使用 MVP 保护打印机包括组合一个或多个组件-“验证”、“授权”和“组”-来定义谁被允许使用打印机,以及允许这些用户访问哪些功能。
在配置打印机安全之前,制定一个计划来确定用户将是谁,他们将需要做什么可能会有帮助。要考虑的项目可能包括打印机的位置和是否允许未经授权的人员访问此区域,将被发送到或保存在打印机上的敏感文档,以及您所在组织的信息安全策略。
验证是系统用于安全识别用户(即“您是谁”)的方法。
授权指定哪些功能对已被系统验证的用户可用。此组授权功能也被称为“许可”。
MVP 使用下列项目(也被称为组建模块)中的一个或多个来处理验证和授权:
PIN 码
口令
内部帐户
LDAP
LDAP+GSSAPI
Kerberos 5
NTLM
一些“组建模块”,如“口令”或 PIN 码,可以被单独用来提供低级别的安全性,只需将对打印机-或打印机的特定功能-的访问简单限制为知道正确代码的人员。此类安全性适用于打印机位于企业的前厅或其他公共场所内的情景,这样只有知道口令或 PIN 码的职员能够使用打印机。因为输入正确口令或 PIN 码的任何人都会获得相同的权限,并且用户不能被单独识别,所以口令和 PIN 码的安全性被认为比其他要求识别用户,或者识别并授权用户的组建模块低。
管理员能够指定最多 32 个组来与内部帐户或 LDAP/LDAP+GSSAPI 组建模块一起联合使用。出于 MVP 安全性目的,组被用于识别需要访问相似功能的用户集合。例如,在公司 A 中,库管人员不需要彩色打印,但销售和市场人员每天都要使用彩色打印。在这种情况下,显然可以创建一个“Warehouse”组和一个“Sales and Marketing”组。
默认情况下,所有的设备菜单、设置和功能在出厂时都没有启用安全性。“访问控制”(在一些设备中也被称为“功能访问控制”)被用于管理对特定菜单和功能的访问或完全禁用它们。可以使用口令、PIN 码或安全模板来设置访问控制。能够控制的功能数量根据设备类型而异,但在一些多功能打印机中,可以保护超过 40 个独立的菜单和功能。
| 注意: 如需独立“访问控制”的列表及其功能,请参阅访问控制的菜单。 |
一些场景只要求基本的安全性(例如对公共设备功能的 PIN 码保护访问),而其他场景要求更高的安全性和基于角色的限制。个别地,组建模块、组和访问控制可能不满足复杂的安全环境的需要。为了满足不同组中需要访问公共功能集(例如打印、复印和传真)的用户,管理员必须能够组合这些组件,给与所有用户他们需要的功能,而将其他功能限制于仅供授权用户使用。
安全模板是一个配置文件,它由一个组建模块或者某些与一个或多个组配对的组建模块构造而成。它们的组合方式决定了创建的安全性类型:
组建模块 | 安全类型 |
内部帐户 | 仅验证 |
带“组”的“内部帐户” | 验证和授权 |
Kerberos 5 | 仅验证 |
LDAP | 仅验证 |
带“组”的 LDAP | 验证和授权 |
LDAP + GSSAPI | 仅验证 |
带“组”的 LDAP + GSSAPI | 验证和授权 |
NTLM | 仅验证 |
口令 | 仅授权 |
PIN 码 | 仅授权 |
每个设备可以支持最多 140 个安全模板,允许管理员创建针对每个访问控制的非常具体的配置文件或任务。