Schützen der Kommunikation mit dem MarkVision-Server

Verwenden der sicheren Kommunikation

MVP ermöglicht die sichere Kommunikation zwischen dem MarkVision-Server und Netzwerkgeräten, die dasselbe Sicherheitsprotokoll unterstützen. Dadurch können Administratoren gesicherte Geräte im Netzwerk konfigurieren und steuern, mit ihnen kommunizieren und Daten von ihnen abrufen. Die sichere Kommunikation verringert die Bedrohung durch bloßgestellte Anmeldeinformationen oder Gerätebefehle. Die gesamte Sicherheit, mit der die Geräte und der Server kommunizieren, beruht auf der für den MarkVision-Server festgelegten Sicherheitsstufe und der auf das Geräte angewendeten Einstellung für die Kommunikationssicherheit.

Bei Tasks im Rahmen der Kommunikationssicherheit handelt es sich um:

Authentifizieren des Benutzerzugriffs mit LDAP

MVP-Systemverwalter können Benutzer-IDs und Kennwörter mithilfe des firmeneigenen LDAP-Servers authentifizieren. Dadurch ist es nicht erforderlich, dass Benutzer separate IDs und Passwörter für die MVP-Anmeldung haben.

Bei der Aktivierung der LDAP-Server-Authentifizierung stehen Systemverwaltern drei Modi der LDAP-Authentifizierung zur Auswahl. Die folgenden Authentifizierungsmechanismen bieten zunehmende Sicherheit bei der Verbindung mit dem LDAP-Server:

Das Systemverwalterpasswort sollte unbedingt vor der Konfiguration der LDAP-Serverauthentifizierung festgelegt werden. Der Zugriff auf die LDAP-Serverauthentifizierung ist nur über das Haupt-Systemverwalterkonto möglich. Die LDAP-Authentifizierung gilt für alle Benutzerkonten mit Ausnahme des Haupt-Systemverwalterkontos. Für das Haupt-Systemverwalterkonto wird ein eindeutiges MVP-Passwort benötigt.

Erstellen von Benutzerkonten unter Verwendung der einfachen LDAP-Authentifizierung

  1. Wählen Sie im MarkVision Professional-Startbildschirm aus der Liste "Alle Tasks" Benutzerkonten und -gruppen aus.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie im Feld "Kontoname" die bestehenden Anmeldeinformationen der Benutzer-ID ein.

    Hinweis: Diese ID muss mit der in der LDAP-Datenbank gespeicherten Benutzer-ID übereinstimmen.

  4. Lassen Sie das Passwortfeld leer.

    Hinweis: Eine Passworteingabe ist nicht erforderlich oder erlaubt, da die Authentifizierung des Benutzers bei der Anmeldung mithilfe von LDAP erfolgt.

  5. Aktivieren Sie das Kontrollkästchen Verwendung von LDAP-Server/Kerberos-KDC authentifizieren, und wählen Sie anschließend aus der Dropdown-Liste für den Authentifizierungsmechanismus die Option Einfache LDAP-Bindung aus.

  6. Klicken Sie auf Weiter.

  7. Geben Sie die Informationen zum LDAP-Server in die Textfelder für die LDAP-Einstellungen ein:

    • LDAP-Serveradresse:: Geben Sie die IP-Adresse oder den Hostnamen des LDAP-Verzeichnisservers ein, in dem die Authentifizierung stattfindet.

    • Port-Nummer: Der Anschluss, der vom lokalen Computer zur Kommunikation mit dem LDAP-Verzeichnisserver verwendet wird. Die Standardnummer des LDAP-Anschlusses lautet 389.

    • Suchbasis: Die Suchbasis (auch "Distinguished Name" (definierter Name) oder "DN" genannt) ist der Knoten im LDAP-Verzeichnisserver, in dem sich die Benutzerkonten befinden.

      Hinweis: Eine Suchbasis besteht aus mehreren Attributen – wie z.B. cn (gemeinsamer Name), ou (Organisationeinheit), o (Organisation), c (Land) oder dc (Domäne) – die durch Kommas getrennt sind.

