การเข้ารหัสการสื่อสารผ่านเครือข่าย
ในการป้องกันข้อมูลที่สื่อสาร การเข้ารหัสการสื่อสารระหว่างคอมพิวเตอร์และอุปกรณ์ภายนอกจึงมีความจำเป็น
ข้อมูลที่ส่งและรับโดยเครื่องสามารถถูกดัก เจาะ หรือดัดแปลงระหว่างการรับส่งข้อมูล ตัวอย่างเช่น ข้อมูลต่อไปนี้สามารถรับส่งระหว่างเครื่องและอุปกรณ์ภายนอกหรือคอมพิวเตอร์:
เอกสารที่พิมพ์ในบริษัทโดยใช้พรินเตอร์ไดรฟ์เวอร์
ชื่อผู้ใช้และรหัสผ่านสำหรับเข้าสู่ระบบ
ดูตารางด้านล่างสำหรับวิธีการเข้ารหัสข้อมูล
ข้อมูลที่จะเข้ารหัส | วิธีการเข้ารหัส | กระบวนการ/การอ้างอิง |
|---|---|---|
Web Image Monitor การพิมพ์ผ่าน IPP Windows authentication LDAP authentication | SSL/TLS | ติดตั้งใบรับรองอุปกรณ์
|
ข้อมูลการจัดการเครื่อง | SNMPv3 | ระบุรหัสผ่านการเข้ารหัส
|
ข้อมูลการยืนยันตัวตนสำหรับงานพิมพ์ | คีย์การเข้ารหัสไดรฟ์เวอร์ การยืนยันตัวตนผ่าน IPP | การระบุคีย์การเข้ารหัสไดรฟ์เวอร์ ระบุการยืนยันตัวตนผ่าน IPP
|
ข้อมูลการยืนยันตัวตนผ่าน Kerberos | แตกต่างกันไปตามเซิร์ฟเวอร์ KDC | เลือกวิธีการเข้ารหัส
|
ผู้ดูแลระบบจำเป็นต้องบริหารจัดการวันหมดอายุของใบรับรองและต่ออายุใบรับรองต่างๆ ก่อนที่จะหมดอายุ
ผู้ดูแลระบบจำเป็นจะต้องตรวจสอบดูว่าผู้ออกใบรับรองดังกล่าวนั้นเป็นองค์กรที่ถูกต้องหรือไม่
การติดตั้งใบรับรองที่ลงชื่อด้วยตัวเอง/ใบรับรองที่ออกโดยผู้ออกใบรับรอง
ในการเข้ารหัสการสื่อสารกับเครื่อง ให้ติดตั้งใบรับรองอุปกรณ์
มีใบรับรองอุปกรณ์สองชนิดที่สามารถใช้ได้: ใบรับรองที่ลงชื่อด้วยตัวเองที่สร้างขึ้นโดยเครื่องและใบรับรองที่ออกโดยผู้ออกใบรับรอง หากต้องการความเชื่อมั่นมากขึ้น ให้ใช้ใบรับรองที่ออกโดยผู้ออกใบรับรอง
ติดตั้งใบรับรองอุปกรณ์จาก Web Image Monitor
การติดตั้งใบรับรองที่ลงชื่อด้วยตัวเอง/ใบรับรองที่ออกโดยผู้ออกใบรับรอง
เข้าสู่ระบบในฐานะผู้ดูแลระบบเครือข่ายจาก Web Image Monitor
คลิก [Configuration] จากเมนู [Device Management]
คลิก [Device Certificate] ในหมวดหมู่ "Security"
บนหน้าจอ "Device Certificate" ให้ติดตั้งใบรับรองที่ลงชื่อด้วยตัวเองหรือใบรับรองที่ออกโดยผู้ออกใบรับรองโดยปฏิบัติตามคำแนะนำด้านล่าง:
วิธีการติดตั้งใบรับรองที่ลงชื่อด้วยตัวเอง
สร้างและติดตั้งใบรับรองที่ลงชื่อด้วยตัวเอง
