פונקציות ניהול
מידע הרשום באימות משתמשים
ניתן לרשום עד 5,001 משתמשים.
מזהי מחלקת רישום
ניתן לרשום עד 1,000 מזהי מחלקה.
פונקציות אימות
כאשר שרת Active Directory מוגדר כשרת אימות, נדרשת סביבת המערכת הבאה.
|
תוכנה (מערכת הפעלה):
|
Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1
/שרת Windows 2025*1*2
|
|
*1 משתמשים לא יוכלו להיכנס למערכת באמצעות אימות Active Directory אם מופעל Kerberos Armoring עבור רכיבי מדיניות KDCrelated (רכיבי מדיניות קבוצתית). הקפד להשבית את Kerberos Armoring.
*2 במערכת ההפעלה Windows Server 2025 או גרסה מתקדמת יותר, תקשורת LDAP/LDAPS אינה אפשרית עם הגדרות ברירת המחדל של Windows Server. התקן אישור שרת בשרת Windows ותקשר באמצעות LDAPS (TLS).
|
|
להלן שיטות הצפנת Kerberos עבור אימות Active Directory הנתמכות על ידי הגרסה הנוכחית של אימות משתמשים.
|
שיטת הצפנה
|
AES (תקן הצפנה מתקדם) 128 סיביות
AES (תקן הצפנה מתקדם) 256 סיביות
DES (תקן הצפנת נתונים)
RC4
|
|
|
|
שיטות ההצפנה הזמינות עשויות להשתנות, כתלות בהגדרות Active Directory.
מבין שיטות ההצפנה הזמינות, השיטה עם עוצמת ההצפנה הגבוה ביותר תיבחר אוטומטית.
|
בעת ציון שרת Active Directory כשרת אימות, השתמש ביציאות הבאות*1 בשרת.
|
לתקשורת עם שרת DNS:
|
מספר יציאה 53
|
|
לתקשורת עם KDC (מרכז הפצת מפתחות)
|
מספר יציאה 88
|
|
לתקשורת עם שרת עבור שירות מדריך כתובות LDAP (ניתן לשנות למספר יציאה שרירותי עבור שירות ה-LDAP):
|
מספר יציאה 389
|
|
*1 מספרי היציאה לעיל הם ערכי ברירת המחדל. מספרים אלו עשויים להשתנות כתלות בהגדרות שנבחרו.
|
|
כשמציינים שרת LDAP כשרת אימות, נדרשת סביבת המערכת הבאה.
|
תוכנה:
|
OpenLDAP
|
|
מערכת הפעלה:
|
הדרישות הם בהתאם למפרט המוצר של שרת ה-LDAP.
|
בעת ציון שרת LDAP כשרת אימות, השתמש ביציאות הבאות*1 בשרת.
|
כדי לתקשר עם שרת ה-LDAP באמצעות LDAP (כאשר מופעל TLS):
|
מספר יציאה 636
|
|
לתקשורת עם שרת ה-LDAP באמצעות LDAP (כאשר מושבת TLS):
|
מספר יציאה 389
|
|
*1 מספרי היציאות עשויים להשתנות בהתאם להגדרות שרת ה-LDAP.
|
|
הגדרות חומת אש
בעת ציון כתובות IP בהגדרות חומת אש, ניתן להגדיר עד 16 כתובות IP (או טווחים של כתובות IP) עבור IPv4 ו-IPv6.IP.
בעת ציון כתובות MAC בהגדרות חומת האש, ניתן להגדיר עד 100 כתובות MAC.
הכתובות יוצאות הדופן ומספרי היציאות יוצאי הדופן שבהם ניתן להשתמש לצורך תקשורת באמצעות הקו המשני והרשומים כברירת מחדל מצוינים להלן.
|
כתובות יוצאות דופן:
|
מ-0.0.0.1 עד 255.255.255.255
|
|
מספרי יציאות יוצאי דופן:
|
53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545
|
|
* מסנן נכנס בלבד
|
|
רישום מפתחות ואישורים
אם תתקין מפתח או אישור CA ממחשב, ודא שהם עומדים בדרישות להלן:
|
תבנית
|
מפתח: PKCS#12*1*2
אישור CA: פורמט X.509 DER / פורמט PEM
|
|
סיומת קובץ
|
מפתח: ".p12" או ".pfx"
אישור CA: ".cer" או ".pem"
|
|
אלגוריתם מפתחות ציבוריים
(ואורך מפתח) |
RSA (512 סיביות, 1024 סיביות, 2048 סיביות, 4096 סיביות)
DSA (1024 סיביות, 2048 סיביות, 3072 סיביות)*1
ECDSA (P256, P384, P521)
|
|
אלגוריתם חתימת אישור
|
RSA: SHA-1*1, SHA-256, SHA-384*3, SHA-512*3, MD2*1, MD5*1
DSA: SHA-1*1
ECDSA: SHA-1*1, SHA-256, SHA-384, SHA-512
|
|
אלגוריתם טביעת אצבע של אישור
|
SHA-1
|
|
*1 זמינים רק כאשר הם מותקנים באמצעות Remote UI (ממשק משתמש מרוחק).
*2 הדרישות לתעודה הכלולה במפתח הן בהתאם לתעודות CA.
