MVP propose une communication sécurisée entre le serveur MarkVision et les périphériques réseau qui prennent en charge le même protocole de sécurité. Les administrateurs peuvent configurer, contrôler, extraire des informations et communiquer avec les périphériques sécurisés présents sur le réseau. La communication sécurisée permet de réduire les risques de menace provenant des informations d'authentification utilisateur ou des commandes des périphériques corrompues. La sécurité totale permettant aux périphériques et au serveur de communiquer est déterminée par le niveau de sécurité défini pour le serveur MarkVision conjointement au paramètre de sécurité de communication appliqué au périphérique.
Les tâches liées à la sécurité de la communication sont les suivantes :
Paramètres administrateur : spécifie le niveau de sécurité serveur-périphérique et établit un mot de passe de serveur MarkVision.
Mot de passe de communication : synchronise le mot de passe de communication du périphérique et le mot de passe de serveur pour ouvrir un canal de communication sécurisé.
| Remarque : la communication sécurisée est limitée aux commandes de configuration entre l'ordinateur hôte et le périphérique. |
Verrouillage de l’imprimante : restreint l'accès à l'imprimante.
Remarques :
Les administrateurs de MVP peuvent utiliser le serveur LDAP de l'entreprise pour authentifier les ID et les mots de passe utilisateur. Dès lors, les utilisateurs n'ont plus besoin de gérer des ID et mots de passe de connexion distincts à MVP.
Lors de l'activation de l'authentification via le serveur LDAP, les administrateurs disposent de trois mécanismes d'authentification LDAP. Les mécanismes d'authentification suivants concernent le serveur LDAP dans l'ordre croissant de sécurité :
Liaison LDAP anonyme : permet de s’authentifier via le serveur LDAP sans entrer de mot de passe.
Liaison LDAP simple : permet de s’authentifier via le serveur LDAP en spécifiant les informations d’authentification requises en texte clair ou via un canal crypté (si un certificat SSL est fourni).
Kerberos : permet de s’authentifier via un KDC Kerberos.
Vérifiez que le mot de passe administrateur est défini avant de procéder à la configuration de l'authentification via le serveur LDAP. L'authentification de serveur LDAP est accessible uniquement via le compte administrateur maître. L'authentification LDAP fonctionne pour tous les comptes utilisateur à l'exception du compte administrateur maître. Le compte administrateur maître nécessite un mot de passe MVP unique.
A partir de la liste Toutes les tâches de l'écran d'accueil MarkVision Professional, sélectionnez Comptes utilisateur et groupes d’utilisateurs.
Cliquez sur Ajouter.
Connectez-vous au réseau existant en entrant l'ID utilisateur dans la zone Nom du compte.
| Remarque : cet ID doit correspondre à l'ID utilisateur présent dans la base de données LDAP. |
Ne renseignez pas la zone du mot de passe.
| Remarque : aucun mot de passe n'est requis ou autorisé car LDAP va être utilisé pour l'authentification lors de la connexion de l'utilisateur. |
Cochez la case S’authentifier avec le serveur LDAP/contrôleur de domaine Kerberos (KDC), puis sélectionnez Liaison LDAP simple dans la liste déroulante Mécanisme d’authentification.
Cliquez sur Suivant.
Saisissez les informations pour le serveur LDAP dans les zones de texte Paramètres LDAP :
Adresse du serveur LDAP : saisissez l’adresse IP ou le nom d’hôte du serveur d’annuaire LDAP sur lequel sera réalisée l’authentification.
Numéro de port : saisissez le numéro du port utilisé par l’ordinateur local pour communiquer avec le serveur d’annuaire LDAP. Le numéro de port LDAP par défaut est 389.