เลือกหมายเลขจากรายการเพื่อสร้างใบรับรองที่ลงชื่อด้วยตัวเอง
คลิก [Create] เพื่อระบุการตั้งค่าที่จำเป็น
Common Name: ป้อนชื่อใบรับรองอุปกรณ์ที่ต้องการสร้าง (จำเป็น)
ป้อน "Organization", "Organizational Unit" และรายการอื่นๆ ที่จำเป็น
คลิก [OK]
"Installed" จะแสดงขึ้นมาใน "Certificate Status"
วิธีการติดตั้งใบรับรองที่ออกโดยผู้ออกใบรับรอง
ขอรับใบรับรองอุปกรณ์จากผู้ออกใบรับรอง และติดตั้งใบรับรอง โดยทำตามขั้นตอนเดียวกันนี้เพื่อติดตั้งใบรับรองระดับกลาง
เลือกหมายเลขจากรายการเพื่อสร้างใบรับรองอุปกรณ์
คลิก [Request] เพื่อระบุการตั้งค่าที่จำเป็น
คลิก [OK]
"Requesting" จะแสดงขึ้นมาใน "Certificate Status"
ยื่นขอใบรับรองอุปกรณ์จากผู้ให้บริการออกใบรับรอง
ไม่สามารถยื่นขอใบรับรองจาก Web Image Monitor ได้ ขั้นตอนการยื่นขอใบรับรองจะแตกต่างกันไปซึ่งขึ้นอยู่กับผู้ออกใบรับรอง หากต้องการรายละเอียด โปรดติดต่อผู้ให้บริการออกใบรับรอง
เมื่อต้องการขอใบรับรอง ให้คลิกไอคอนรายละเอียด
และใช้ข้อมูลที่แสดงขึ้นมาใน "Certificate Details"ตำแหน่งที่ออกใบรับรองอาจจะไม่แสดง หากยื่นขอใบรับรองหลายฉบับพร้อมกัน ขณะติดตั้งใบรับรอง โปรดตรวจสอบปลายทางของใบรับรองและขั้นตอนในการติดตั้ง
หลังจากที่ผู้ออกใบรับรองได้ออกใบรับรองอุปกรณ์แล้ว ให้เลือกหมายเลขของใบรับรองที่ออกให้นั้นจากรายการบนหน้าจอ "Device Certificate" จากนั้นคลิก [Install]
ป้อนเนื้อหาของใบรับรองอุปกรณ์ในช่องป้อนข้อมูล
ในการติดตั้งใบรับรองระดับกลางในเวลาเดียวกัน ให้ป้อนเนื้อหาของใบรับรองระดับกลางด้วย
หากไม่มีการติดตั้งใบรับรองระดับกลางที่ออกโดยผู้ออกใบรับรอง ข้อความแจ้งเตือนจะแสดงขึ้นมาระหว่างการสื่อสารของเครือข่าย เมื่อผู้ออกใบรับรองได้ออกใบรับรองระดับกลางแล้ว ต้องทำการติดตั้งใบรับรองระดับกลางนั้น
คลิก [OK]
"Installed" จะแสดงขึ้นมาใน "Certificate Status"
หลังจากเสร็จสิ้นการติดตั้งแล้ว ให้เลือกใบรับรองสำหรับแต่ละแอปพลิเคชัน "Certification"
คลิก [OK]
หลังจากเสร็จสิ้นการกำหนดค่าแล้ว ให้คลิก [OK] แล้วออกจากเว็บเบราว์เซอร์
ในการพิมพ์ข้อมูลในเครื่องโดยใช้ IPP-SSL ผู้ใช้ต้องติดตั้งใบรับรองในเครื่องคอมพิวเตอร์ก่อน เลือก "Trusted Root Certification Authorities" สำหรับตำแหน่งที่เก็บบันทึกใบรับรองขณะเข้าถึงเครื่องโดย IPP
