MVP 允許 MarkVision 伺服器與支援相同安全通訊協定的網路裝置之間的安全通訊。管理者可以和網路上的安全裝置互通、配置、控制和擷取資訊。安全通訊降低了妥協的使用者認證或裝置指令的威脅。裝置和伺服器透過網路互通時所採用的安全性,則取決於已在 MarkVision 伺服器上設定的安全層次,並取決於已套用到裝置的通訊安全。
通訊安全作業如下:
管理設定—指定「伺服器到裝置安全」層級,並建立「MarkVision 伺服器」密碼。
通訊密碼—將裝置通訊密碼與伺服器通訊密碼同步化,以開啟安全通訊頻道。
| 請注意: 安全通訊只適用於主電腦與裝置之間的配置指令。 |
印表機鎖定—限制印表機存取權限。
請注意:
MVP 管理者可以使用公司 LDAP 伺服器,來鑑別使用者 ID 和密碼。如此一來,使用者就不需要維護不同的 MVP 登入 ID 和密碼。
當啟動 LDAP 伺服器鑑別時,管理者有三種 LDAP 鑑別模式。下列鑑別機制依照安全增序連結到 LDAP 伺服器:
匿名 LDAP 連結—不需要密碼就可以連結到 LDAP 伺服器
簡式 LDAP 連結—使用明碼認證或使用加密頻道(若有提供 SSL 憑證)連結到 LDAP 伺服器
Kerberos—在 Kerberos KDC 中鑑別
請務必先定義管理者密碼,再繼續進行「LDAP 伺服器」鑑別設定。您必須透過「主要管理者」帳戶,才可以存取「LDAP 伺服器」鑑別。LDAP 鑑別適用於所有使用者帳戶(但「主要管理者」帳戶除外)。「主要管理者」帳戶必須有唯一的 MVP 密碼。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取使用者帳戶與群組。
按一下新增。
在「帳戶名稱」方框中,輸入使用者 ID 的現有網路登入。
| 請注意: 這個 ID 必須符合在 LDAP 資料庫中的使用者 ID。 |
讓密碼欄位保留空白。
| 請注意: 這時不需要或不允許輸入密碼,因為當使用者登入時,會使用 LDAP 進行鑑別。 |
按一下使用 LDAP 伺服器/Kerberos KDC 進行鑑別方框選取該選項,然後從「鑑別機制」下拉清單中選取簡式 LDAP 連結。
按一下下一步。
在「LDAP 設定」文字框中,輸入 LDAP 伺服器的資訊:
LDAP 伺服器位址—請輸入即將執行鑑別之「LDAP 目錄伺服器」的「IP 位址」或「主電腦名稱」。
連接埠號—本端電腦用來和「LDAP 目錄伺服器」通訊的連接埠。預設的 LDAP 連接埠是 389。
搜尋基礎—「搜尋基礎」(有時稱為「識別名稱」或 DN)是「LDAP 目錄伺服器」中使用者帳戶所在的節點。
| 請注意: 「搜尋基礎」包含多個屬性—例如 cn(一般名稱)、ou(組織單位)、o(組織)、c(國家/地區)或 dc(網域)—以半形逗號隔開。 |
使用者屬性—輸入的值為 cn、userid 或 userdefined,此處的 cn 代表「一般名稱」。
識別名稱—請輸入「MVP 伺服器」的「LDAP 帳戶」識別名稱。典型範例包括 ou(組織單位)和 o(組織名稱),其中 o 可以是公司名稱,而 ou 可以是公司的一組特定員工(範例:)。
密碼和確認密碼—當兩個密碼完全相同時,指示燈會變成綠色。如果密碼不符,指示燈將保持為紅色。
若要使用 SSL,請按一下使用 SSL方框選取該選項,然後在文字框中輸入「憑證儲存區」密碼。
| 請注意: MVP 管理者可以在匯入第一個授信憑證之前輸入密碼,以密碼來保護其「憑證儲存區」。 |
按一下下一步。
從清單中選取憑證,或按一下匯入以匯入新憑證。
按一下完成。
讓使用者存取 MVP,然後輸入其用於公司本端網路的使用者 ID 及密碼。「MarkVision 伺服器」會透過 SSL 保護的簡式連結,存取公司的 LDAP 伺服器目錄服務,並鑑別使用者登入。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取使用者帳戶與群組。
按一下新增。
在「帳戶名稱」方框中,輸入使用者 ID 的現有網路登入。
| 請注意: 這個 ID 必須符合在 LDAP 資料庫中的使用者 ID。 |
讓密碼欄位保留空白。
| 請注意: 這時不需要或不允許輸入密碼,因為當使用者登入時,會使用 LDAP 進行鑑別。 |
按一下使用 LDAP 伺服器/Kerberos KDC 進行鑑別方框選取該選項,然後從「鑑別機制」下拉清單中選取安全。
