。
7Y6Y-09X