MVP consente una comunicazione protetta tra il server MarkVision e le periferiche che supportano lo stesso protocollo di protezione. Gli amministratori possono comunicare, configurare, controllare e recuperare informazioni da periferiche protette sulla rete. Una comunicazione protetta riduce la possibilità di compromettere le informazioni dell'utente o i comandi della periferica. Il grado di protezione che serve per la comunicazione tra il server e le periferiche è determinato dal livello di sicurezza impostato sul server MarkVision e dalla funzione di protezione della comunicazione applicata alla periferica.
Le attività di protezione delle comunicazioni sono:
Impostazioni amministrative: consente di specificare il grado di protezione da server a periferica e di impostare una password per il server MarkVision.
Password di comunicazione: consente di sincronizzare una password di comunicazione della periferica e una password di comunicazione del server per aprire un canale di comunicazione protetto.
| Nota: La funzione di protezione della comunicazione si limita ai comandi di configurazione tra il computer host e la periferica. |
Blocco stampante: consente di limitare l'accesso alla stampante.
Note:
Gli amministratori di MVP possono utilizzare il server LDAP della società per autenticare gli ID utente e le password ed eliminare così la necessità per gli utenti di utilizzare password e ID di login separati per accedere a MVP.
Quando si attiva un'autenticazione tramite il server LDAP, gli amministratori possono scegliere tra tre metodi di autenticazione LDAP. I meccanismi di autenticazione che consentono di eseguire il binding al server LDAP in ordine di protezione crescente:
Binding LDAP anonimo: esegue il binding al server LDAP senza una password.
Binding LDAP semplice: esegue il binding al server LDAP con le credenziali in testo non codificato oppure utilizzando un canale codificato (se viene fornito un certificato SSL).
Kerberos: esegue l'autenticazione su un KDC Kerberos.
Accertarsi che la password dell'amministratore sia definita prima di procedere con la configurazione dell'autenticazione tramite il server LDAP. L'autenticazione tramite il server LDAP è accessibile solo tramite l'account di amministratore principale. L'autenticazione LDAP può essere utilizzata con tutti gli account utente, a eccezione dell'account amministratore principale. L'account amministratore principale deve disporre di una password MVP univoca.
Nella schermata principale di MarkVision Professional, selezionare Account utenti e Gruppi utenti dall'elenco Tutte le attività.
Fare clic su Aggiungi.
Digitare le credenziali di accesso alla rete per l'ID utente nella casella Nome account.
| Nota: questo ID deve corrispondere all'ID utente presente nel database LDAP. |
Lasciare il campo della password vuoto.
| Nota: l'immissione della password non è obbligatoria o consentita in quanto il server LDAP verrà utilizzato per l'autenticazione quando l'utente effettua l'accesso. |
Selezionare la casella Esegui autenticazione mediante server LDAP/KDC Kerberos, quindi selezionare Binding LDAP semplice dall'elenco a discesa Meccanismo di autenticazione.
Fare clic su Avanti.
Immettere le informazioni per il server LDAP nelle caselle di testo Impostazioni LDAP:
Indirizzo server LDAP: immettere l'indirizzo IP o il nome host del server di directory LDAP dove verrà eseguita l'autenticazione.
Numero porta: indica la porta utilizzata dal computer locale per comunicare con il server di directory LDAP. La porta LDAP predefinita è 389.
Base di ricerca: la base di ricerca (talvolta denominata "nome distinto" o "DN") è il nodo nel server di directory LDAP dove esistono gli account utente.
| Nota: una base di ricerca è composta da più attributi, ad esempio cn (nome comune), ou (unità organizzativa), o (organizzazione), c (paese) o dc (dominio) separati da virgole. |
Attributi utente: immettere un valore per cn, userid, o userdefined, dove cn sta per "nome comune".
Nome distinto: immettere il nome distinto dell'account LDAP per il server MVP. Gli esempi tipici includono ou (unità organizzativa) e o (nome dell'organizzazione), dove o potrebbe essere il nome di una società e ou potrebbe essere un determinato gruppo di dipendenti della società (esempio: ).
Password e Conferma password: la spia luminosa diventa verde quando le due password sono identiche. Se le password non corrispondono, la spia luminosa resta rossa.
Per utilizzare SSL, selezionare la casella Usa SSL, quindi digitare la password dell'Archivio certificati nella casella di testo.
| Nota: gli amministratori MVP possono proteggere la loro password dell'Archivio certificati immettendo una password prima di importare il primo certificato attendibile. |
Fare clic su Avanti.