Base de recherche : la base de recherche (appelée parfois « nom unique » ou « nu ») correspond au nœud au niveau duquel se trouvent les comptes utilisateur sur le serveur d’annuaire LDAP.
| Remarque : une base de recherche comprend plusieurs attributs, tels que nc (nom commun), uo (unité organisationnelle), o (organisme), p (pays) ou dc (domaine), séparés par une virgule. |
Attributs utilisateur : entrez la valeur nc, ID utilisateur, ou nom défini par l'utilisateur, où nc signifie « nom commun ».
Nom unique : entrez le nom unique du compte LDAP pour le serveur MVP. Exemple : uo (unité organisationnelle) et o (organisme), où o peut être le nom d'une entreprise et uo un certain groupe de salariés de l'entreprise (exemple : ).
Mot de passe et Confirmer le mot de passe : le voyant devient vert lorsque les deux mots de passe sont identiques. Lorsqu'ils sont différents, le voyant reste rouge.
Pour utiliser SSL, cochez la case Utiliser SSL, puis entrez le mot de passe du magasin de certificats dans la zone de texte.
| Remarque : les administrateurs MVP peuvent protéger leur magasin de certificats avec un mot de passe en saisissant ce dernier avant d'importer le premier certificat approuvé. |
Cliquez sur Suivant.
Sélectionnez un certificat dans la liste ou cliquez sur Importer pour en importer un nouveau.
Cliquez sur Terminer.
Autorisez l'accès utilisateur à MVP et entrez l'ID utilisateur et le mot de passe utilisés pour accéder au réseau local de l'entreprise. Le serveur MarkVision accède au service de répertoires du serveur LDAP de l'entreprise et authentifie la connexion de l'utilisateur par une simple association protégée par SSL.
A partir de la liste Toutes les tâches de l'écran d'accueil MarkVision Professional, sélectionnez Comptes utilisateur et groupes d’utilisateurs.
Cliquez sur Ajouter.
Connectez-vous au réseau existant en entrant l'ID utilisateur dans la zone Nom du compte.
| Remarque : cet ID doit correspondre à l'ID utilisateur présent dans la base de données LDAP. |
Ne renseignez pas la zone du mot de passe.
| Remarque : aucun mot de passe n'est requis ou autorisé car LDAP va être utilisé pour l'authentification lors de la connexion de l'utilisateur. |
Cochez la case S’authentifier avec le serveur LDAP/contrôleur de domaine Kerberos (KDC), puis sélectionnez Sécurisé dans la liste déroulante Mécanisme d’authentification.
Cliquez sur Suivant.
Saisissez les informations pour le serveur Kerberos dans les zones de texte Paramètres Kerberos :
IP KDC/Nom d'hôte : entrez le nom d'hôte ou l'adresse IP du serveur Kerberos (Kerberos Key Distribution Center).
Domaine : saisissez le domaine Kerberos ou un nom de domaine qui inclut tous les composants utilisés pour identifier le domaine sur votre réseau (par exemple : camelot.ap.england.com).
Nom d'utilisateur : entrez le nom d'utilisateur du compte LDAP pour le serveur MVP.
| Remarque : en cas d'utilisation d'une authentification LDAP Kerberos, un compte de serveur MarkVision associé peut être nécessaire en fonction de la configuration de Kerberos. Pour plus d'informations relatives aux comptes de serveur MarkVision pour Kerberos, reportez-vous à la documentation Kerberos. |
Mot de passe et Confirmer le mot de passe : le voyant devient vert lorsque les deux mots de passe sont identiques. Lorsqu'ils sont différents, le voyant reste rouge.
Cliquez sur Terminer.
Le paramétrage de la protection des communications des serveurs implique :
L'établissement d'un mot de passe de protection des communications pour le serveur
Activation ou désactivation de la sécurité serveur-à-périphérique
Utilisez la tâche Paramètres administrateur à partir de la liste Toutes les tâches sur l’écran d’accueil de MVP pour spécifier le mot de passe de protection des communications du serveur et la sécurité serveur-à-périphérique.
A partir de la liste Toutes les tâches de l'écran d'accueil MarkVision Professional, sélectionnez Paramètres d’administrateur.
