Fungsi Pengurusan

Maklumat Didaftarkan dalam Pengesahan Pengguna

Sehingga 5,001 pengguna boleh didaftarkan.

Mendaftarkan ID Jabatan

Sehingga 1,000 ID Jabatan boleh didaftarkan.

Fungsi Pengesahan

Apabila pelayan Direktori Aktif ditentukan sebagai pelayan pengesahan, persekitaran sistem berikut adalah diperlukan.
Perisian (sistem operasi):
Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1
*1 Pengguna tidak boleh log masuk dengan pengesahan Direktori Aktif jika Kerberos Armoring didayakan untuk dasar yang berkaitan dengan KDC (dasar kumpulan). Pastikan untuk melumpuhkan Kerberos Armoring.
Kaedah penyulitan Kerberos untuk pengesahan Direktori Aktif yang disokong oleh versi Pengesahan Pengguna semasa adalah seperti berikut.
Kaedah penyulitan
128-bit AES (Standard Penyulitan Lanjutan)
256-bit AES (Standard Penyulitan Lanjutan)
DES (Standard Penyulitan Data)
RC4
Kaedah penyulitan yang tersedia mungkin berbeza, bergantung pada tetapan Direktori Aktif.
Daripada kaedah penyulitan yang tersedia, kaedah dengan kekuatan sifer tertinggi dipilih secara automatik.
Apabila menentukan pelayan Direktori Aktif sebagai pelayan pengesahan, gunakan port berikut*1 pada pelayan.
Untuk berkomunikasi dengan pelayan DNS:
nombor port 53
Untuk berkomunikasi dengan KDC (Pusat Pengagihan Utama):
nombor port 88
Untuk berkomunikasi dengan pelayan bagi perkhidmatan direktori LDAP (boleh diubah kepada nombor port rawak untuk perkhidmatan LDAP):
nombor port 389
*1 Nombor port di atas ialah nilai lalai. Nombor ini mungkin berbeza bergantung pada tetapan yang dipilih.
Apabila menentukan pelayan LDAP sebagai pelayan pengesahan, persekitaran sistem berikut adalah diperlukan.
Perisian:
LDAP Terbuka
Sistem operasi:
Keperluan adalah mengikut spesifikasi produk pelayan LDAP.
Apabila menentukan pelayan LDAP sebagai pelayan pengesahan, gunakan port berikut*1 pada pelayan.
Untuk berkomunikasi dengan pelayan LDAP dengan menggunakan LDAP (apabila TLS diaktifkan):
nombor port 636
Untuk berkomunikasi dengan pelayan LDAP dengan menggunakan LDAP (apabila TLS dinyahaktifkan):
nombor port 389
*1 Nombor port boleh diubah mengikut tetapan pelayan LDAP.

Tetapan Firewall

Apabila menentukan alamat IP dalam tetapan tembok api, sehingga 16 alamat IP (atau julat alamat IP) boleh ditentukan untuk kedua-duanya, iaitu IPv4 dan IPv6.
Apabila menentukan alamat MAC dalam tetapan tembok api, sehingga 100 alamat MAC boleh ditentukan.
Alamat pengecualian dan nombor port pengecualian yang boleh digunakan untuk komunikasi dengan menggunakan subtalian dan didaftarkan secara lalai seperti yang ditunjukkan di bawah.
Alamat pengecualian:
0.0.0.1 hingga 255.255.255.255
Nombor port pengecualian:
53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545
* Penapis masuk sahaja

Pendaftaran Kekunci dan Sijil

Jika anda memasang kekunci atau sijil CA daripada komputer, pastikan bahawa ia memenuhi keperluan berikut:
Format
Kekunci: PKCS#12*1
Sijil CA: X.509 DER/PEM
Sambungan fail
Kekunci: “.p12” atau “.pfx”
Sijil CA: “.cer” atau “.pem”
Algoritma kekunci awam
(panjang kekunci)
RSA (512 bit, 1024 bit, 2048 bit, 4096 bit)
DSA (1024 bit, 2048 bit, 3072 bit)
ECDSA (P256, P384, P521)
Algoritma tandatangan sijil
RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5
DSA: SHA-1
ECDSA: SHA-1, SHA-256, SHA-384, SHA-512
Algoritma cap ibu jari sijil
SHA-1
*1 Keperluan untuk sijil yang terkandung di dalam kekunci adalah menurut sijil CA.
*2 SHA384-RSA dan SHA512-RSA hanya tersedia apabila panjang kekunci RSA ialah 1024 bit atau lebih.