    • Benutzerattribute: Geben Sie einen Wert für cn, userid oder userdefined ein, wobei cn für "Gemeinsamer Name" steht.

    • Definierter Name: Geben Sie den definierten Namen des LDAP-Kontos für den MVP-Server ein. Zu den standardmäßigen Beispielen gehören "ou" (Organisationseinheit) und "o" (Organisationsname), wobei "o" der Name eines Unternehmens sein kann und "ou" eine bestimmte Mitarbeitergruppe im Unternehmen (Beispiel: o=Acme, ou=Managers).

    • Passwort und Passwort bestätigen: Wenn die beiden Passwörter übereinstimmen, leuchtet die Kontrollleuchte grün. Wenn die Passwörter nicht übereinstimmen, leuchtet die Kontrollleuchte weiterhin rot.

  8. Wenn Sie SSL verwenden möchten, aktivieren Sie das Kontrollkästchen SSL verwenden und geben Sie das Passwort für den Zertifikatspeicher in das Textfeld ein.

    Hinweis: MVP-Administratoren können ihr Passwort für den Zertifikatspeicher schützen, indem sie vor dem Import des ersten vertrauenswürdigen Zertifikats ein Passwort eingeben.

  9. Klicken Sie auf Weiter.

  10. Wählen Sie ein Zertifikat aus der Liste aus oder klicken Sie auf Importieren, um ein neues Zertifikat zu importieren.

  11. Klicken Sie auf Fertig stellen.

  12. Fordern Sie den Benutzer auf, MVP aufzurufen und dort die Benutzer-ID und das Passwort einzugeben, mit denen er sich beim lokalen Unternehmensnetzwerk anmeldet. Der MarkVision-Server greift auf den LDAP-Server-Verzeichnisdienst des Unternehmens zu und authentifiziert die Benutzeranmeldung mithilfe einer einfachen mit SSL geschützten Verbindung.

Erstellen von Benutzerkonten unter Verwendung der sicheren LDAP-Authentifizierung

  1. Wählen Sie im MarkVision Professional-Startbildschirm aus der Liste "Alle Tasks" Benutzerkonten und -gruppen aus.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie im Feld "Kontoname" die bestehenden Anmeldeinformationen der Benutzer-ID ein.

    Hinweis: Diese ID muss mit der in der LDAP-Datenbank gespeicherten Benutzer-ID übereinstimmen.

  4. Lassen Sie das Passwortfeld leer.

    Hinweis: Eine Passworteingabe ist nicht erforderlich oder erlaubt, da die Authentifizierung des Benutzers bei der Anmeldung mithilfe von LDAP erfolgt.

  5. Aktivieren Sie das Kontrollkästchen Verwendung von LDAP-Server/Kerberos-KDC authentifizieren, und wählen Sie anschließend aus der Dropdown-Liste für den Authentifizierungsmechanismus die Option Sicher aus.

  6. Klicken Sie auf Weiter.

  7. Geben Sie die Informationen zum Kerberos-Server in die Textfelder für die Kerberos-Einstellungen ein:

    • KDC-IP/Host-Name: Geben Sie den Hostnamen oder die IP-Adresse des Kerberos-Servers (Key Distribution Center) ein.

    • Bereich: Geben Sie den Kerberos-Bereich oder einen Domänennamen an, der alle zur Identifizierung Ihrer Netzwerkdomäne erforderlichen Komponenten enthält (zum Beispiel: "camelot.ap.england.com").

    • Benutzername: Geben Sie den Benutzernamen des LDAP-Kontos für den MVP-Server ein.

      Hinweis: Bei der Kerberos-LDAP-Authentifizierung ist je nach Kerberos-Konfiguration möglicherweise ein zugeordnetes MarkVision-Server-Konto erforderlich. Weitere Informationen zu MarkVision-Server-Konten für Kerberos finden Sie in der Kerberos-Dokumentation.

    • Passwort und Passwort bestätigen: Wenn die beiden Passwörter übereinstimmen, leuchtet die Kontrollleuchte grün. Wenn die Passwörter nicht übereinstimmen, leuchtet die Kontrollleuchte weiterhin rot.