Sélectionnez l'onglet Protection de communication en haut de la boîte de dialogue.
Cliquez sur Mot de passe de communication.
Lorsque vous y êtes invité, cliquez sur Oui pour continuer.
Saisissez le nouveau mot de passe dans la zone Nouveau mot de passe.
| Remarque : si aucun mot de passe n'est attribué, laissez la zone Ancien mot de passe vide. |
Confirmez le mot de passe en le saisissant de nouveau.
| Remarque : le voyant devient vert lorsque les deux mots de passe sont identiques et reste rouge dans le cas contraire. |
Cliquez sur Appliquer.
A partir de la liste Toutes les tâches de l'écran d'accueil MarkVision Professional, sélectionnez Paramètres d’administrateur.
Sélectionnez l'onglet Protection des communications en haut de la boîte de dialogue.
Déplacez le curseur pour indiquer le niveau de protection désiré sur le serveur.
Il existe quatre niveaux de protection :
Niveau de protection | Effet |
|---|---|
En fonction | Autorise les communications protégées et non protégées. Les communications sont protégées si le périphérique prend cette fonction en charge et s'il est verrouillé. La plupart des autres communications ne seront pas sécurisées, à l’exception des informations sensibles (comme les mots de passe de communication, le nombre de pages de copie et de numérisation). Les informations sensibles sont toujours transmises via un canal chiffré, même si le périphérique n’est pas verrouillé. Remarque : les périphériques avancés ne prennent pas en charge la tâche « Sécurité : verrouillage de l’imprimante ». Pour plus d'informations, reportez-vous à Présentation. |
Hors fonction | Aucune protection. Les périphériques verrouillés ne seront pas recherchés. |
| Remarque : le niveau de protection du serveur MarkVision est affiché dans le coin inférieur droit de l'écran d'accueil de MarkVision Professional. |
Cliquez sur Appliquer, puis sur OK.
| Remarque : ce paramétrage prend immédiatement effet et ne requiert donc aucun démarrage. |
L'onglet Sécurité de la communication de la boîte de dialogue Paramètres administrateur offre la possibilité d'utiliser le protocole SSL pour assurer la communication entre le serveur MarkVision et le client MarkVision.
Dans l'écran d'accueil MarkVision Professional, sélectionnez Paramètres administrateur dans la liste Toutes les tâches.
Cliquez sur l'onglet Sécurité de communication en haut de la boîte de dialogue.
Cochez la case Utiliser SSL pour les communications serveur-client pour activer la communication SSL.
Cliquez sur Appliquer, puis sur OK.
| Remarque : SSL sera utilisé à la prochaine connexion d'un client au serveur MarkVision. La session en cours n'est pas affectée. |
MarkVision Professional permet aux administrateurs de sécuriser ou de désactiver la gestion à distance sur certains périphériques récents. La protection de la gestion à distance sur un périphérique implique qu’un modèle de sécurité soit appliqué au paramètre Gestion à distance du contrôle d’accès.
Pour les utilisateurs créant un modèle de sécurité, la configuration d’un contrôle d’accès destinée à désactiver la gestion à distance s’effectue en trois étapes. Pour consulter les instructions concernant la désactivation totale de la gestion à distance, reportez-vous à « Etape 3 : Configuration du paramètre Gestion à distance du contrôle d’accès pour le(s) périphérique(s) ».
| Remarque : la désactivation de la gestion à distance met fin à la communication entre un périphérique sélectionné et le serveur MVP. Même si le périphérique apparaît dans la liste des périphériques suite à la recherche, MVP risque de ne pas pouvoir déterminer ses capacités et/ou ses caractéristiques car le périphérique lui-même empêchera ce type de données d'être lues. |
MVP prend en charge sept blocs fonctionnels : mot de passe, code PIN, comptes internes, Kerberos, NTLM, LDAP et LDAP + GSSAPI. Les blocs fonctionnels sont les éléments fondamentaux qu’on utilise pour créer des modèles de sécurité. Les étapes ci-dessous décrivent comment créer un bloc fonctionnel de code PIN. Les six autres blocs fonctionnels peuvent être créés de la même façon.