Selezionare un certificato dall'elenco oppure fare clic su Importa per importare un nuovo certificato.
Fare clic su Fine.
Consentire all'utente di accedere a MVP e immetterne l'ID utente e la password che utilizza per la rete locale della società. Il server MarkVision accederà al servizio di directory del server LDAP della società e autenticherà il login dell'utente tramite un binding semplice protetto da SSL.
Nella schermata principale di MarkVision Professional, selezionare Account utenti e Gruppi utenti dall'elenco Tutte le attività.
Fare clic su Aggiungi.
Digitare le credenziali di accesso alla rete per l'ID utente nella casella Nome account.
| Nota: questo ID deve corrispondere all'ID utente presente nel database LDAP. |
Lasciare il campo della password vuoto.
| Nota: l'immissione della password non è obbligatoria o consentita in quanto il server LDAP verrà utilizzato per l'autenticazione quando l'utente effettua l'accesso. |
Selezionare la casella Esegui autenticazione mediante server LDAP/KDC Kerberos, quindi selezionare Protetto dall'elenco a discesa Meccanismo di autenticazione.
Fare clic su Avanti.
Immettere le informazioni per il server Kerberos nelle caselle di testo Impostazioni Kerberos:
IP/Nome host KDC: immettere il nome host o l'indirizzo IP del server Kerberos, (KDC (Key Distribution Center) Kerberos).
Area di autenticazione: immettere l'area di autenticazione Kerberos o un nome di dominio che include tutti i componenti che vengono utilizzati per identificare il dominio nella rete (ad esempio: toscana.ap.italia.com).
Nome utente: immettere il nome utente dell'account LDAP per il server MVP.
| Nota: quando si utilizza l'autenticazione LDAP Kerberos, un account sul server MarkVision associato può rendersi necessario in base alla configurazione Kerberos. Per informazioni sugli account sul server MarkVision per Kerberos, vedere la documentazione relativa al server Kerberos. |
Password e Conferma password: la spia luminosa diventa verde quando le due password sono identiche. Se le password non corrispondono, la spia luminosa resta rossa.
Fare clic su Fine.
L'impostazione della protezione della comunicazione per i server prevede:
La creazione di una password di protezione della comunicazione
Attivazione o disattivazione della protezione dal server alla periferica
Utilizzare l'attività "Impostazioni amministrative" nell'elenco Tutte le attività nella schermata principale di MVP per impostare la password di protezione della comunicazione per i server e la protezione dal server alla periferica.
Dalla schermata principale di MarkVision Professional, selezionare Impostazioni amministrative dall'elenco Tutte le attività.
Selezionare la scheda Protezione comunicazione nella parte superiore della finestra di dialogo.
Fare clic su Password di comunicazione.
Quando richiesto, fare clic su Sì per continuare.
Digitare la nuova password nella casella Nuova password.
| Nota: se non è stata assegnata alcuna password, lasciare vuota la casella Password precedente. |
Confermare la password digitandola di nuovo.
| Nota: la spia luminosa diventerà verde quando le due password corrispondono; resterà rossa se le password non corrispondono. |
Fare clic su Applica.
Nella schermata principale di MarkVision Professional, selezionare Impostazioni amministrative dall'elenco Tutte le attività.
Selezionare la scheda Protezione comunicazione nella parte superiore della finestra di dialogo.
Spostare la barra di scorrimento per indicare il livello di protezione della comunicazione desiderato per il server.
La funzione di protezione della comunicazione del server consta di quattro livelli di protezione:
Livello di protezione del server | Effetto |
|---|---|
Attivato | Consente una comunicazione protetta e non protetta. La comunicazione è protetta solo se la periferica è bloccata e abilitata a tale tipo di comunicazione. La maggior parte delle altre comunicazioni è non protetta, con l'eccezione delle informazioni sensibili (ad esempio le password di comunicazione oppure il numero di pagine di copia o scansione). Le informazioni sensibili sono sempre trasmesse tramite un canale codificato, anche se la periferica non è bloccata. Nota: le periferiche avanzate non supportano l'attività "Protezione - Blocco stampante". Per ulteriori informazioni, vedere Panoramica. |
Disattivato | Alcune funzioni non sono disponibili. Le periferiche bloccate non possono essere rilevate. |
| Nota: il livello di protezione del server MarkVision viene visualizzato nell'angolo inferiore destro della schermata principale di MarkVision Professional. |
Fare clic su Applica, quindi su OK.
| Nota: questa impostazione si attiva immediatamente e non necessita del riavvio del servizio. |
La scheda Protezione comunicazione nella finestra di dialogo Impostazioni amministrative offre a un amministratore la possibilità di utilizzare la codifica SSL per la comunicazione tra il server MarkVision e il client MarkVision.
