管理功能
用户认证中注册的信息
最多可以注册 5,001 位用户。
注册部门识别码
最多可以注册 1,000 个部门识别码。
身份认证功能
如果指定某动态目录服务器作为认证服务器,需要下列系统环境。
软件(操作系统): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 如果 KDC 相关策略(组策略)启用了 Kerberos 防护,用户将不能通过 Active Directory 认证登录。务必禁用 Kerberos 防护。 | |
当前版本用户认证支持的 Active Directory 认证的 Kerberos 加密方法如下。
加密方法 | 128 位 AES(高级加密标准) 256 位 AES(高级加密标准) DES(数据加密标准) RC4 |
|
可用的加密方法可能有所不同,具体取决于 Active Directory 设置。 系统会在可用的加密方法中,自动选择密码强度最高的方法。 |
指定 Active Directory 服务器作为认证服务器时,请使用服务器上的以下端口*1。
与 DNS 服务器通信: | 53 端口 |
与 KDC(密钥分发中心)通信: | 88 端口 |
与 LDAP Directory 服务的服务器通信(可以更改为 LDAP 服务的任意端口号): | 389 端口 |
*1 以上端口号为默认值。这些编号可能会根据所选设置而有所不同。 | |
指定 LDAP 服务器作为认证服务器时,需要以下系统环境。
软件: | OpenLDAP |
操作系统: | 要求以 LDAP 服务器的产品规格为准。 |
指定 LDAP 服务器作为认证服务器时,请使用服务器上的以下端口*1。
使用 LDAP 与 LDAP 服务器通信(启用 TLS 时): | 636 端口 |
使用 LDAP 与 LDAP 服务器通信(禁用 TLS 时): | 389 端口 |
*1 端口号可根据 LDAP 服务器设置进行更改。 | |
防火墙设置
在防火墙设置中指定IP地址,最多可以分别指定16个IPv4 与 IPv6 IP地址(或IP地址范围)。
在防火墙设置中指定MAC地址,最多可以指定100个MAC地址。
可用于子线路通信以及默认注册的例外地址和例外端口号如下所示。
例外地址: | 0.0.0.1到255.255.255.255 |
例外端口号: | 53,67,68,80,161,443,515*,631*,3702,5353,5357,5358,8000*,8080,8443*,9013,9100*,10443*,20010*,47545 |
* 仅入站筛选器 | |
密钥与证书注册
如果从计算机安装密钥或CA证书,请确保其符合以下要求:
格式 | 密钥:PKCS#12*1 CA证书:X.509 DER/PEM |
文件扩展名 | 密钥:“.p12”或“.pfx” CA证书::“.cer”或“.pem” |
公钥加密算法 (及密钥长度) | RSA(512 位、1024 位、2048 位、4096 位) DSA(1024 位、2048 位、3072 位)*3 ECDSA (P256、P384、P521) |
证书签名算法 | RSA:SHA-1*3、SHA-256、SHA-384*2、SHA-512*2、MD2*3、MD5*3 DSA:SHA-1*3 ECDSA:SHA-1*3、SHA-256、SHA-384、SHA-512 |
证书指纹算法 | SHA-1 |
*1 对于密钥中所包含证书的要求依照CA证书。 *2 仅在RSA密钥长度在1,024 位或以上时,SHA384-RSA 和 SHA512-RSA 才可用。 *3 仅在使用远程用户界面安装时可用。 | |
证书吊销列表(CRL)注册
最多可以注册50个证书吊销列表(CRL)。注意,在下列情况中不能注册CRL。
CRL的数据大小超过1 MB。
使用了不支持的签名算法。
单一 CRL 中所注册的吊销证书数量超过 10,000。
“弱加密”定义
在选择了[禁止使用弱加密]时,禁止使用下列算法。
哈希: | MD4,MD5,SHA-1 |
HMAC: | HMAC-MD5 |
通用密钥密码系统: | RC2,RC4,DES |
公用密钥密码系统: | RSA 加密(512 位/1024 位),RSA 签名(512 位/1024 位),DSA(512 位/1024 位),DH(512 位/1024 位) |
|
即使在选择了[禁止使用弱加密的密钥/证书]时,也可以使用哈希算法SHA-1签署根证书。 |
FIPS 140-2标准算法
在选择了[以FIPS 140-2作为加密方法的格式]时,禁止使用下列算法。
哈希: | MD4,MD5,SHA-1(用于TLS以外的用途) |
通用密钥密码系统: | RC2、RC4、DES、PBE |
公用密钥密码系统: | RSA 加密(512 位/1024 位),RSA 签名(512 位/1024 位),DSA签名(512 位/1024 位),DH(512 位/1024 位) |
日志管理
可以在本机上管理以下日志类型。收集能够以CSV文件格式导入的日志。
日志类型 | CSV文件中指示"日志类型"的数字 | 说明 |
用户认证 日志 | 4098 | 此日志包含与用户认证(登录/注销和用户认证成功/失败)的认证状态以及通过用户认证管理的用户信息注册/更改/删除相关的信息。 |
作业日志 | 1001 | 该日志包含与打印作业的完成相关的信息。 |
接收日志 | 8193 | 该日志包含与接收相关的信息。 |
本机管理日志 | 8198 | 此日志包含与本机启动/关闭和使用 <设置> 进行设置更改有关的信息。经销商或维修代表在检查或维修本机时,本机管理日志也会记录用户信息或安全相关设置的更改。 |
网络认证日志 | 8200 | IPSec 通信失败时记录此日志。 |
导出/导入所有日志 | 8202 | 此日志包含与使用“导出全部/导入全部”功能导入/导出设置有关的信息。 |
应用程序/软件管理屏幕操作日志 | 3101 | 这是软件注册/更新,以及 AddOn 应用程序安装程序等的操作日志。 |
安全策略日志 | 8204 | 此日志包含与安全策略设置的设置状态有关的信息。 |
系统维护日志 | 8206 | 此日志包含与 AddOn 等应用程序的固件更新和备份/恢复有关的信息。 |
认证打印日志 | 8207 | 此日志包含与强制存留打印作业有关的信息和操作历史记录。 |
审计日志管理日志 | 3001 | 此日志包含与此功能(审计日志管理功能)的启动和结束,以及日志导出等有关的信息。 |
|
日志可以保护最多40,000条记录。当记录超过40,000条时,将删除多余部分,从保存时间最长的记录开始。 |
设置数据的导入/导出
请参阅设置/注册。
SCEP服务器支持
仅支持Windows Server 2008 R2/2012 R2/2016的网络设备注册服务(NDES)。