ในการเปลี่ยนแปลง "Common Name" ของใบรับรองอุปกรณ์ เมื่อใช้พอร์ต IPP มาตรฐานของ Windows ให้ลบเครื่องพิมพ์พีซีที่กำหนดค่าไว้ก่อนหน้านี้ และติดตั้งพรินเตอร์ไดรฟ์เวอร์อีกครั้ง นอกจากนี้ในการเปลี่ยนแปลงแก้ไขการตั้งค่าการยืนยันตัวตนผู้ใช้ (ชื่อผู้ใช้และรหัสผ่านสำหรับเข้าสู่ระบบ) ให้ลบเครื่องพิมพ์พีซีที่กำหนดค่าไว้ก่อนหน้านี้เสียก่อน เปลี่ยนการตั้งค่าการยืนยันตัวตนผู้ใช้ จากนั้นติดตั้งพรินเตอร์ไดรฟ์เวอร์ใหม่อีกครั้ง
การเข้ารหัสการรับส่งข้อมูลโดยใช้ SSL/TLS
SSL (Secure Sockets Layer) /TLS (Transport Layer Security) เป็นวิธีการเข้ารหัสการสื่อสารของเครือข่าย SSL/TLS จะป้องกันไม่ให้ข้อมูลถูกดัก เจาะ หรือดัดแปลง
หากต้องการตรวจสอบว่ามีการเปิดใช้การกำหนดค่า SSL/TLS หรือไม่ โปรดป้อน "https://(ที่อยู่ IP ของเครื่องหรือชื่อโฮสต์)/" ลงในแถบที่อยู่ของเว็บเบราว์เซอร์เพื่อเข้าถึงเครื่องๆ นี้ หากข้อความ "The page cannot be displayed" แสดงขึ้น โปรดตรวจสอบการกำหนดค่าอีกครั้ง เนื่องจากการกำหนดค่าของ SSL/TLS ปัจจุบันไม่ถูกต้อง
หากเปิดใช้ SSL/TLS สำหรับ IPP (ฟังก์ชัน Printer) ข้อมูลที่ถูกส่งไปจะถูกเข้ารหัสเพื่อป้องกันไม่ให้ถูกดัก ถูกวิเคราะห์ หรือถูกปลอมแปลง
กระบวนการในการสื่อสารที่มีการเข้ารหัสแบบ SSL/TLS
เครื่องคอมพิวเตอร์ของผู้ใช้ร้องขอใบรับรองอุปกรณ์ SSL/TLS และคีย์สาธารณะในขณะเข้าถึงเครื่อง
ใบรับรองอุปกรณ์และคีย์สาธารณะจะถูกส่งจากเครื่องไปยังคอมพิวเตอร์ของผู้ใช้งาน
คีย์ที่แชร์ร่วมกันซึ่งสร้างขึ้นบนเครื่องคอมพิวเตอร์จะถูกเข้ารหัสโดยใช้คีย์สาธารณะดังกล่าว แล้วส่งไปยังเครื่อง จากนั้นเครื่องจะทำการถอดรหัสโดยใช้คีย์ส่วนตัวในเครื่อง
คีย์ที่แชร์ร่วมกันจะถูกนำไปใช้สำหรับการเข้ารหัสและถอดรหัสข้อมูล จึงทำให้การรับส่งข้อมูลมีความปลอดภัย
ในการเปิดใช้งานการสื่อสารที่มีการเข้ารหัส ให้ติดตั้งใบรับรองอุปกรณ์ในเครื่องล่วงหน้า
ในการเข้ารหัสการสื่อสารโดยใช้ SSL/TLS ให้เปิดใช้งาน SSL/TLS ดังนี้:
การเปิดใช้ SSL/TLS
เข้าสู่ระบบในฐานะผู้ดูแลระบบเครือข่ายจาก Web Image Monitor
คลิก [Configuration] จากเมนู [Device Management]
คลิก [SSL/TLS] ในหมวดหมู่ "Security"
เลือกโพรโทคอลเพื่อเปิดใช้งานการสื่อสารที่มีการเข้ารหัสไว้บน "SSL/TLS" เพื่อระบุรายละเอียดเกี่ยวกับวิธีการสื่อสาร