A partir de la liste Toutes les tâches de l’écran d’accueil MarkVision Professional, sélectionnez Sécurité : code PIN.
Sélectionnez les périphériques grâce aux onglets Recherche rapide ou Dossiers.
Appuyez sur Ctrl + clic et Maj + clic pour sélectionner plusieurs périphériques.
| Remarque : lorsqu'un périphérique géré par MVP n'est pas pris en charge par une tâche spécifique, son nom apparaît barré d'un trait noir dans les onglets Recherche rapide ou Dossiers. Les périphériques réseau protégés par un mot de passe sont affichés en rouge. Vous devez saisir le mot de passe du périphérique pour y accéder. |
Cliquez sur Ajouter.
Entrez un nom et un code PIN dans la boîte de dialogue Configuration du code PIN.
Cliquez sur OK.
Une fois configuré(s), un ou deux blocs fonctionnels peuvent être associés à un nom unique comportant jusqu’à 128 caractères pour créer un modèle de sécurité. Chaque périphérique peut prendre en charge jusqu’à 140 modèles de sécurité. Si les noms des modèles de sécurité doivent être différents les uns des autres, les blocs fonctionnels et les modèles de sécurité, quant à eux, peuvent partager le même nom.
A partir de la liste Toutes les tâches de l’écran d’accueil MarkVision Professional, sélectionnez Sécurité : modèles de sécurité.
Sélectionnez les périphériques grâce aux onglets Recherche rapide ou Dossiers.
Appuyez sur Ctrl + clic et Maj + clic pour sélectionner plusieurs périphériques.
| Remarque : lorsqu'un périphérique géré par MVP n'est pas pris en charge par une tâche spécifique, son nom apparaît barré d'un trait noir dans les onglets Recherche rapide ou Dossiers. Les périphériques réseau protégés par un mot de passe sont affichés en rouge. Vous devez saisir le mot de passe du périphérique pour y accéder. |
Cliquez sur Ajouter.
Entrez un nom pour le modèle de sécurité, puis choisissez le bloc fonctionnel approprié dans la liste Configuration de l’authentification.
Cliquez sur OK.
La dernière étape afin de limiter l’accès aux périphériques à partir du serveur MVP consiste à appliquer un modèle de sécurité au paramètre Gestion à distance du contrôle d'accès, ou à le désactiver entièrement.
| Remarque : cette étape désactive uniquement la gestion à distance du logiciel hôte (MarkVision Professional), et non le serveur Web incorporé du périphérique. |
A partir de la liste Toutes les tâches de l'écran d'accueil MarkVision Professional, sélectionnez Sécurité : contrôles des accès.
Sélectionnez les périphériques grâce aux onglets Recherche rapide ou Dossiers.
Appuyez sur Ctrl + clic et Maj + clic pour sélectionner plusieurs périphériques.
Remarques :
Sélectionnez le modèle de sécurité que vous venez de créer dans la liste déroulante Gestion à distance, puis cliquez sur Appliquer.
| Remarque : pour désactiver la gestion à distance pour le périphérique, sélectionnez Désactivé dans la liste déroulante Gestion à distance, puis cliquez sur Appliquer. |
Pour permettre à MVP de gérer les périphériques en toute sécurité, les mots de passe du serveur et de chaque périphérique géré doivent correspondre. La synchronisation du mot de passe d'un périphérique permet de définir le mot de passe de communication du périphérique en fonction du même mot de passe utilisé par le serveur.
| Remarque : le mot de passe est défini par l'intermédiaire d'un canal d'information chiffré. |
A partir de la liste Toutes les tâches de l’écran d’accueil MarkVision Professional, sélectionnez Sécurité : mot de passe de communication.
Sélectionnez les périphériques grâce aux onglets Recherche rapide ou Dossiers.
