Функции за управление
Информация, регистрирана в "Потребителско удостоверяване"
Могат да бъдат регистрирани до 5001 потребители.
Регистриране на ИД на отдели
Могат да бъдат регистрирани до 1000 ИД на отдели.
Функции за удостоверяване
Когато като сървър за удостоверяване е зададен Active Directory сървър, се изисква следната системна среда.
Софтуер (операционна система): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 Потребителите не могат да влизат с удостоверяване чрез Active Directory, ако е разрешено Kerberos Armoring за правила, свързани с KDC (групови правила). Погрижете се да забраните Kerberos Armoring. | |
Методите за шифроване на Kerberos за удостоверяване чрез Active Directoryр поддържани от текущата версия на "Потребителско удостоверяване", са както следва.
Метод за шифроване | 128-битов AES (Advanced Encryption Standard Усъвършенстван стандарт за шифроване ) 256-битов AES (Advanced Encryption Standard Усъвършенстван стандарт за шифроване ) DES (Data Encryption Standard Стандарт за шифроване на данни) RC4 |
|
Наличните методи за шифроване може да варират в зависимост от настройките на Active Directory. Сред наличните методи за шифроване автоматично се избира този с най-голяма устойчивост на шифроване. |
Когато задавате Active Directory сървър като сървър за удостоверяване, използвайте следните портове*1 на сървъра.
За комуникация с DNS сървър: | номер на порт 53 |
За комуникация с KDC (Key Distribution Center Център за разпределение на ключове): | номер на порт 88 |
За комуникация със сървър за справочна услуга LDAP (може да бъде променен на произволен номер на порт за услугата LDAP): | номер на порт 389 |
*1 Горните номера на портове са стойности по подразбиране. Тези номера може да варират в зависимост от избраните настройки. | |
Когато като сървър за удостоверяване е зададен LDAP сървър, се изисква следната системна среда.
Софтуер: | OpenLDAP |
Операционна система: | Изискванията са в съответствие със спецификациите на продукта на LDAP сървъра. |
Когато задавате LDAP сървър като сървър за удостоверяване, използвайте следните портове*1 на сървъра.
За комуникация с LDAP сървър с помощта на LDAP (при разрешен TLS): | номер на порт 636 |
За комуникация с LDAP сървър с помощта на LDAP (при забранен TLS): | номер на порт 389 |
*1 Номерата на портове могат да бъдат променяни според настройките на LDAP сървъра. | |
Настройки за защитна стена
При задаване на IP адреси, в настройката на защитната стена могат да се зададат до 16 IP адреса (или диапазони от IP адреси) както за IPv4, така и за IPv6.
При задаване на MAC адреси, в настройките на защитната стена могат да бъдат определени до 100 MAC адреса.
Адресите изключения и номерата на портове изключения, които могат да се използват за комуникация с резервната линия и са регистрирани по подразбиране, са посочени по-долу.
Адреси изключения: | 0.0.0.1 до 255.255.255.255 |
Номер на порт изключ.: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Само входен филтър | |
Регистрация на ключове и сертификати
Ако инсталирате ключ или CA сертификат от компютър, се уверете, че те отговарят на следните изисквания:
Формат | Ключ: PKCS#12*1 CA сертификат: X.509 DER/PEM |
Разширение на файл | Ключ: „.p12“ или „.pfx“ CA сертификат: „.cer“ или „.pem“ |
Алгоритъмът на публичния ключ (и дължина на ключа) | RSA (512 бита, 1 024 бита, 2 048 бита, 4 096 бита) DSA (1024 бита, 2048 бита, 3072 бита)*3 ECDSA (P256, P384, P521) |
Алгоритъм за подпис на сертификат | RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3 DSA: SHA-1*3 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512 |
Алгоритъм за отпечатък на сертификат | SHA-1 |
*1 Изискванията за сертификата, съдържащ се в даден ключ, са в съответствие със CA сертификатите. *2 SHA384-RSA и SHA512-RSA са налични само когато дължината на RSA ключа е 1 024 бита или повече. *3 Налично само при инсталиране чрез потребителски интерфейс за отдалечено управление. | |
Регистриране на списъци за анулиране на сертификати (CRL)
Могат да бъдат регистрирани до 50 списъка за анулиране на сертификати (CRL). Обърнете внимание обаче, че CRL не могат да бъдат регистрирани в следните случаи.