Permit SSL/TLS Communication: เลือกหนึ่งในโหมดการสื่อสารที่มีการเข้ารหัสด้านล่างนี้:
Ciphertext Priority: ทำการสื่อสารที่มีการเข้ารหัสลับเมื่อใบรับรองอุปกรณ์ได้ถูกสร้างแล้ว หากไม่สามารถเข้ารหัสได้ เครื่องจะสื่อสารข้อมูลในรูปแบบข้อความที่ชัดเจน
Ciphertext/Cleartext: ทำการสื่อสารที่มีการเข้ารหัสลับเมื่อเชื่อมต่อกับเครื่องโดยใช้ที่อยู่ "https" จากเว็บเบราว์เซอร์ สื่อสารในรูปแบบข้อความที่ชัดเจนเมื่อเชื่อมต่อกับเครื่องโดยใช้ที่อยู่ "http"
Ciphertext Only: อนุญาตให้มีการสื่อสารที่มีการเข้ารหัสเท่านั้น หากไม่สามารถทำการเข้ารหัสได้ เครื่องจะไม่มีการติดต่อสื่อสาร หากไม่สามารถเข้ารหัสได้เนื่องจากเหตุผลบางประการ เครื่องจะไม่สามารถสื่อสารได้ ในกรณีนี้ ให้เลือก [Host Interface]
[Network][Permit SSL/TLS Comm.] บนแผงควบคุม เปลี่ยนโหมดการสื่อสารไปเป็น [Ciphertext/Cleartext] ชั่วคราว จากนั้นให้ตรวจสอบการตั้งค่า
SSL/TLS Version: ระบุ TLS 1.2, TLS 1.1, TLS 1.0, และ SSL 3.0 เพื่อเปิดหรือปิดใช้งาน ต้องเปิดใช้งานโปรโตคอลอย่างน้อยหนึ่งโปรโตคอล
Encryption Strength Setting: ระบุอัลกอริทึมการเข้ารหัสที่ต้องการใช้กับ AES, 3DES, และ RC4 โดยจะต้องเลือกอย่างน้อยหนึ่งข้อ
KEY EXCHANGE: ระบุว่าจะเปิดหรือปิดใช้งานการแลกเปลี่ยนคีย์ RSA
DIGEST: ระบุว่าจะเปิดหรือปิดใช้งาน SHA-1 DIGEST
คลิก [OK]
หลังจากเสร็จสิ้นการกำหนดค่าแล้ว ให้คลิก [OK] แล้วออกจากเว็บเบราว์เซอร์
ในการเข้ารหัสการสื่อสารกับเซิร์ฟเวอร์ SMTP ให้ใช้ขั้นตอนต่อไปนี้เพื่อเปลี่ยน "SSL" เป็น [On]
เครื่องอาจไม่สามารถเชื่อมต่อกับเซิฟเวอร์ LDAP ภายนอก โดยขึ้นอยู่กับสถานภาพที่คุณระบุสำหรับ TLS 1.2, TLS 1.1, TLS 1.0 และ SSL 3.0
การเปิดใช้งานการเชื่อมต่อผ่าน SSL สำหรับ SMTP
เข้าสู่ระบบในฐานะผู้ดูแลระบบเครือข่ายจาก Web Image Monitor
คลิก [Configuration] จากเมนู [Device Management]
คลิก [Email] ในหมวดหมู่ "Device Settings"
ใน "SMTP" ให้คลิก [On] ที่ "Use Secure Connection (SSL)"
หลังจากเสร็จสิ้นการกำหนดค่าแล้ว หมายเลขพอร์ตจะเปลี่ยนไปเป็น 465 (SMTP แทน SSL) เมื่อใช้ SMTP แทน TLS (STARTTLS) สำหรับการเข้ารหัส ให้เปลี่ยนหมายเลขพอร์ตเป็น 587
เมื่อระบุหมายเลขพอร์ตเป็นหมายเลขอื่นนอกเหนือจาก 465 และ 587 การสื่อสารจะถูกเข้ารหัสตามการตั้งค่าในเซิร์ฟเวอร์ SMTP
