Fungsi Pengurusan
Maklumat Didaftarkan dalam Pengesahan Pengguna
Sehingga 5,001 pengguna boleh didaftarkan.
Mendaftarkan ID Jabatan
Sehingga 1,000 ID Jabatan boleh didaftarkan.
Fungsi Pengesahan
Apabila pelayan Direktori Aktif ditentukan sebagai pelayan pengesahan, persekitaran sistem berikut adalah diperlukan.
Perisian (sistem operasi): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 Pengguna tidak boleh log masuk dengan pengesahan Direktori Aktif jika Kerberos Armoring didayakan untuk dasar yang berkaitan dengan KDC (dasar kumpulan). Pastikan untuk melumpuhkan Kerberos Armoring. | |
Kaedah penyulitan Kerberos untuk pengesahan Direktori Aktif yang disokong oleh versi Pengesahan Pengguna semasa adalah seperti berikut.
Kaedah penyulitan | 128-bit AES (Standard Penyulitan Lanjutan) 256-bit AES (Standard Penyulitan Lanjutan) DES (Standard Penyulitan Data) RC4 |
|
Kaedah penyulitan yang tersedia mungkin berbeza, bergantung pada tetapan Direktori Aktif. Daripada kaedah penyulitan yang tersedia, kaedah dengan kekuatan sifer tertinggi dipilih secara automatik. |
Apabila menentukan pelayan Direktori Aktif sebagai pelayan pengesahan, gunakan port berikut*1 pada pelayan.
Untuk berkomunikasi dengan pelayan DNS: | nombor port 53 |
Untuk berkomunikasi dengan KDC (Pusat Pengagihan Utama): | nombor port 88 |
Untuk berkomunikasi dengan pelayan bagi perkhidmatan direktori LDAP (boleh diubah kepada nombor port rawak untuk perkhidmatan LDAP): | nombor port 389 |
*1 Nombor port di atas ialah nilai lalai. Nombor ini mungkin berbeza bergantung pada tetapan yang dipilih. | |
Apabila menentukan pelayan LDAP sebagai pelayan pengesahan, persekitaran sistem berikut adalah diperlukan.
Perisian: | LDAP Terbuka |
Sistem operasi: | Keperluan adalah mengikut spesifikasi produk pelayan LDAP. |
Apabila menentukan pelayan LDAP sebagai pelayan pengesahan, gunakan port berikut*1 pada pelayan.
Untuk berkomunikasi dengan pelayan LDAP dengan menggunakan LDAP (apabila TLS diaktifkan): | nombor port 636 |
Untuk berkomunikasi dengan pelayan LDAP dengan menggunakan LDAP (apabila TLS dinyahaktifkan): | nombor port 389 |
*1 Nombor port boleh diubah mengikut tetapan pelayan LDAP. | |
Tetapan Firewall
Apabila menentukan alamat IP dalam tetapan tembok api, sehingga 16 alamat IP (atau julat alamat IP) boleh ditentukan untuk kedua-duanya, iaitu IPv4 dan IPv6.
Apabila menentukan alamat MAC dalam tetapan tembok api, sehingga 100 alamat MAC boleh ditentukan.
Alamat pengecualian dan nombor port pengecualian yang boleh digunakan untuk komunikasi dengan menggunakan subtalian dan didaftarkan secara lalai seperti yang ditunjukkan di bawah.
Alamat pengecualian: | 0.0.0.1 hingga 255.255.255.255 |
Nombor port pengecualian: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Penapis masuk sahaja | |
Pendaftaran Kekunci dan Sijil
Jika anda memasang kekunci atau sijil CA daripada komputer, pastikan bahawa ia memenuhi keperluan berikut:
Format | Kekunci: PKCS#12*1 Sijil CA: X.509 DER/PEM |
Sambungan fail | Kekunci: “.p12” atau “.pfx” Sijil CA: “.cer” atau “.pem” |
Algoritma kekunci awam (panjang kekunci) | RSA (512 bit, 1024 bit, 2048 bit, 4096 bit) DSA (1024 bit, 2048 bit, 3072 bit)*3 ECDSA (P256, P384, P521) |
Algoritma tandatangan sijil | RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3 DSA: SHA-1*3 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512 |
Algoritma cap ibu jari sijil | SHA-1 |
*1 Keperluan untuk sijil yang terkandung di dalam kekunci adalah menurut sijil CA. *2 SHA384-RSA dan SHA512-RSA hanya tersedia apabila panjang kekunci RSA ialah 1024 bit atau lebih. *3 Hanya tersedia apabila dipasang dengan menggunakan UI Kawalan Jauh. | |
Pendaftaran Senarai Pembatalan Perakuan (CRL)
Sehingga 50 senarai pembatalan perakuan (CRL) boleh didaftarkan. Ambil perhatian, walau bagaimanapun, CRL tersebut tidak boleh didaftarkan dalam kes berikut.
