Шифрование передаваемых по сети данных
Для защиты передаваемой информации необходимо зашифровать передачу данных между компьютерами и внешним оборудованием.
Данные, отправленные и принятые аппаратом, могут быть перехвачены, расшифрованы или незаконно изменены во время передачи. Например, перечисленное далее может передаваться между аппаратом и внешними устройствами или компьютером.
Документы, распечатанные в компании с помощью драйвера принтера
Имя пользователя и пароль для входа в систему
Способы шифрования данных представлены в таблице ниже.
Данные для шифрования | Метод шифрования | Процесс/ссылка |
|---|---|---|
Web Image Monitor Печать IPP Аутентификация Windows Аутентификация LDAP | SSL/TLS | Установите сертификат устройства.
|
Данные управления аппаратом | SNMPv3 | Задайте пароль шифрования.
|
Информация аутентификации для заданий печати | Ключ шифрования драйвера Аутентификация IPP | Указание ключа шифрования драйвера Задайте использование аутентификации IPP.
|
Данные аутентификации Kerberos | Зависит от сервера KDC | Выберите метод шифрования.
|
Администратор должен следить за соблюдением срока действия сертификатов и своевеременным их обновлением.
Администратор должен убедиться в состоятельности издателя сертификата.
Установка самоподписывающегося сертификата или сертификата, выданного центром сертификации
Чтобы зашифровать данные, передаваемые на аппарат, установите сертификат устройства.
Можно использовать сертификаты устройств двух типов: самоподписывающийся сертификат, созданный на аппарате, и сертификат, выданный центром сертификации. Когда необходимо обеспечить более высокий уровень надежности, следует использовать сертификат, выданный центром сертификации.
Установите сертификат устройства из Web Image Monitor.
Установка самоподписывающегося сертификата или сертификата, выданного центром сертификации
Войдите в систему аппарата в качестве сетевого администратора в приложении Web Image Monitor.
Нажмите [Конфигурация] в меню [Управление устройством].
Нажмите [Сертификат устройства] в категории "Безопасность".
На экране Device Certificate выполните приведенные инструкции и установите самоподписывающийся сертификат или сертификат, выданный центром сертификации.
Установка самоподписывающегося сертификата
Создайте и установите самоподписывающийся сертификат.
Выберите номер из списка для создания самоподписывающегося сертификата.
Нажмите [Create] для того, чтобы задать необходимые настройки.
Общее имя: введите имя создаваемого сертификата устройства. Необходимо ввести имя.
Введите данные для Организация, Организационная единица и другие данные по мере необходимости.
Нажмите [OK].
Установлен отобразится в поле Статус сертификата.
Установка сертификата, выданного центром сертификации
Запросите сертификат устройства в центре сертификации и установите его. Выполните те же действия, чтобы установить промежуточный сертификат.
Выберите номер из списка для создания сертификата устройства.
Нажмите [Запрос], чтобы задать необходимые настройки.
Нажмите [OK].
Запрашивается отобразится в поле Статус сертификата.
Обратитесь в центр сертификации за сертификатом устройства.
Обращаться в центр сертификации через приложение Web Image Monitor нельзя. Процедура подачи заявки зависит от центра сертификации. Для получения подробной информации обратитесь в центр сертификации.
Для подачи заявки нажмите значок подробной информации
и используйте информацию, которая отобразится в представлении "Сведения о сертификате".Место выдачи может не отображаться, если одновременно запрашивается несколько сертификатов. В процессе установки сертификата проверьте правильность адресата и процедуры инсталляции.
После того как сертификат устройства был выдан центром сертификации, выберите номер выданного сертификата в списке на экране Device Certificate, а затем нажмите [Установка].
Введите данные сертификата устройства в поля ввода.
Чтобы параллельно установить промежуточный сертификат, введите также данные промежуточного сертификата.
Если промежуточный сертификат, выданный центром сертификации, не установлен, во время сеанса передачи данных по сети будет отображаться предупреждающее сообщение. Если промежуточный сертификат выдается центром сертификации, необходимо установить промежуточный сертификат.
Нажмите [OK].
Установлен отобразится в поле Статус сертификата.
После завершения установки выберите сертификат для каждого приложения в окне Сертификация.
Нажмите [OK].
После завершения настройки нажмите [Ок] и закройте веб-браузер.
Чтобы распечатать сохраненные на аппарате данные с помощью IPP-SSL, пользователь должен установить на компьютере сертификат. Если доступ к аппарату осуществляется с помощью IPP, выберите "Доверенные корневые центры сертификации" в качестве места хранения сертификата.