按一下下一步。
在「Kerberos 設定」文字框中,輸入 Kerberos 伺服器的資訊:
KDC IP/主電腦名稱—輸入「Kerberos 伺服器」(Kerberos 金鑰分送中心)的主電腦名稱或 IP 位址。
範圍—輸入「Kerberos 範圍」,或輸入一個網域名稱,其中包含用來識別您網路的網域之所有元件;例如 camelot.ap.england.com。
使用者名稱—輸入「MVP 伺服器」的「LDAP 帳戶」之使用者名稱。
| 請注意: 採用 Kerberos LDAP 鑑別時,視 Kerberos 配置而定,可能需要關聯的「MarkVision 伺服器」帳戶。如需 Kerberos 的「MarkVision 伺服器」帳戶資訊,請參閱 Kerberos 說明文件。 |
密碼和確認密碼—當兩個密碼完全相同時,指示燈會變成綠色。如果密碼不符,指示燈將保持為紅色。
按一下完成。
設定伺服器通訊安全必須執行以下各項:
建立伺服器通訊安全密碼
開啟或關閉「伺服器到裝置安全」
從 MVP 主畫面的「所有作業」清單中,使用「管理設定」作業來設定伺服器通訊安全密碼及「伺服器到裝置安全」。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取管理設定 。
選取對話方塊頂端的通訊安全標籤。
按一下通訊密碼。
出現提示畫面時,請按一下是,繼續作業。
在「新密碼」方框中輸入新密碼。
| 請注意: 若先前並未指定密碼,請讓「舊密碼」方框留白。 |
重新輸入,以確認密碼。
| 請注意: 當兩個密碼相符時,指示燈會變成綠色;如果密碼不一致,則指示燈將保持為紅色。 |
按一下套用。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取管理設定。
選取對話方塊頂端的通訊安全標籤。
移動滑桿,以指出所要的伺服器通訊安全層級。
伺服器通訊安全分為四種安全層級:
伺服器安全層級 | 效果 |
|---|---|
開 | 允許安全通訊和非安全通訊 只有在裝置可以進行安全通訊且已經鎖定的情況下,通訊才是安全的。其他大部分通訊都處於不安全狀態,但敏感的資訊除外(例如:通訊密碼、掃描與複印頁計數)。敏感資訊傳輸時必定會透過加密頻道,即使該裝置並未遭鎖定。 請注意: 進階裝置不支援「安全性 - 印表機鎖定」作業。如需其他資訊,請參閱總覽。 |
關 | 無法使用安全特性 無法找到已鎖定的裝置。 |
| 請注意: 「MarkVision 伺服器」安全層級會顯示在 MarkVision Professional 主畫面的右下角。 |
按一下套用,然後按一下確定。
| 請注意: 此設定會立即生效,而且不會要求進行服務重新啟動。 |
「管理設定」對話框上的「通訊安全」標籤可以讓管理者使用 SSL 來進行 MarkVision 伺服器與 MarkVision 用戶端之間的通訊。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取管理設定。
按一下對話框頂端的通訊安全標籤。
選取使用 SSL 進行伺服器 - 用戶端通訊勾選框來啟動 SSL 通訊。
按一下套用,然後按一下確定。
| 請注意: 下次用戶端連接 MarkVision 伺服器時會使用 SSL。現在的階段作業將不會受影響。 |
MarkVision Professional 可讓管理者防護或關閉某些較新裝置的遠端管理。若要防護裝置的遠端管理,必須將安全範本套用至「遠端管理」存取控制。
對於要建立新安全範本的使用者而言,只要三個步驟的程序,即可設定關閉遠端管理的存取控制。如需完全關閉遠端管理的相關說明,請跳至「步驟 3:配置裝置的遠端管理存取控制」。
| 請注意: 關閉遠端管理可有效地終止所選取裝置與「MVP 伺服器」之間的通訊。儘管裝置會出現在下列所發現的裝置清單中,但由於裝置本身會禁止讀取這類資料,MVP 將無法決定裝置的功能及(或)特性。 |
MVP 支援七個建立區塊:密碼、個人識別碼、內部帳戶、Kerberos、NTLM、LDAP 和 LDAP + GSSAPI。「建立區塊」是用來建立安全範本的基本元素。下列步驟說明如何建置個人識別碼建立區塊,而其他六種建立區塊也同樣易於取用。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取安全性 - 個人識別碼。
利用「快速尋找」或「資料夾」標籤來選取裝置。
