安全策略设置项目

与本机安全策略相关的设置项目如下所示。在设置屏幕上,选择要应用的项目的复选框。

[接口]

[无线连接策略]
通过禁止无线连接,防止未授权访问。
[禁止使用直接连接]
<使用直接连接>和<指定SSID/网络密钥时始终启用>设置为<关闭>。无法从移动设备访问本机。
[禁止使用无线局域网]
<选择有线/无线局域网>设置为<有线局域网>。无法通过无线局域网路由器或存取点与本机建立无线连接。
 
[USB策略]

通过禁止USB连接,防止未经授权的访问和数据泄漏。
[禁止作为USB设备使用]
<作为USB设备使用>设置为<关闭>。无法通过USB连接到计算机。
[禁止作为USB存储设备使用]
<使用USB存储设备>设置为<关闭>。无法使用USB存储设备。

[网络]

[通信操作策略]
通过要求签名和证书验证,增强通信安全性。
[始终对SMS/WebDAV服务器功能验证签名]
在<SMB服务器设置>中,<连接需要SMB签名>和<使用SMB认证>选项设置为<打开>,<WebDAV服务器设置>中的<使用TLS>设置为<打开>。使用本机作为SMB服务器或WebDAV服务器时,通信期间会对数字证书签名进行验证。
[使用TLS时始终验证服务器证书]
以下设置设为<打开>,并向<CN>添加复选标记。
<确认WebDAV发送的TLS证书>
<FTPS发送时确认TLS证书>
<确认SMTP发送的TLS证书>
<确认POP接收的TLS证书>
<确认网络访问的TLS证书>
<使用MEAP应用程序确认TLS证书>
<确认LDAP服务器访问的TLS证书>
以下设置设为<打开>。
<SIP设置> <TLS设置> <验证服务器证书>
<SIP设置> <TLS设置> <验证CN>
[授权/其他
]  [可视信息设置]  [TLS通信时确认证书]
[授权/其他
]  [可视信息设置]  [添加CN到验证项目]
TLS通信期间,将对具有通用名称的数字证书执行验证。
IP传真组件用户指南
[禁止对服务器功能进行明文验证]
<FTP打印设置>中的<使用FTP打印>设为<关闭>、<电子邮件/互联网传真设置>  <通信设置>中的<允许TLS(SMTP接收)>设为<始终TLS>、<网络>中的<专用端口认证方法>设为<模式2>,以及<WebDAV服务器设置>中的<使用TLS>设为<打开>。将本机作为服务器使用时,纯文本认证以及使用纯文本认证的功能不可用。
[禁止使用SNMPv1]
在<SNMP设置>中,<使用SNMPv1>设置为<关闭>。从计算机获取设备信息时,无法使用SNMPv1。
此设置不适用于通过IEEE 802.1X网络进行通信,即使选择[使用TLS时始终验证服务器证书]的复选框也是如此。
如果已选择[禁止对服务器功能进行明文验证],并且设备管理软件或驱动程序为旧版本,可能无法连接到本机。请确保使用最新版本。
 
[端口使用策略]