  8. Klicken Sie auf Fertig stellen.

Festlegen der Server-Kommunikationssicherheit

Zum Festlegen der Server-Kommunikationssicherheit gehört:

Legen Sie das Passwort für sichere Kommunikation für den Server und die Server-an-Gerät-Sicherheit über die Task "Administrative Einstellungen" in der Liste "Alle Tasks" des MVP-Startbildschirms fest.

Einrichten eines Passworts für sichere Kommunikation für den Server

  1. Wählen Sie im MarkVision Professional-Startbildschirm aus der Liste "Alle Tasks" den Eintrag Administrative Einstellungen aus.

  2. Wählen Sie oben im Dialogfeld die Registerkarte Kommunikationssicherheit aus.

  3. Klicken Sie auf Kommunikationspasswort.

  4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ja, um fortzufahren.

  5. Geben Sie in das Feld "Neues Passwort" das neue Passwort ein.

    Hinweis: Wenn derzeit kein altes Passwort zugeordnet ist, lassen Sie das Feld "Altes Passwort" leer.

  6. Bestätigen Sie das Passwort durch erneute Eingabe.

    Hinweis: Wenn die beiden Passwörter übereinstimmen, leuchtet die Kontrollleuchte grün. Wenn sie nicht übereinstimmen, leuchtet die Kontrollleuchte weiterhin rot.

  7. Klicken Sie auf Übernehmen.

Festlegen der Sicherheitsstufe für die Server-Kommunikation

  1. Wählen Sie im MarkVision Professional-Startbildschirm aus der Liste "Alle Tasks" den Eintrag Administrative Einstellungen aus.

  2. Wählen Sie oben im Dialogfeld die Registerkarte Kommunikationssicherheit aus.

  3. Verschieben Sie den Regler, um die gewünschte Sicherheitsstufe für die Server-Kommunikation einzustellen.

    Die Server-Kommunikationssicherheit kann auf vier Sicherheitsstufen eingestellt werden:

    Server-Sicherheitsstufe

    Effekt

    Ein

    Lässt sowohl sichere als auch unsichere Kommunikation zu.

    Die Kommunikation ist nur dann sicher, wenn das Gerät dies unterstützt und gesperrt ist. In allen anderen Fällen ist die Kommunikation unsicher, mit Ausnahme von sensiblen Informationen (wie Kommunikationspasswörter oder Seitenanzahl beim Scannen und Kopieren). Selbst wenn das Gerät nicht gesperrt ist, werden sensible Informationen immer über einen verschlüsselten Kanal übermittelt.

    Hinweis: Geräte mit erweiterten Funktionen unterstützen nicht die Aufgabe "Sicherheit – Druckersperre". Weitere Informationen finden Sie unter Überblick.

    Aus

    Sichere Funktionen sind nicht verfügbar.

    Geräte, die gesperrt sind, werden nicht gefunden.


    Hinweis: Die Sicherheitsstufe des MarkVision Servers wird unten rechts im MarkVision Professional-Startbildschirm angezeigt.

  4. Klicken Sie auf Anwenden, und anschließend auf OK.

    Hinweis: Diese Einstellung wird sofort übernommen und der Dienst muss nicht neu gestartet werden.

Auswählen der Server-an-Client-Sicherheit

Über die Registerkarte "Kommunikationssicherheit" im Dialogfeld "Administrative Einstellungen" steht Systemverwaltern die Option zur Verfügung, SSL für die Kommunikation zwischen dem MarkVision-Server und dem MarkVision-Client zu verwenden.

  1. Wählen Sie im MarkVision Professional-Startbildschirm aus der Liste "Alle Tasks" Administrative Einstellungen aus.

  2. Klick Sie oben im Dialogfeld auf die Registerkarte Kommunikationssicherheit.

  3. Aktivieren Sie das Kontrollkästchen SSL für Server-Client-Kommunikation verwenden, um die SSL-Kommunikation zu aktivieren.