Saiz data CRL melebihi 1 MB.
Algoritma tandatangan yang tidak disokong sedang digunakan.
Bilangan sijil yang dibatalkan, didaftarkan dalam satu fail CRL melebihi 10,000.
Definisi bagi "Penyulitan Lemah"
Apabila [Prohibit Use of Weak Encryption] dipilih, penggunaan algoritma berikut adalah dilarang.
Hash: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Kriptosistem kekunci biasa: | RC2, RC4, DES |
Kriptosistem kekunci umum: | Penyulitan RSA (512 bits/1024 bits), tandatangan RSA (512 bits/1024 bits), DSA (512 bits/1024 bits), DH (512 bits/1024 bits) |
|
Walaupun apabila [Prohibit Use of Key/Certificate with Weak Encryption] dipilih, SHA-1 algoritma hash, yang digunakan untuk menandatangani sijil asal, boleh digunakan. |
Algoritma Standard FIPS 140-2
Apabila [Format Encryption Method to FIPS 140-2] dipilih, algoritma berikut dilarang digunakan.
Hash: | MD4, MD5, SHA-1 (untuk tujuan selain TLS) |
Kriptosistem kekunci biasa: | RC2, RC4, DES, PBE |
Kriptosistem kekunci umum: | Penyulitan RSA (512 bit/1024 bit), tandatangan RSA (512 bit/1024 bit), tandatangan DSA (512 bit/1024 bit), DH (512 bit/1024 bit) |
Pengurusan Log
Jenis log berikut boleh diuruskan pada mesin. Log yang dikumpulkan boleh dieksport dalam format fail CSV.
Jenis Log | Nombor yang ditunjukkan sebagai “Jenis Log” dalam Fail CSV | Penerangan |
Log Pengesahan Pengguna | 4098 | Log ini mengandungi maklumat berkaitan dengan status pengesahan pengguna (log masuk/log keluar dan kejayaan/kegagalan pengesahan pengguna), mendaftar/mengubah/memadam maklumat pengguna yang diuruskan dengan Pengesahan Pengguna. |
Log Kerja | 1001 | Log ini mengandungi maklumat berkaitan dengan penyempurnaan kerja cetakan. |
Log penerimaan | 8193 | Log ini mengandungi maklumat berkaitan dengan penerimaan. |
Log Pengurusan Mesin | 8198 | Log ini mengandungi maklumat berkaitan dengan menghidupkan/mematikan mesin dan perubahan yang dibuat kepada tetapan dengan menggunakan <Tetapkan>. Log Pengurusan Mesin juga mencatatkan perubahan dalam maklumat pengguna atau tetapan berkaitan keselamatan apabila mesin diperiksa atau diperbaiki oleh wakil penjual atau wakil servis anda. |
Log Pengesahan Rangkaian | 8200 | Log ini dicatatkan apabila komunikasi IPSec gagal. |
Semua Log Eksport/Import | 8202 | Log ini mengandungi maklumat berkaitan dengan pengimportan/pengeksportan tetapan dengan menggunakan fungsi Semua Eksport/Semua Import. |
Log Operasi Skrin Pengurusan Aplikasi/Perisian | 3101 | Ini ialah log operasi untuk pendaftaran/kemas kini perisian, dan pemasang aplikasi AddOn, dll. |
Log Dasar Keselamatan | 8204 | Log ini mengandungi maklumat berkaitan dengan status penetapan tetapan dasar keselamatan. |
Log Penyelenggaraan Sistem | 8206 | Log ini mengandungi maklumat yang berkaitan dengan kemas kini perisian tegar dan sandaran/pemulihan aplikasi AddOn, dll. |
Log Cetakan Pengesahan | 8207 | Log ini mengandungi maklumat dan sejarah operasi yang berkaitan dengan kerja cetakan yang ditangguhkan. |
Log untuk Pengurusan Log Audit | 3001 | Log ini mengandungi maklumat yang berkaitan dengan permulaan dan pengakhiran fungsi ini (fungsi Pengurusan Log Audit), serta pengeksportan log dan sebagainya. |
|
Log boleh mengandungi sehingga 40,000 rekod. Apabila bilangan rekod melebihi 40,000, ia akan dipadamkan, dengan rekod paling lama akan dipadamkan terlebih dahulu. |
Import/Eksport Penetapan Data
Lihat Tetapan/Pendaftaran.
Sokongan Pelayan SCEP
Hanya Perkhidmatan Pendaftaran Peranti Rangkaian (NDES) Windows Server 2008 R2/2012 R2/2016 disokong.