Funkcje zarządzania

Informacje zarejestrowane w funkcji Uwierzytelnianie użytkownika

Można zarejestrować maksymalnie 5 001 użytkowników.

Rejestrowanie identyfikatorów wydziału

Można zapisać maksymalnie do 1 000 identyfikatorów wydziału.

Funkcje uwierzytelniania

Jeśli jako serwer uwierzytelniania określony jest serwer Active Directory, wymagane jest następujące środowisko systemowe.

Oprogramowanie (system operacyjny):	Windows Server 20161/Windows Server 20191/Windows Server 2022*1
*1 Użytkownicy nie mogą zalogować się za pomocą uwierzytelniania Active Directory, jeśli dla zasad związanych z KDC (zasady grupy) jest włączony protokół ochrony Kerberos. Koniecznie należy wyłączyć protokół ochrony Kerberos.

Poniżej wymieniono metody szyfrowania Kerberos używane do uwierzytelniania usługi Active Directory obsługiwane przez bieżącą wersję funkcji Uwierzytelnianie użytkownika.

Metoda szyfrowania

128-bitowe uwierzytelnienie AES (Zaawansowany standard szyfrowania, ang. Advanced Encryption Standard)

256-bitowe uwierzytelnienie AES (Zaawansowany standard szyfrowania, ang. Advanced Encryption Standard)

DES (Data Encryption Standard)

RC4


Dostępne metody szyfrowania mogą różnić się zależnie od ustawień usługi Active Directory. Z dostępnych metod szyfrowania automatycznie wybierana jest ta oferująca najwyższą siłę szyfrowania.

W przypadku skonfigurowania serwera Active Directory jako serwera uwierzytelniania należy użyć następujących portów*1 na serwerze.

Do komunikacji z serwerem DNS:	numer portu 53
Do komunikacji z KDC (Key Distribution Center):	numer portu 88
Do komunikacji z serwerem dla usługi katalogowej LDAP (można zmienić na dowolny numer portu dla usługi LDAP):	numer portu 389
*1 Powyższe numery portów są wartościami domyślnymi. Numery te mogą różnić się w zależności od wybranych ustawień.

W przypadku określania jako serwer uwierzytelniania serwera LDAP wymagane jest następujące środowisko systemowe.

Oprogramowanie:	OpenLDAP
System operacyjny:	Wymagania są zgodne ze specyfikacjami produktowymi serwera LDAP.

W przypadku określania jako serwer uwierzytelniania serwera LDAP należy użyć następujących portów*1 na serwerze.

Do komunikacji z serwerem LDAP przy użyciu protokołu LDAP (po włączeniu TLS):	numer portu 636
Do komunikacji z serwerem LDAP przy użyciu protokołu LDAP (po wyłączeniu TLS):	numer portu 389
*1 Numery portów można zmienić zgodnie z ustawieniami serwera LDAP.

Ustawienia Zapory Ogniowej

Podczas określania adresów IP w ustawieniach zapory można zdefiniować maksymalnie 16 adresów IP (lub zakresów adresów IP) zarówno dla IPv4, jak i IPv6.

Podczas określania adresów MAC w ustawieniach zapory ogniowej można określić maksymalnie 100 adresów MAC.

Wyjątki dotyczące adresów i numerów portów, które mogą być używane do komunikacji z wykorzystaniem linii podrzędnej i są domyślnie zarejestrowane poniżej.

Adresy wyjątków:	0.0.0.1 do 255.255.255.255
Numery portów wyjątków:	53, 67, 68, 80, 161, 443, 515, 631, 3702, 5353, 5357, 5358, 8000, 8080, 8443, 9013, 9100, 10443, 20010*, 47545
* Wyłącznie filtr ruchu przych.

Rejestracja kluczy i certyfikatów

Instalując klucz lub certyfikat CA z komputera, należy dopilnować, aby instalowane elementy spełniały następujące wymagania:

Format	Klucz: PKCS#12*1 Certyfikat CA: X.509 DER/PEM
Rozszerzenie pliku	Klucz: „.p12” lub „.pfx” Certyfikat CA: „.cer” lub „.pem”
Algorytm klucza publicznego (i długość klucza)	RSA (512 bitów, 1024 bity, 2048 bitów, 4096 bitów) DSA (1024 bity / 2048 bitów / 3072 bity)*3 ECDSA (P256, P384, P521)
Algorytm podpisu certyfikatu	RSA: SHA-13, SHA-256, SHA-3842, SHA-5122, MD23, MD53 DSA: SHA-13 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512
Algorytm odcisku palca certyfikatu	SHA-1
1 Wymagania dla certyfikatu zawartego w kluczu są zgodne z certyfikatami CA. 2 Algorytmy SHA384-RSA i SHA512-RSA są dostępne tylko w przypadku, gdy długość klucza RSA wynosi co najmniej 1024 bity. *3 Dostępne tylko w przypadku zainstalowania za pomocą Remote UI (Zdalny interfejs użytkownika).