請按住 Ctrl 並以滑鼠點選或按住 Shift 並以滑鼠點選,來選取多個裝置。
| 請注意: 如果特定作業不支援 MVP 管理的裝置,其名稱在「快速尋找」或「資料夾」標籤中顯示時,會劃上一條黑線。設有密碼保護的網路裝置會顯示為紅色。請輸入裝置密碼,取得該裝置的存取權。 |
按一下新增。
在「個人識別碼設定」對話方塊中,輸入名稱與個人識別碼。
按一下確定。
完成配置後,您可以使用長度限制為 128 個字元的唯一名稱,組合一或二個建立區塊,來建立安全範本。每個裝置最多可以支援 140 個安全範本。雖然安全範本的名稱不能重複,但建立區塊與安全性範本可以共用相同的名稱。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取安全性 - 安全範本。
利用「快速尋找」或「資料夾」標籤來選取裝置。
請按住 Ctrl 並以滑鼠點選或按住 Shift 並以滑鼠點選,來選取多個裝置。
| 請注意: 如果特定作業不支援 MVP 管理的裝置,其名稱在「快速尋找」或「資料夾」標籤中顯示時,會劃上一條黑線。設有密碼保護的網路裝置會顯示為紅色。請輸入裝置密碼,取得該裝置的存取權。 |
按一下新增。
請輸入安全範本的名稱,接著從「鑑別設定」清單中,選取適當的建立區塊。
按一下確定。
限制從「MVP 伺服器」存取裝置的最後一個步驟,是將安全範本套用至「遠端管理」存取控制,或同時關閉該裝置。
| 請注意: 這時只會關閉遠端主電腦軟體管理 (MarkVision Professional),不是關閉裝置的「內嵌式 Web 伺服器」。 |
從 MarkVision Professional 主畫面的「所有作業」清單中,選取安全性 - 存取控制。
利用「快速尋找」或「資料夾」標籤來選取裝置。
請按住 Ctrl 並以滑鼠點選或按住 Shift 並以滑鼠點選,來選取多個裝置。
請注意:
從「遠端管理」下拉清單中,選取新建立的安全範本,然後按一下套用。
| 請注意: 若要關閉裝置的遠端管理,請從「遠端管理」下拉清單中選取已關閉,然後按一下套用。 |
若要讓 MVP 安全地管理裝置,伺服器和每個受管理裝置之間的密碼必須相符。將裝置密碼同步化,可將裝置的通訊密碼設為伺服器所使用的相同密碼。
| 請注意: 透過加密的資料頻道設定密碼。 |
從 MarkVision Professional 主畫面的「所有作業」清單中,選取安全性 - 通訊密碼。
利用「快速尋找」或「資料夾」標籤來選取裝置。
請按住 Ctrl 並以滑鼠點選或按住 Shift 並以滑鼠點選,來選取多個裝置。
| 請注意: 如果特定作業不支援 MVP 管理的裝置,其名稱在「快速尋找」或「資料夾」標籤中顯示時,會劃上一條黑線。設有密碼保護的網路裝置會顯示為紅色。請輸入裝置密碼,取得該裝置的存取權。 |
同步化或移除裝置密碼。
若要將裝置通訊密碼與 MarkVision 伺服器同步化:
按一下與伺服器同步。
按一下是。
若要將裝置通訊密碼與新的伺服器密碼同步化:
按一下與伺服器同步。
從「確認要與伺服器同步」對話方塊,按一下勾選框以確認同步化。
按一下是。
輸入舊的伺服器通訊密碼。
輸入新的伺服器通訊密碼。
再次輸入新密碼以便確認。
按一下確定,然後按一下是。
若要移除裝置通訊密碼:
按一下移除密碼。
確定裝置未遭鎖定。
| 請注意: 在結果區中,無法進行安全通訊的裝置會顯示一條刪除線。 |
「印表機鎖定」作業可讓使用者強制一個或多個支援的裝置,只透過安全頻道進行通訊。這項作業可在裝置上啟動防火牆,並關閉大部分的網路連接埠,例如:HTTP、SNMP 及 FTP。只有安全連接埠仍保持開放。支援建立區塊與安全性範本的裝置,無法使用「印表機鎖定」作業。
從 MarkVision Professional 主畫面的「所有作業」清單中,選取安全性 - 印表機鎖定。
利用「快速尋找」或「資料夾」標籤來選取裝置。
請按住 Ctrl 並以滑鼠點選或按住 Shift 並以滑鼠點選,來選取多個裝置。
| 請注意: 如果特定作業不支援 MVP 管理的裝置,其名稱在「快速尋找」或「資料夾」標籤中顯示時,會劃上一條黑線。設有密碼保護的網路裝置會顯示為紅色。請輸入裝置密碼,取得該裝置的存取權。 |
選取鎖定勾選框來鎖定裝置。
若要將裝置解除鎖定,請取消勾選鎖定勾選框。
| 請注意: 當「印表機鎖定」選項啟動時,將無法使用「一般檔案下載」和「印表機資源」作業。 |