Nella schermata principale di MarkVision Professional, selezionare Impostazioni amministrative dall'elenco Tutte le attività.
Selezionare la scheda Protezione comunicazione nella parte superiore della finestra di dialogo.
Per attivare la comunicazione SSL, selezionare la casella di controllo Usa SSL per comunicazioni server-client.
Fare clic prima su Applica, quindi su OK.
| Nota: la comunicazione SSL verrà utilizzata alla successiva connessione di un client al server MarkVision. La sessione in corso non subisce alcuna modifica. |
MarkVision Professional consente agli amministratori di proteggere o disabilitare la gestione remota in alcune periferiche più recenti. La protezione della gestione remota in una periferica richiede l'applicazione di un modello di protezione al controllo dell'accesso a Gestione remota.
Per utenti che creano un nuovo modello di protezione, l'impostazione di un controllo dell'accesso per disabilitare la gestione remota è un processo composto da tre operazioni. Per istruzioni sulla disabilitazione completa della gestione remota, andare a "Passo 3: Configurazione del controllo dell'accesso a Gestione remota per le periferiche".
| Nota: con la disabilitazione della gestione remota termina in maniera effettiva la comunicazione tra una periferica selezionata e il server MVP. Sebbene la periferica verrà visualizzata nell'elenco delle periferiche successivo alla rilevazione, MVP potrebbe non essere in grado di determinarne le funzionalità e/o le caratteristiche perché la periferica stessa impedirà la lettura di tali dati. |
MVP supporta sette building block: password, PIN, account interni, Kerberos, NTLM, LDAP e LDAP + GSSAPI. I building block sono gli elementi fondamentali utilizzati per creare modelli di protezione. Nelle operazione indicate di seguito viene descritta la creazione di building block del PIN, ma è possibile utilizzare facilmente uno qualsiasi degli altri sei building block.
Nella schermata principale di MarkVision Professional, selezionare Protezione - PIN dall'elenco Tutte le attività.
Selezionare le periferiche utilizzando le schede Ricerca rapida o Cartelle.
Fare clic tenendo premuto Ctrl e Maiusc per selezionare più periferiche.
| Nota: quando una periferica gestita da MVP non è supportata da un'attività specifica, il suo nome verrà visualizzato barrato da una linea nera nelle schede Ricerca rapida o Cartelle. Le periferiche di rete protette da password sono visualizzate in rosso. Immettere la password per accedere alla periferica. |
Fare clic su Aggiungi.
Immettere un nome e un PIN nella finestra di dialogo Impostazione PIN.
Fare clic su OK.
Una volta configurati, uno o due building block possono essere combinati con un nome univoco di un massimo di 128 caratteri per creare un modello di protezione. Ciascuna periferica può supportare fino a 140 modelli di protezione. Sebbene i nomi dei modelli di protezione debbano essere diversi l'uno dall'altro, i building block e i modelli di protezione possono condividere un nome.
Nella schermata principale di MarkVision Professional, selezionare Protezione - Modelli di protezione dall'elenco Tutte le attività.
Selezionare le periferiche utilizzando le schede Ricerca rapida o Cartelle.
Fare clic tenendo premuto Ctrl e Maiusc per selezionare più periferiche.
| Nota: quando una periferica gestita da MVP non è supportata da un'attività specifica, il suo nome verrà visualizzato barrato da una linea nera nelle schede Ricerca rapida o Cartelle. Le periferiche di rete protette da password sono visualizzate in rosso. Immettere la password per accedere alla periferica. |
Fare clic su Aggiungi.
Digitare il nome del modello di protezione, quindi scegliere il building block appropriato dall'elenco Impostazione autenticazione.
Fare clic su OK.
L'operazione finale per limitare l'accesso alla periferica dal server MVP consiste nell'applicazione di un modello di protezione al controllo dell'accesso a Gestione remota o nella disabilitazione completa.
| Nota: questo disabilita solo la gestione del software host remota (MarkVision Professional), non il server Web incorporato per la periferica. |
Nella schermata principale di MarkVision Professional, selezionare Protezione - Controlli accesso dall'elenco Tutte le attività.