Размерът на данните на CRL надхвърля 1 МБ.
Използван е неподдържан алгоритъм за подписи.
Броят анулирани сертификати, регистрирани в един CRL файл надхвърля 10 000.
Определение за "Слабо шифроване"
Когато е избрано [Prohibit Use of Weak Encryption], не се разрешава използването на следните алгоритми.
Хеширане: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Система за шифроване с общ ключ: | RC2, RC4, DES |
Система за шифроване с публичен ключ: | RSA шифроване (512 бита/1024 бита), RSA подпис (512 бита/1024 бита), DSA (512 бита/1024 бита), DH (512 бита/1024 бита) |
|
Дори когато е избрано [Prohibit Use of Key/Certificate with Weak Encryption], алгоритъмът за хеширане SHA-1, който се използва за подписване на главен сертификат, все пак може да се използва. |
Стандартен алгоритъм на FIPS 140-2
Когато е избрана опцията [Format Encryption Method to FIPS 140-2], не се разрешава използването на следните алгоритми.
Хеширане: | MD4, MD5, SHA-1 (за цел, различна от TLS) |
Система за шифроване с общ ключ: | RC2, RC4, DES, PBE |
Система за шифроване с публичен ключ: | RSA шифроване (512 бита/1024 бита), RSA подпис (512 бита/1024 бита), DSA подпис (512 бита/1024 бита), DH (512 бита/1024 бита) |
Управление на регистъра
Следните типове регистри могат да бъдат управлявани в устройството: Събраните регистри могат да бъдат експортирани във файлов формат CSV.
Тип регистър | Число, означено като "Тип регистър" в CSV файла | Описание |
Регистър на "Потребителско удостоверяване" | 4098 | Този регистър съдържа информация, отнасяща се до състоянието на удостоверяване на потребителското удостоверяване (вписване/излизане и успешно/неуспешно потребителско удостоверяване), регистрирането/промяната/изтриването на потребителска информация, управлявана с потребителско удостоверяване. |
Регистър на задачите | 1001 | Този регистър съдържа информация, свързана със завършването на задачите за печат. |
Регистър на получени | 8193 | Този регистър съдържа информация, свързана с получаване. |
Регистър на управление на машината | 8198 | Този регистър съдържа информация, свързана със стартирането/изключването на машината и с промените, направени в настройките с помощта на <Задав.>. Регистърът на управление на машината записва също промените в данните за потребителя или в настройките, свързани със защитата, когато машината се преглежда или ремонтира от вашия търговец или сервизен представител. |
Регистър на удостоверяване на мрежата | 8200 | Този регистър се записва при неуспех на IPSec комуникацията. |
Регистър на "Експортиране/импортиране на всички" | 8202 | Този регистър съдържа информация, свързана с импортирането/експортирането на настройките с помощта на функцията "Експортиране/импортиране на всички". |
Регистър на операциите на екрана "Управление на приложенията/софтуера" | 3101 | Това е дневник за работа за регистриране/актуализации на софтуера и инсталатори на MEAP приложения и т.н. |
Регистър на правилата за защита | 8204 | Този регистър съдържа информация, свързана с състоянието на настройките на правилата за защита. |
Регистър на системната поддръжка | 8206 | Този регистър съдържа информация, свързана с актуализациите на фърмуера и архивирането/възстановяването на MEAP приложението и т.н. |
Регистър на удостовереното отпечатване | 8207 | Този регистър съдържа информацията и хронологията на операциите, свързани със заданията за принудително задържане на печата. |
Регистър за управление на одитния регистър | 3001 | Този регистър съдържа информация, свързана със стартирането и спирането на тази функция (функцията "Управление на одитния регистър"), както и с експортирането на регистрите и т.н. |
|
Регистрите могат да съдържат до 40 000 записа. Когато броят на записите надхвърля 40 000, те се изтриват, започвайки от най-старите записи. |
Импортиране/експортиране на данни за настройки
Вижте Настройки/регистриране.
Поддръжка на SCEP сървър
Поддържа се само Network Device Enrollment Service (NDES) на Windows Server 2008 R2/2012 R2/2016.