*3 SHA384-RSA ו-SHA512-RSA זמינים רק כשאורך מפתח ה-RSA הוא 1024 סיביות או יותר.
|
|
רישום של רשימות ביטול אישורים (CRL)
ניתן לרשום עד 50 רשימות ביטול אישורים (CRL). עם זאת, שים לב כי לא ניתן לרשום CRL במקרים הבאים.
גודל הנתונים של ה-CRL עולה על 1MB.
נעשה שימוש באלגוריתם חתימה שאינו נתמך.
מספר האישורים המבוטלים הרשומים ב-CRL אחד חורג מ-10,000.
ההגדרה של "הצפנה חלשה"
כאשר האפשרות <Prohibit Use of Weak Encryption> נבחרה, השימוש באלגוריתמים הבאים אסור.
|
Hash:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
מערכת הצפנת מפתחות משותפת:
|
RC2, RC4, DES
|
|
מערכת הצפנת מפתחות ציבורית:
|
הצפנת RSA (512 סיביות/1024 סיביות), חתימת RSA (512 סיביות/1024 סיביות), DSA (512 סיביות/1024 סיביות), DH (512 סיביות/1024 סיביות)
|
|
|
|
גם כאשר האפשרות <Prohibit Use of Key/Certificate with Weak Encryption> נבחרה, ניתן להשתמש באלגוריתם ה-Hash של SHA-1, המשמש לחתימה על אישור בסיס.
|
אלגוריתם סטנדרטי של FIPS 140
כאשר האפשרות <פירמוט שיטת הצפנה ל-140 FIPS> נבחרה, אסור להשתמש באלגוריתמים הבאים.
|
Hash:
|
MD4, MD5, SHA-1 (לאף מטרה למעט TLS)
|
|
מערכת הצפנת מפתחות משותפת:
|
RC2, RC4, DES, PBE
|
|
מערכת הצפנת מפתחות ציבורית:
|
הצפנת RSA (512 בתים/1024 בתים), חתימת RSA (512 בתים/1024 בתים), חתימת DSA (512 בתים/1024 בתים), DH (512 בתים/1024 בתים)
|
ניהול יומנים
ניתן לנהל את סוגי היומנים הבאים במכשיר. ניתן לייצא יומנים שנאספו בתבנית קובץ CSV.
|
סוג יומן
|
מספר המצוין כ"סוג יומן" בקובץ CSV
|
תיאור
|
|
יומן
אימות משתמשים |
4098
|
יומן זה כולל מידע הנוגע לסטטוס האימות של אימות המשתמשים (כניסות/יציאות מהמערכת והצלחה/כישלון של אימות המשתמשים), רישום/שינוי/מחיקה של פרטי משתמשים המנוהלים באמצעות אימות משתמשים.
|
|
יומן משימות
|
1001
|
יומן זה כולל מידע הנוגע להשלמת משימות הדפסה.
|
|
יומן קבלה
|
8193
|
יומן זה כולל מידע הקשור לקליטה.
|
|
יומן ניהול המכשיר
|
8198
|
יומן זה כולל מידע הנוגע להפעלה/כיבוי של המכשיר ולשינויים שנעשו בהגדרות באמצעות <הגדרה>. יומן ניהול המכשיר מתעד גם שינויים בפרטי המשתמשים או בהגדרות הנוגעות לאבטחה כאשר המשווק או נציג השירות בודקים את המכשיר או מתקנים אותו.
|
|
יומן אימות רשת
|
8200
|
יומן זה נרשם כאשר תקשורת IPSec נכשלת.
|
|
יומן יצא/יבא הכול
|
8202
|
יומן זה כולל מידע הנוגע ליבוא/יצוא של ההגדרות באמצעות הפונקציה יצא הכול/יבא הכול.
|
|
יומן פעולות מסך של ניהול יישומים/תוכנה
|
3101
|
זהו יומן פעולות לרישום/עדכוני תוכנה, וכן MEAP מתקיני יישומים וכו'.
|
|
יומן מדיניות אבטחה
|
8204
|
יומן זה כולל מידע הנוגע לסטטוס ההגדרה של הגדרות מדיניות האבטחה.
|
|
יומן תחזוקת מערכת
|
8206
|
יומן זה מכיל מידע הקשור לעדכוני קושחה וגיבוי/שחזור של MEAP יישום, וכו'.
|
|
יומן אימות הדפסה
|
8207
|
יומן זה כולל מידע ואת היסטוריית הפעולות הנוגעים למשימות אילוץ הדפסה שמורה.
|
|
יומן עבור ניהול יומני בקרה
|
3001
|
יומן זה כולל מידע הנוגע להפעלה ולסיום של פונקציה זו (הפונקציה 'ניהול יומני בקרה'), וכן בנוגע לייצוא יומנים וכדומה.
|
|
|
|
היומנים יכולים להכיל עד 40,000 רשומות. כאשר מספר הרשומות חורג מ-40,000 הן נמחקות, כאשר הרשומה הישנה ביותר נמחקת ראשונה.
|
ייבוא/ייצוא של נתוני הגדרות
ראה הגדרות/רישום.
תמיכה בשרת SCEP
רק שירות רישום התקני רשת (NDES) של Windows Server 2012 R2/2016/2019/2022/2025 נתמך.