通过关闭未使用的端口,防止从外部侵入。
[限制LPD端口(端口号: 515)]
<LPD打印设置>设置为<关闭>。无法执行LPD打印。
[限制RAW端口(端口号: 9100)]
<RAW打印设置>设置为<关闭>。无法执行RAW打印。
[限制FTP端口(端口号: 21)]
在<FTP打印设置>中,<使用FTP打印>设置为<关闭>。无法执行FTP打印。
[限制WSD端口(端口号: 3702、60000)]
在<WSD设置>中,<使用WSD>、<使用WSD浏览>和<使用WSD扫描>选项均设置为<关闭>。无法使用WSD功能。
[限制BMLinkS端口(端口号: 1900)]
安全策略没有应用到本机的设置项目。
[限制IPP端口(端口号: 631)]
<IPP打印设置>和<使用Mopria>选项均设置为<关闭>。无法使用IPP或Mopria™进行打印。
[限制SMB端口(端口号: 139、445)]
在<SMB服务器设置>中,<使用SMB服务器>设置为<关闭>。无法将本机作为SMB服务器使用。
[限制SMTP端口(端口号: 25)]
在<电子邮件/互联网传真设置>  <通信设置>中,<SMTP接收>设置为<关闭>。无法进行SMTP接收。
[限制专用端口(端口号: 9002、9006、9007、9011-9015、9017-9019、9022、9023、9025、20317、47545-47547)]
<专用端口设置>设置为<关闭>。无法使用专用端口。
[限制Remote Operator's Software端口(端口号: 5900)]
<远程操作设置>设置为<关闭>。无法使用远程操作功能。
[限制SIP(IP传真)端口(端口号: 5004、5005、5060、5061、49152)]
将<内联网设置>中的<使用内联网>,以及<VoIP网关设置>中的<使用VoIP网关>均设为<关闭>。无法使用IP传真。
IP传真组件用户指南
[限制mDNS端口(端口号: 5353)]
在<mDNS设置>中,<使用IPv4 mDNS>和<使用IPv6 mDNS>选项设置为<关闭>,<使用Mopria>设置为<关闭>。无法使用mDNS检索网络或执行自动设置。也无法使用Mopria™进行打印。
[限制SLP端口(端口号: 427)]
在<多路传送发现设置>中,<响应>设置为<关闭>。无法使用SLP检索网络或执行自动设置。
[限制SNMP端口(端口号: 161)]
在<SNMP设置>中,<使用SNMPv1>和<使用SNMPv3>选项设置为<关闭>,同时<显示移动扫描>设置为<关闭>。无法使用SNMP从计算机获取设备信息或配置设置。

[认证]

[认证操作策略]
通过实施安全用户认证,防止未注册的用户执行未授权的操作。
[禁止来宾用户使用设备]
以下设置设为<打开>。
<高级存储箱设置> <认证管理>
<用户管理> <认证管理> <使用用户认证>
<限制来自远程设备未经用户认证的作业>
[未注册用户登录:] [允许未注册的用户以来宾用户身份登录]
以下设置设为<关闭>。
<使用用户认证> <简单登录>
<登录屏幕显示设置>设置为<设备操作开始时显示>。
如果[远程用户界面认证]中的[认证模式:]设置为[来宾认证模式],则变成[标准认证模式]。
此外,无法再为[远程用户界面认证]中的[认证模式:]选择[来宾认证模式]。
未注册用户无法登录到本机,且会取消计算机的打印作业。
ACCESS MANAGEMENT SYSTEM 管理员指南
[强制设置自动注销]
<自动重置时间>被启用。在指定的期限内未执行任何操作时,用户会自动退出登录。选择“远程用户界面”设置屏幕上的[注销前的时间:]。
 
[密码操作策略]

实行严格的密码操作限制。
[禁止缓存外部服务器密码]
<禁止缓存认证密码>设置为<打开>,而且<保存登录用户的认证信息>设为<关闭>。用户访问外部服务器时,将始终需要输入密码。
[使用默认密码时显示警告]
<使用默认密码时显示警告>设置为<打开>。使用本机的出厂默认密码时,将始终显示一条警告信息。
[禁止远程存取使用默认密码]
<允许远程存取使用默认密码>设置为<关闭>。从计算机访问本机时,无法使用出厂默认密码。
 
[密码设置策略]