  4. Klicken Sie auf Anwenden und anschließend auf OK.

    5. Hinweis: SSL wird verwendet, wenn ein Client eine neue Verbindung zum MarkVision-Server herstellt. Diese Einstellung wirkt sich nicht auf die aktuelle Sitzung aus.

Deaktivieren oder Sichern der Remote-Verwaltung eines Geräts

MarkVision Professional ermöglicht Administratoren das Sichern oder Deaktivieren der Remote-Verwaltung bei bestimmten neueren Geräten. Beim Sichern der Remote-Verwaltung eines Geräts muss eine Sicherheitsvorlage an die Remote-Verwaltungs-Zugriffssteuerung angewendet werden.

Für Benutzer, die eine neue Sicherheitsvorlage erstellen, ist die Einrichtung der Zugriffssteuerung zur Deaktivierung der Remote-Verwaltung ein Verfahren mit drei Schritten. Eine Anleitung zur Deaktivierung der Remote-Verwaltung finden Sie in "Schritt 3: Konfiguration der Remote-Verwaltungs-Zugriffssteuerung für das Gerät".

Hinweis: Durch die Deaktivierung der Remote-Verwaltung wird die Kommunikation zwischen einem gewählten Gerät und dem MVP-Server beendet. Obwohl das Gerät nach der Suche in der Geräteliste angezeigt wird, ist MVP möglicherweise nicht in der Lage, seine Funktionen und/oder Merkmale zu bestimmen, da das Gerät selbst das Ablesen solcher Daten verhindert.

Schritt 1: Erstellen eines Bausteins

MVP unterstützt sieben Bausteine: Passwort, PIN, interne Konten, Kerberos, NTLM, LDAP und LDAP + GSSAPI. Bausteine sind die grundlegenden Elemente, mit denen Sicherheitsvorlagen erstellt werden. In den folgenden Schritten wird die Erstellung eines PIN-Bausteins beschrieben. Es kann aber auch jeder der anderen sechs Bausteine damit erstellt werden.

  1. Wählen Sie im Startbildschirm von MarkVision Professional aus der Liste "Alle Tasks" die Option Sicherheit – PIN aus.

  2. Wählen Sie Geräte über die Registerkarten "Schnellsuche" oder "Ordner" aus.

    Sie können mehrere Geräte auswählen, indem Sie beim Klicken die Strg-Taste und Umschalttaste gedrückt halten.

    Hinweis: Wenn ein in MVP verwaltetes Gerät durch eine bestimmte Task nicht unterstützt wird, ist dessen Name auf der Registerkarte "Schnellsuche" oder "Ordner" schwarz durchgestrichen. Passwortgeschützte Netzwerkgeräte werden rot angezeigt. Geben Sie das Gerätepasswort ein, um Zugriff auf das Gerät zu erhalten.

  3. Klicken Sie auf Hinzufügen.

  4. Geben Sie einen Namen und eine PIN in das Dialogfeld "PIN-Konfiguration" ein.

  5. Klicken Sie auf OK.

Schritt 2: Erstellen einer Sicherheitsvorlage

Nach der Konfiguration können ein oder zwei Bausteine unter einem eindeutigen aus bis zu 128 Zeichen bestehenden Namen zusammengefasst werden, um eine Sicherheitsvorlage zu erstellen. Jedes Gerät unterstützt bis zu 140 Sicherheitsvorlagen. Obwohl sich die Namen der Sicherheitsvorlagen voneinander unterscheiden müssen, können Bausteine und Sicherheitsvorlagen einen gemeinsamen Namen haben.

  1. Wählen Sie im Startbildschirm von MarkVision Professional aus der Liste "Alle Tasks" die Option Sicherheit – Sicherheitsvorlagen aus.

  2. Wählen Sie Geräte über die Registerkarten "Schnellsuche" oder "Ordner" aus.

    Sie können mehrere Geräte auswählen, indem Sie beim Klicken die Strg-Taste und Umschalttaste gedrückt halten.