Чтобы изменить Общее имя сертификата устройства при использовании стандартного IPP-порта Windows, предварительно удалите все ранее настроенные принтеры для ПК и повторно установите драйвер принтера. Кроме того, чтобы изменить настройки аутентификации пользователя (имя пользователя и пароль для входа в систему), предварительно удалите все ранее настроенные принтеры для ПК, измените настройки аутентификации и повторно установите драйвер принтера.
Шифрование передаваемых данных с использованием SSL/TLS
SSL (Secure Sockets Layer)/TLS (Transport Layer Security) — это метод шифрования передаваемых данных. Протоколы SSL/TLS позволяют предотвратить перехват, расшифровку или незаконное изменение данных.
Чтобы проверить активацию конфигурации SSL/TLS, введите "https://(IP-адрес аппарата или имя хоста)/" в адресной строке веб-браузера для получения доступа к этому аппарату. Если появляется сообщение "Невозможно отобразить страницу", проверьте конфигурацию, так как текущая конфигурация SSL/TLS недействительна.
Если вы включите SSL/TLS для IPP (функции принтера), отправляемые данные будут шифроваться, предотвращая их перехват, анализ или подделку.
Поток передаваемых данных, зашифрованных с помощью SSL/TLS
При осуществлении доступа к аппарату компьютер пользователя запрашивает сертификат устройства SSL/TLS и открытый ключ.
Сертификат устройства и открытый ключ отправляются с аппарата на компьютер пользователя.
Общий ключ, созданный на компьютере, шифруется с использованием открытого ключа, отправленного на устройство и затем расшифрованного с использованием закрытого ключа на устройстве.
Общий ключ используется для шифрования и дешифрования данных, обеспечивая безопасную передачу данных.
Для включения шифрования передаваемых данных необходимо заранее установить на аппарате сертификат устройства.
Чтобы зашифровать передаваемые данные с помощью SSL/TLS, включите SSL/TLS приведенным далее способом.
Включение SSL/TLS
Войдите в систему аппарата в качестве сетевого администратора в приложении Web Image Monitor.
Нажмите [Конфигурация] в меню [Управление устройством].
Нажмите [SSL/TLS] в категории "Безопасность".
Выберите протокол для включения шифрования передаваемых данных в SSL/TLS и укажите сведения о методе связи.
Разрешить соединение SSL/TLS: выберите один из приведенных режимов шифрования передаваемых данных.
Приор.шиф.текста: шифрование передаваемых данных выполняется при создании сертификата устройства. Если шифрование невозможно, аппарат будет передавать данные в виде незашифрованного текста.
Шиф./Незашифр.тек.: шифрование передаваемых данных выполняется при подключении к аппарату с помощью адреса "https" через веб-браузер. При подключении к аппарату с помощью адреса "http" данные передаются в виде незашифрованного текста.
Только шифротекст: разрешена только зашифрованная передача данных. Если шифрование невозможно, соединение с аппаратом не устанавливается. Если по какой-либо причине шифрование невозможно, передача данных выполняться не будет. В этом случае на панели управления выберите [Интерфейс хост-компьютера]
[Сеть][Разреш.SSL/TLS соед.], временно измените режим передачи данных на [Шиф./Незашифр.тек.], а затем проверьте настройки.
Версия SSL/TLS: укажите TLS 1.2, TLS 1.1, TLS 1.0 и SSL 3.0 для активации или деактивации. Хотя бы один из этих протоколов должен оставаться активным.
Настройка сложности шифрования: задайте применяемый алгоритм шифрования, выбрав AES, 3DES и RC4. Необходимо выбрать по крайней мере один из предложенных вариантов.
KEY EXCHANGE: задайте, следует ли включать или отключать обмен ключами RSA.
DIGEST: задайте, следует ли включить или отключить SHA-1 DIGEST.
Нажмите [OK].
После завершения настройки нажмите [Ок] и закройте веб-браузер.
Для шифрования передаваемых данных с помощью сервера SMTP выполните приведенную процедуру и установите для SSL[Вкл.].
В зависимости от состояния, указанного для TLS 1.2, TLS 1.1, TLS 1.0 и SSL 3.0, аппарат может не подключиться к внешнему серверу LDAP.
Включение SSL для SMTP-соединения
Войдите в систему аппарата в качестве сетевого администратора в приложении Web Image Monitor.
Нажмите [Конфигурация] в меню [Управление устройством].
Нажмите [Эл.почта] в категории "Настройки устройства".
В разделе "SMTP" нажмите [Вкл.] для параметра "Исп.безопас.соед.(SSL)".
После завершения настройки номер порта изменится на 465 (SMTP over SSL). При использовании SMTP over TLS (STARTTLS) для шифрования измените номер порта на 587.