Pendaftaran Senarai Pembatalan Perakuan (CRL)

Sehingga 50 senarai pembatalan perakuan (CRL) boleh didaftarkan. Ambil perhatian, walau bagaimanapun, CRL tersebut tidak boleh didaftarkan dalam kes berikut.
Saiz data CRL melebihi 1 MB.
Algoritma tandatangan yang tidak disokong sedang digunakan.
Bilangan sijil yang dibatalkan, didaftarkan dalam satu fail CRL melebihi 10,000.

Definisi bagi "Penyulitan Lemah"

Apabila [Prohibit Use of Weak Encryption] dipilih, penggunaan algoritma berikut adalah dilarang.
Hash:
MD4, MD5, SHA-1
HMAC:
HMAC-MD5
Kriptosistem kekunci biasa:
RC2, RC4, DES
Kriptosistem kekunci umum:
Penyulitan RSA (512 bit/1024 bit), tandatangan RSA (512 bit/1024 bit), tandatangan DSA (512 bit/1024 bit), DH (512 bit/1024 bit)
Walaupun apabila [Prohibit Use of Key/Certificate with Weak Encryption] dipilih, SHA-1 algoritma hash, yang digunakan untuk menandatangani sijil asal, boleh digunakan.

Algoritma Standard FIPS 140-2

Apabila [Format Encryption Method to FIPS 140-2] dipilih, algoritma berikut dilarang digunakan.
Hash:
MD4, MD5, SHA-1 (untuk tujuan selain TLS)
Kriptosistem kekunci biasa:
RC2, RC4, DES, PBE
Kriptosistem kekunci umum:
Penyulitan RSA (512 bit/1024 bit), tandatangan RSA (512 bit/1024 bit), tandatangan DSA (512 bit/1024 bit), DH (512 bit/1024 bit)

Pengurusan Log

Jenis log berikut boleh diuruskan pada mesin. Log yang dikumpulkan boleh dieksport dalam format fail CSV.
Jenis Log
Nombor yang ditunjukkan sebagai “Jenis Log” dalam Fail CSV
Penerangan
Log Pengesahan
Pengguna
4098
Log ini mengandungi maklumat berkaitan dengan status pengesahan pengguna (log masuk/log keluar dan kejayaan/kegagalan pengesahan pengguna), mendaftar/mengubah/memadam maklumat pengguna yang diuruskan dengan Pengesahan Pengguna.
Log Kerja
1001
Log ini mengandungi maklumat berkaitan dengan penyempurnaan kerja cetakan.
Log penerimaan
8193
Log ini mengandungi maklumat berkaitan dengan penerimaan.
Log Pengurusan Mesin
8198
Log ini mengandungi maklumat berkaitan dengan menghidupkan/mematikan mesin dan perubahan yang dibuat kepada tetapan dengan menggunakan <Tetapkan>. Log Pengurusan Mesin juga mencatatkan perubahan dalam maklumat pengguna atau tetapan berkaitan keselamatan apabila mesin diperiksa atau diperbaiki oleh wakil penjual atau wakil servis anda.
Log Pengesahan Rangkaian
8200
Log ini dicatatkan apabila komunikasi IPSec gagal.
Semua Log Eksport/Import
8202
Log ini mengandungi maklumat berkaitan dengan pengimportan/pengeksportan tetapan dengan menggunakan fungsi Semua Eksport/Semua Import.
Log Operasi Skrin Pengurusan Aplikasi/Perisian
3101
Ini ialah log operasi untuk pendaftaran/kemas kini perisian, dan pemasang aplikasi MEAP, dll.
Log Dasar Keselamatan
8204
Log ini mengandungi maklumat berkaitan dengan status penetapan tetapan dasar keselamatan.
Log Penyelenggaraan Sistem
8206
Log ini mengandungi maklumat yang berkaitan dengan kemas kini perisian tegar dan sandaran/pemulihan aplikasi MEAP, dll.
Log Cetakan Pengesahan
8207
Log ini mengandungi maklumat dan sejarah operasi yang berkaitan dengan kerja cetakan yang ditangguhkan.
Log untuk Pengurusan Log Audit
3001
Log ini mengandungi maklumat yang berkaitan dengan permulaan dan pengakhiran fungsi ini (fungsi Pengurusan Log Audit), serta pengeksportan log dan sebagainya.
Log boleh mengandungi sehingga 40,000 rekod. Apabila bilangan rekod melebihi 40,000, ia akan dipadamkan, dengan rekod paling lama akan dipadamkan terlebih dahulu.

Import/Eksport Penetapan Data

Lihat Tetapan/Pendaftaran.

Sokongan Pelayan SCEP

Hanya Perkhidmatan Pendaftaran Peranti Rangkaian (NDES) Windows Server 2016 disokong.
AL90-0C2