    Hinweis: Wenn ein in MVP verwaltetes Gerät durch eine bestimmte Task nicht unterstützt wird, ist dessen Name auf der Registerkarte "Schnellsuche" oder "Ordner" schwarz durchgestrichen. Passwortgeschützte Netzwerkgeräte werden rot angezeigt. Geben Sie das Gerätepasswort ein, um Zugriff auf das Gerät zu erhalten.

  3. Klicken Sie auf Hinzufügen.

  4. Geben Sie einen Namen für die Sicherheitsvorlage ein und wählen Sie dann den entsprechenden Baustein aus der Authentifizierungseinrichtungs-Liste.

  5. Klicken Sie auf OK.

Schritt 3: Konfiguration der Remote-Verwaltungs-Zugriffssteuerung für das Gerät

Als letzten Schritt zum Einschränken des Gerätezugriffs vom MVP Server müssen Sie eine Sicherheitsvorlage auf die Remote-Verwaltungs-Zugriffssteuerung anwenden oder diese vollständig deaktivieren.

Hinweis: Dadurch wird ausschließlich die Remote-Host-Softwareverwaltung (MarkVision Professional) deaktiviert, nicht aber der Embedded Web Server für das Gerät.

  1. Wählen Sie im Startbildschirm von MarkVision Professional aus der Liste "Alle Tasks" die Option Sicherheit – Zugriffssteuerungen aus.

  2. Wählen Sie Geräte über die Registerkarten "Schnellsuche" oder "Ordner" aus.

    Sie können mehrere Geräte auswählen, indem Sie beim Klicken die Strg-Taste und Umschalttaste gedrückt halten.

    Hinweise:

    • Wenn ein in MVP verwaltetes Gerät durch eine bestimmte Task nicht unterstützt wird, ist dessen Name auf der Registerkarte "Schnellsuche" oder "Ordner" schwarz durchgestrichen. Passwortgeschützte Netzwerkgeräte werden rot angezeigt. Geben Sie das Gerätepasswort ein, um Zugriff auf das Gerät zu erhalten.
    • Dieselbe Sicherheitsvorlage muss auf jedem der gewählten Geräte installiert werden, um die Remote-Verwaltung auf mehr als einem Gerät gleichzeitig zu deaktivieren.

  3. Wählen Sie die neu erstellte Sicherheitsvorlage aus der Dropdown-Liste der Remote-Verwaltung aus und klicken Sie dann auf Anwenden.

    Hinweis: Um die Remote-Verwaltung für das Gerät zu deaktivieren, wählen Sie in der Dropdown-Liste der Remote-Verwaltung die Option Deaktiviert aus und klicken Sie dann auf Anwenden.

Synchronisieren von Gerätekommunikationspasswörtern

Damit MVP Geräte sicher verwalten kann, müssen die Passwörter zwischen dem Server und den verwalteten Geräten übereinstimmen. Beim Synchronisieren eines Gerätepassworts wird das Kommunikationspasswort des Geräts auf dasselbe Passwort eingestellt, das der Server verwendet.

Hinweis: Das Passwort wird über einen verschlüsselten Datenkanal festgelegt.

  1. Wählen Sie im Startbildschirm von MarkVision Professional in der Liste "Alle Tasks" die Option Sicherheit - Kommunikationspasswort aus.

  2. Wählen Sie Geräte über die Registerkarten "Schnellsuche" oder "Ordner" aus.

    Sie können mehrere Geräte auswählen, indem Sie beim Klicken die Strg-Taste und Umschalttaste gedrückt halten.

    Hinweis: Wenn ein in MVP verwaltetes Gerät durch eine bestimmte Task nicht unterstützt wird, ist dessen Name auf der Registerkarte "Schnellsuche" oder "Ordner" schwarz durchgestrichen. Passwortgeschützte Netzwerkgeräte werden in rot angezeigt. Geben Sie das Gerätepasswort ein, um Zugriff auf das Gerät zu erhalten.