Appuyez sur Ctrl + clic et Maj + clic pour sélectionner plusieurs périphériques.
| Remarque : lorsqu’un périphérique géré par MVP n’est pas pris en charge par une tâche spécifique, son nom apparaît barré d'une ligne noire dans les onglets Recherche rapide ou Dossiers. Les périphériques réseau protégés par un mot de passe sont affichés en rouge. Vous devez saisir le mot de passe du périphérique pour y accéder. |
Synchronisez ou supprimez le mot de passe du périphérique.
Pour synchroniser le mot de passe de communication du périphérique avec le serveur MarkVision, procédez comme suit :
Cliquez sur Synchroniser avec le serveur.
Cliquez sur Oui.
Pour synchroniser le mot de passe de communication du périphérique avec le mot de passe d'un nouveau serveur, procédez comme suit :
Cliquez sur Synchroniser avec le serveur.
Dans la boîte de dialogue « Confirmer la synchronisation avec le serveur », cochez la case pour confirmer la synchronisation.
Cliquez sur Oui.
Entrez le mot de passe de communication de l'ancien serveur.
Saisissez un nouveau mot de passe de communication de serveur.
Saisissez-le de nouveau pour le confirmer.
Cliquez sur OK, puis sur Oui.
Pour supprimer le mot de passe de communication du périphérique, procédez comme suit :
Cliquez sur Supprimer le mot de passe.
Vérifiez que le périphérique n'est pas verrouillé.
| Remarque : les périphériques qui ne sont pas en mesure d'assurer une communication sécurisée sont rayés d'un trait noir dans la zone des résultats. |
La tâche Verrouillage de l'imprimante vous permet de forcer un ou plusieurs périphériques pris en charge à ne communiquer que sur un canal protégé. Ceci active un pare-feu sur le périphérique et désactive la plupart des ports du réseau, tels que HTTP, SNMP et FTP. Seuls les ports protégés restent ouverts. La tâche Verrouillage de l’imprimante n’est pas disponible sur les périphériques prenant en charge les blocs fonctionnels et les modèles de sécurité.
A partir de la liste Toutes les tâches de l’écran d’accueil MarkVision Professional, sélectionnez Sécurité : verrouillage de l'imprimante.
Sélectionnez les périphériques grâce aux onglets Recherche rapide ou Dossiers.
Appuyez sur Ctrl + clic et Maj + clic pour sélectionner plusieurs périphériques.
| Remarque : lorsqu’un périphérique géré par MVP n’est pas pris en charge par une tâche spécifique, son nom apparaît barré d'une ligne noire dans les onglets Recherche rapide ou Dossiers. Les périphériques réseau protégés par un mot de passe sont affichés en rouge. Vous devez saisir le mot de passe du périphérique pour y accéder. |
Cochez la case Verrouillage pour verrouiller le périphérique.
Pour déverrouiller un périphérique, il vous suffit de décocher la case Verrouillage.
| Remarque : les tâches Télécharger le fichier générique et Ressources de l’imprimante ne sont pas disponibles lorsque l’option Verrouillage de l'imprimante est activée. |
Certains périphériques pris en charge contiennent des unités de disque dur chiffrées afin de protéger les informations enregistrées sur les périphériques. MVP permet d'extraire ces informations des unités de disque dur sans remettre en cause la sécurité du périphérique. Si le périphérique comporte une unité de disque dur chiffrée et qu'elle communique par l'intermédiaire d'un canal sécurisé, l'administrateur peut utiliser la tâche Périphériques de stockage pour afficher le périphérique. Pour plus de sécurité, si l'unité de disque dur est chiffrée et que le périphérique ne communique pas de manière sécurisée, la tâche n'affiche pas les informations relatives à l'unité de disque dur. Bien que MVP soit en mesure d'afficher les unités de disque dur chiffrées, il ne permet pas à l'utilisateur de modifier leur chiffrement.