Rejestracja list unieważnionych certyfikatów (CRL)

Można zarejestrować maksymalnie 50 list unieważnionych certyfikatów (CRL). Należy jednak pamiętać, że nie można zarejestrować listy CRL w poniższych przypadkach.

Rozmiar danych listy CRL przekracza 1 MB.

Używany jest nieobsługiwany algorytm podpisu.

Liczba unieważnionych certyfikatów zarejestrowanych w jednym pliku CRL przekracza 10 000.

Definicja terminu „Słabe szyfrowanie”

Jeśli wybrano opcję [Zabroń używania słabego szyfrowania], korzystanie z poniższych algorytmów jest zabronione.

Hashowanie:	MD4, MD5, SHA-1
HMAC:	HMAC-MD5
Kryptosystem klucza wspólnego:	RC2, RC4, DES
Kryptosystem klucza publicznego:	Szyfrowanie RSA (512 bitów/1024 bity), podpis RSA (512 bitów/1024 bity), DSA (512 bitów/1024 bity), DH (512 bitów/1024 bity)


Nawet gdy wybrano opcję [Zabroń używania klucza/certyfikatu ze słabym szyfro.], możliwe jest użycie algorytmu skrótu SHA-1, który jest używany do podpisywania certyfikatu głównego.

Standardowy algorytm FIPS 140-2

Jeśli wybrano opcję [Format. Metody Szyfrowania na FIPS 140-2], użycie następujących algorytmów jest zabronione.

Hashowanie:	MD4, MD5, SHA-1 (na inne potrzeby niż szyfrowanie TLS)
Kryptosystem klucza wspólnego:	RC2, RC4, DES, PBE
Kryptosystem klucza publicznego:	Szyfrowanie RSA (512 bitów/1024 bity), podpis RSA (512 bitów/1024 bity), podpis DSA (512 bitów/1024 bity), DH (512 bitów/1024 bity)

Zarządzanie rejestrami

Poniżej przedstawiono typy rejestrów, którymi można zarządzać w urządzeniu. Zebrane rejestry można wyeksportować w formacie pliku CSV.

Typ rejestru	Numer oznaczający „Typ rejestru” w pliku CSV	Opis
Rejestr uwierzytelniania użytkownika	4098	Ten rejestr zawiera informacje związane ze statusem uwierzytelniania użytkownika (zalogowanie/wylogowanie oraz udane/nieudane uwierzytelnienie użytkownika), rejestrowaniem/zmianą/usuwaniem informacji o użytkowniku zarządzanych za pomocą uwierzytelniania użytkownika.
Rejestr zadań	1001	Ten rejestr zawiera informacje związane z zakończeniem zadań drukowania.
Rejestr odbioru	8193	Ten rejestr zawiera informacje związane z odbiorem.
Rejestr zarządzania urządzeniem	8198	Ten rejestr zawiera informacje związane z włączaniem/wyłączaniem urządzenia oraz zmianami wprowadzonymi w ustawieniach za pomocą opcji <Ustaw>. W rejestrze zarządzania urządzeniem są również zapisywane zmiany w informacjach o użytkowniku lub ustawieniach związanych z bezpieczeństwem podczas kontroli urządzenia lub jego naprawy przez sprzedawcę lub przedstawiciela serwisu.
Rejestr uwierzytelniania sieci	8200	Ten rejestr jest zapisywany w przypadku nieudanej komunikacji IPSec.
Rejestr eksportowania/importowania wszystkiego	8202	Ten rejestr zawiera informacje związane z importowaniem/eksportowaniem ustawień za pomocą funkcji Eksportuj wszystko/Importuj wszystko.
Rejestr operacji na ekranie zarządzania aplikacjami/oprogramowaniem	3101	Jest to rejestr operacji dla rejestracji/aktualizacji oprogramowania oraz instalatorów aplikacji AddOn itp.
Rejestr zasad bezpieczeństwa	8204	Ten rejestr zawiera informacje związane ze statusem ustawień zasad bezpieczeństwa.
Rejestr konserwacji systemu	8206	Ten rejestr zawiera informacje związane z aktualizacjami oprogramowania sprzętowego i tworzeniem kopii zapasowych/przywracaniem aplikacji AddOn itp.
Rejestr druku uwierzytelniania	8207	Ten rejestr zawiera informacje i historię operacji związanych z wymuszonym wstrzymaniem zadań drukowania.
Rejestr dla Zarządzania audytami rejestru	3001	Ten rejestr zawiera informacje związane z uruchomieniem i zakończeniem tej funkcji (funkcja Zarządzanie audytami rejestrów), a także eksportowaniem rejestrów itp.


Rejestry mogą zawierać do 40 000 rekordów. Kiedy liczba rekordów przekroczy 40 000, są one usuwane, zaczynając od najstarszych rekordów.

Importowanie/Eksportowanie danych ustawień

Patrz Ustawienia/Rejestracja.

Obsługa serwera SCEP

Obsługiwana jest wyłącznie usługa rejestracji urządzeń sieciowych (NDES) dostępna w systemach Windows Server 2008, R2/2012 i R2/2016.