  3. Synchronisieren oder entfernen Sie das Gerätepasswort.

    • So synchronisieren Sie das Gerätekommunikationspasswort mit dem MarkVision-Server:

      1. Klicken Sie auf Mit Server synchronisieren.

      2. Klicken Sie auf Ja.

    • So synchronisieren Sie das Kommunikationspasswort für ein Gerät mit einem neuen Server-Passwort:

      1. Klicken Sie auf Mit Server synchronisieren.

      2. Aktivieren Sie im Dialogfeld "Synchronisieren mit Server bestätigen" das entsprechende Kontrollkästchen, um das Synchronisieren zu bestätigen.

      3. Klicken Sie auf Ja.

      4. Geben Sie das alte Server-Kommunikationspasswort ein.

      5. Geben Sie ein neues Server-Kommunikationspasswort ein.

      6. Geben Sie zur Bestätigung das neue Server-Kommunikationspasswort erneut ein.

      7. Klicken Sie auf OK und anschließend auf Ja.

    • So entfernen Sie das Gerätekommunikationspasswort:

      1. Klicken Sie auf Passwort entfernen.

      2. Stellen Sie sicher, dass das Gerät nicht gesperrt ist.

    Hinweis: Geräte, für die keine sichere Kommunikation aktiviert werden kann, werden im Ergebnisbereich schwarz durchgestrichen angezeigt.

Sichern der Druckerkommunikation durch Sperre

Die Task "Druckersperre" stellt für ein oder mehrere unterstützte Geräte sicher, dass die Kommunikation ausschließlich über einen sicheren Kanal erfolgt. Es wird eine Firewall im Gerät aktiviert und die meisten Netzwerkanschlüsse wie HTTP, SNMP und FTP werden deaktiviert. Nur sichere Anschlüsse bleiben aktiviert. Die Task "Druckersperre" ist auf Geräten, die Bausteine und Sicherheitsvorlagen unterstützen, nicht verfügbar.

  1. Wählen Sie im Startbildschirm von MarkVision Professional aus der Liste "Alle Tasks" die Option Sicherheit - Druckersperre aus.

  2. Wählen Sie Geräte über die Registerkarten "Schnellsuche" oder "Ordner" aus.

    Sie können mehrere Geräte auswählen, indem Sie beim Klicken die Strg-Taste und Umschalttaste gedrückt halten.

    Hinweis: Wenn ein in MVP verwaltetes Gerät durch eine bestimmte Task nicht unterstützt wird, ist dessen Name auf der Registerkarte "Schnellsuche" oder "Ordner" schwarz durchgestrichen. Passwortgeschützte Netzwerkgeräte werden in rot angezeigt. Geben Sie das Gerätepasswort ein, um Zugriff auf das Gerät zu erhalten.

  3. Aktivieren Sie das Kontrollkästchen Sperre, um das Gerät zu sperren.

    Um die Sperre eines Geräts aufzuheben, deaktivieren Sie das Kontrollkästchen Sperre.

Hinweis: Wenn die Druckersperre aktiviert ist, sind die Optionen für Druckerressourcen sowie zum Download generischer Daten nicht verfügbar.

Anzeigen verschlüsselter Festplattenlaufwerke

Einige Geräte enthalten verschlüsselte Festplattenlaufwerke, um die auf den Geräten gespeicherten Daten zu schützen. MVP ermöglicht es, ohne Beeinträchtigung der Gerätesicherheit Daten von Festplattenlaufwerken abzurufen. Wenn ein Gerät ein verschlüsseltes Festplattenlaufwerk aufweist und die Kommunikation über einen sicheren Kanal erfolgt, kann ein Systemverwalter das Festplattenlaufwerk mithilfe der Task "Speichergeräte" einsehen. Falls das Festplattenlaufwerk verschlüsselt ist und die Kommunikation mit dem Gerät nicht über einen sicheren Kanal erfolgt, werden die auf dem Festplattenlaufwerk gespeicherten Daten aus Sicherheitsgründen nicht von der Task angezeigt. Zwar ist es mit MVP möglich, verschlüsselte Festplattenlaufwerke einzusehen, die Verschlüsselung eines Geräts kann jedoch nicht mit MVP geändert werden.