通过设置用户认证密码的最低复杂程度和有效期,防止第三方轻易猜出密码。
[设置密码最少字符数]
<最小长度设置>设置为<打开>。设置的密码字符数不能低于为“远程用户界面”设置屏幕的[最少字符数]指定的字符数。
[设置密码有效期]
<有效期设置>设置为<打开>。设置密码的有效期。在“远程用户界面”设置屏幕的[有效期:]中指定有效期。
[禁止使用3个或更多连续相同的字符]
<禁止使用3个或更多连续的相同字符>设置为<打开>。设置的密码不能包含连续的三个或多个相同的字符。
[强制使用至少1个大写字符]
<使用至少1个大写字符>设置为<打开>。密码必须至少包含一个大写字母字符。
[强制使用至少1个小写字符]
<使用至少1个小写字符>设置为<打开>。密码必须至少包含一个小写字母字符。
[强制使用至少1个数字]
<使用至少1个数字>设置为<打开>。密码必须至少包含一个数字字符。
[强制使用至少1个符号]
<使用至少1个符号>设置为<打开>。密码必须至少包含一个符号。
 
[锁定策略]

连续尝试登录一定的次数均无效后,阻止用户在指定的期限内登录。
[启用锁定]
在<锁定设置>中,<启用锁定>设置为<打开>。在“远程用户界面”设置屏幕上,指定[锁定阈值]和[锁定时间]的值。

[密钥/证书]

通过防止使用弱加密或将加密的用户密码和密钥保存到指定的硬件组件来保护重要数据。
[禁止使用弱加密]
<禁止使用弱加密>设置为<打开>。无法使用弱加密。选择此复选框后,可以选择[禁止使用弱加密密钥/证书]。
[禁止使用弱加密密钥/证书]
在<禁止使用弱加密>中,<禁止使用弱加密的密钥/证书>设置为<打开>。无法使用弱加密的密钥或证书。
[使用TPM存储密码和密钥]
安全策略没有应用到本机的设置项目。
-

[日志]

通过要求记录日志,可以定期调查本机的使用情况。
[强制记录审核日志]
<保存操作日志>设置为<打开>,<显示作业日志>设置为<打开>,<显示作业日志>中的<使用管理软件检索作业日志>设置为<允许>,<保存审核日志>设置为<打开>,<检索网络认证日志>设置为<打开>,<将登录名称用作打印作业的用户名>设置为<打开>。始终记录审核日志。
[强制SNTP设置]
在<SNTP设置>中,<使用SNTP>设置为<打开>。需要经由SNTP进行时间同步。在“远程用户界面”设置屏幕上,输入[服务器名]的值。

[作业]

[打印策略]
防止打印时出现信息泄漏。
[禁止立即打印接收的作业]
以下设置设为<打开>。
传真/互联网传真收件箱中的<传真存储锁定>
传真/互联网传真收件箱中的<互联网传真存储锁定>
<设置传真/互联网传真收件箱> <使用“传真存储锁定”>
<设置传真/互联网传真收件箱> <使用“互联网传真存储锁定”>
<强制保留>
以下设置设为<关闭>。
<设置/注册存储箱> <从打印机驱动程序存储时打印>
<存储箱安全设置> <从打印机驱动程序存储时显示打印>
<处理包含转发错误的文件>设置为<存储/打印>。
<存储锁定结束时间>设置为<不指定>。
仅可为<强制保留>的操作条件设置<保留为共享作业>。
此外,<全部存储箱的设置> <从打印机驱动程序存储时打印>的设置无法更改。
即使执行打印操作时,也不立即进行打印。
 
[发送/接收策略]

限制接收方的发送操作,并限制已接收数据的处理方式。
[仅允许发送到已注册的地址]
在<限制新接收方>中,<传真>、<电子邮件>、<互联网传真>和<文件>选项均设置为<打开>。只能发送到已在“地址簿”中注册的接收方。
[强制确认传真号码]
<确认输入的传真号码>设置为<打开>。发送传真时,用户需要再次输入传真号码进行确认。
[禁止自动转发]
<使用转发设置>设置为<关闭>。无法自动转发传真。

[存储]

通过删除存储设备上不需要的数据,防止信息泄漏。
[强制删除全部数据]
安全策略没有应用到本机的设置项目。
AC4C-0F0