Когда задан номер порта, отличный от 465 и 587, передаваемые данные будут шифроваться в соответствии с настройками сервера SMTP.
Нажмите [Ок] и закройте веб-браузер.
Шифрование данных, передаваемых с помощью программного обеспечения для управления аппаратом через SNMPv3
Если мониторинг устройств осуществляется с использованием Device Manager NX через сеть, зашифровать передаваемые данные можно с помощью протокола SNMPv3.
Войдите в систему аппарата в качестве сетевого администратора в приложении Web Image Monitor.
Нажмите [Конфигурация] в меню [Управление устройством].
Нажмите [Сетевая безопасность] в категории "Безопасность".
В поле "Разрешить соединение SNMPv3" раздела "SNMP" нажмите [Только шифрование].
Нажмите [Ок] и закройте веб-браузер.
Для изменения настроек аппарата через Device Manager NX задайте пароль шифрования для сетевого администратора в [Программировать/изменить администратора], а затем зарегистрируйте пароль шифрования в учетной записи SNMP в Device Manager NX.
Шифрование пароля заданий печати
Пароль для драйвера принтера и пароль для печати IPP можно зашифровать для улучшения защиты от взлома.
Чтобы выполнить печать через локальную сеть внутри офиса, задайте ключ шифрования драйвера.
Чтобы выполнить печать IPP через внешнюю сеть, зашифруйте пароль печати IPP.
Задание ключа шифрования драйвера для шифрования паролей
С целью шифрования и расшифровки паролей ключ шифрования драйвера аппарата можно также задать для драйвера принтера.
Нажмите клавишу [Меню].
Войдите в систему аппарата как администратор сети, используя панель управления.
Выберите [Опции безоп.] и нажмите [OK].
Выберите [Расширенная безопасность] и нажмите [OK].
Выберите [Ключ шифрования драйвера] и нажмите [OK].
С помощью клавиши [
] или [
] выберите символ ключа шифрования драйвера и нажмите [OK] для выбора этого символа. Повторите эти шаги для ввода всего ключа шифрования драйвера и нажмите клавишу выбора под пунктом [Принять].
Чтобы ввести буквы в верхнем регистре, цифры или дополнительные знаки, нажмите клавишу выбора под надписью [ABC/123].
Чтобы удалить введенные символы, нажмите клавишу выбора под надписью [Удалить].
Введите ключ шифрования драйвера длиной до 32 алфавитно-цифровых символов.
Повторите шаги 6 и 7 для повторного ввода ключа шифрования драйвера.
Нажмите клавишу выбора под пунктом [Выйти].
Сетевой администратор должен предоставить пользователям ключ шифрования драйвера, указанный в устройстве, чтобы они могли зарегистрировать его на своих компьютерах.
Убедитесь, что ключ шифрования драйвера совпадает с тем, который задан в настройках аппарата.
Если нужный элемент не отображается на экране, нажимайте клавишу [
] или [
] на панели управления, пока он не появится.
Шифрование пароля печати IPP
Если печать выполняется с использованием протокола IPP, для шифрования пароля аутентификации IPP задайте [DIGEST] в качестве способа аутентификации. Зарегистрируйте в адресной книге имя пользователя и пароль для аутентификации IPP отдельно от информации пользователя.
Войдите в систему аппарата в качестве сетевого администратора в приложении Web Image Monitor.
Нажмите [Конфигурация] в меню [Управление устройством].
Нажмите [IPP аутентификация] в категории Безопасность.
Выберите "DIGEST" на вкладке "Аутентификация".
Введите данные для Имя пользователя и Пароль.
Нажмите [OK].
После завершения настройки закройте веб-браузер.
Шифрование данных, передаваемых между KDC и аппаратом
Данные, передаваемые между аппаратом и сервером центра распределения ключей (KDC), можно зашифровать путем использования аутентификации Kerberos наряду с аутентификацией Windows или LDAP, что позволяет обеспечить коммуникационную безопасность.
Могут использоваться различные алгоритмы шифрования в зависимости от типа сервера KDC.
Войдите в систему в качестве администратора аппарата в приложении Web Image Monitor.
Нажмите [Конфигурация] в меню [Управление устройством].
Нажмите [Аут. Kerberos] в категории Device Settings.
Выберите алгоритм шифрования для включения.
Только Heimdal поддерживает DES3-CBC-SHA1.
Чтобы использовать DES-CBC-MD5 в Windows Server 2008 R2 или более поздней версии, включите его поддержку в настройках операционной системы.
Нажмите [Ок] и закройте веб-браузер.