Selezionare le periferiche utilizzando le schede Ricerca rapida o Cartelle.
Fare clic tenendo premuto Ctrl e Maiusc per selezionare più periferiche.
Note:
Seleziona il nuovo modello di protezione creato dall'elenco a discesa Gestione remota, quindi fare clic su Applica.
| Nota: per disabilitare la gestione remota per la periferica, selezionare Disabilitato dall'elenco a discesa Gestione remota, quindi fare clic su Applica. |
Per consentire a MVP di gestire le periferiche in sicurezza, è opportuno che vi sia una corrispondenza di password tra il server e ciascuna periferica gestita. La funzione di sincronizzazione consente di impostare le stesse password di comunicazione per la periferica e il server.
| Nota: la password viene impostata tramite un canale di dati codificato. |
Nella schermata principale di MarkVision Professional, selezionare Protezione - Password di comunicazione dall'elenco Tutte le attività.
Selezionare le periferiche utilizzando le schede Ricerca rapida o Cartelle.
Per selezionare più periferiche, fare clic su di esse tenendo premuto il tasto Ctrl e Maiusc.
| Nota: quando una periferica gestita da MVP non è supportata da un'attività specifica, il suo nome verrà visualizzato barrato da una linea nera nelle schede Ricerca rapida o Cartelle. le periferiche di rete protette da password sono visualizzate in rosso. Immettere la password per accedere alla periferica. |
Sincronizzare o rimuovere la password della periferica.
Per sincronizzare la password di comunicazione della periferica con il server MarkVision:
Fare clic su Sincronizza con il server.
Fare clic su Sì.
Per sincronizzare la password di comunicazione della periferica con la password di un nuovo server:
Fare clic su Sincronizza con il server.
Nella finestra di dialogo Conferma sincronizzazione con il server, selezionare la casella di controllo per confermare la sincronizzazione.
Fare clic su Sì.
Digitare la vecchia password di comunicazione del server.
Digitare la nuova password di comunicazione del server.
Digitare nuovamente la nuova password per confermarla.
Fare clic su OK, quindi fare clic su Sì.
Per rimuovere la password di comunicazione della periferica:
Fare clic su Rimuovi password.
Accertarsi che la periferica non sia bloccata.
| Nota: le periferiche non abilitate alle comunicazioni protette vengono visualizzate nell'area dei risultati barrate da una riga nera. |
L'attività Blocco stampante consente all'utente di forzare la comunicazione di una o più periferiche supportate esclusivamente su un canale protetto. In questo modo, il firewall viene attivato sulla periferica disattivando la maggior parte delle porte di rete, ad esempio HTTP, SNMP e FTP. Solo le porte protette restano aperte. L'attività Blocco stampante non è disponibile sulle periferiche che supportano i building block e i modelli di protezione.
Nella schermata principale di MarkVision Professional, selezionare Protezione - Blocco stampante dall'elenco Tutte le attività.
Selezionare le periferiche utilizzando le schede Ricerca rapida o Cartelle.
Per selezionare più periferiche, fare clic su di esse tenendo premuto il tastoCtrl e Maiusc.
| Nota: quando una periferica gestita da MVP non è supportata da un'attività specifica, il suo nome verrà visualizzato barrato da una linea nera nelle schede Ricerca rapida o Cartelle. Le periferiche di rete protette da password sono visualizzate in rosso. Immettere la password per accedere alla periferica. |
Per bloccare la periferica, selezionare la casella di controllo Blocco.
Per rimuovere il blocco da una periferica, deselezionare la casella di controllo Blocco.
| Nota: le attività Trasferimento generico di file e Risorsa stampante non saranno disponibili quando l'opzione Blocco stampante è abilitata. |
Alcune periferiche supportate contengono dischi fissi cifrati per evitare che vengano compromesse le informazioni memorizzate sulle periferiche. MVP consente di recuperare le informazioni del disco fisso senza interferire con la protezione della periferica. Se la periferica dispone di un disco fisso cifrato e comunica su un canale protetto, un amministratore può utilizzare l'attività Periferiche di memorizzazione per visualizzare l'unità. Come misura di precauzione, se il disco fisso è cifrato e la periferica non comunica in modo protetto, l'attività non visualizza le informazioni sul disco fisso. Inoltre, MVP è in grado di visualizzare i dischi fissi cifrati, ma non consente all'utente di modificare la cifratura della periferica.