คลิก [OK] และออกจากเว็บเบราว์เซอร์
การเข้ารหัสข้อมูลที่สื่อสารด้วยซอฟต์แวร์การจัดการเครื่องผ่าน SNMPv3
เมื่อตรวจสอบติดตามอุปกรณ์โดยใช้ Device Manager NX ผ่านทางเครือข่าย คุณสามารถเข้ารหัสข้อมูลที่รับส่งได้โดยใช้โปรโตคอล SNMPv3
เข้าสู่ระบบในฐานะผู้ดูแลระบบเครือข่ายจาก Web Image Monitor
คลิก [Configuration] จากเมนู [Device Management]
คลิก [Network Security] ในหมวดหมู่ "Security"
ใน "Permit SNMPv3 Communication" ที่ "SNMP" ให้คลิก [Encryption Only]
คลิก [OK] และออกจากเว็บเบราว์เซอร์
ในการเปลี่ยนแปลงการตั้งค่าที่ระบุไว้ในเครื่องจาก Device Manager NX ให้ระบุรหัสผ่านสำหรับการเข้ารหัสต่อผู้ดูแลระบบเครือข่ายใน [Program/Change Administrator] จากนั้นลงทะเบียนรหัสผ่านสำหรับการเข้ารหัสในบัญชี SNMP ของ Ridoc IO Device Manager
การเข้ารหัสรหัสผ่านสำหรับเข้าสู่ระบบของงานพิมพ์
คุณสามารถเข้ารหัสรหัสผ่านสำหรับเข้าสู่ระบบสำหรับไดรเวอร์เครื่องพิมพ์และรหัสผ่านสำหรับการพิมพ์แบบ IPP เพื่อเพิ่มความปลอดภัยต่อการถอดรหัสผาน
ในการพิมพ์งานจาก LAN ภายในสำนักงาน ให้ระบุคีย์การเข้ารหัสลับไดรเวอร์
ในการทำการพิมพ์ IPP จากเครือข่ายภายนอก ให้เข้ารหัสรหัสผ่านของการพิมพ์ IPP
การระบุคีย์การเข้ารหัสไดรเวอร์เพื่อเข้ารหัสรหัสผ่าน
ระบุคีย์การเข้ารหัสไดรเวอร์ที่ระบุไว้ในเครื่อง รวมทั้งไดรเวอร์เครื่องพิมพ์เพื่อเข้ารหัสและถอดรหัสรหัสผ่าน
กดปุ่ม [Menu]
เข้าสู่ระบบเครื่องในฐานะผู้ดูแลระบบเครือข่ายที่แผงควบคุม
เลือก [Security Options] จากนั้นกดปุ่ม [OK]
เลือก [Extended Security] จากนั้นกดปุ่ม [OK]
เลือก [Driver Encryption Key] จากนั้นกดปุ่ม [OK]
กดปุ่มเลือกรายการด้านล่าง [Enter]
"วิธีใช้ปุ่มเลือกรายการ", คู่มือผู้ใช้ (เวอร์ชันเต็ม) ภาษาอังกฤษ
กด [
] หรือ [
] เพื่อเลือกอักขระสำหรับคีย์เข้ารหัสไดร์เวอร์ จากนั้นกดปุ่ม [OK] เพื่อกรอกอักขระ ทวนซ้ำขั้นตอนนี้เพื่อกรอกคีย์เข้ารหัสไดร์เวอร์ จากนั้นกดปุ่มเลือกรายการด้านล่าง [Accept]
ใส่ตัวอักษรพิมพ์ใหญ่ ตัวเลข หรือสัญลักษณ์โดยกดปุ่มเลือกรายการด้านล่าง [ABC/123]
ลบตัวอักษรที่ใส่โดยกดปุ่มเลือกรายการด้านล่าง [Delete]
ป้อนคีย์เข้ารหัสสำหรับไดรเวอร์โดยใช้ตัวเลขและตัวอักษรได้สูงสุด 32 ตัว
ทวนซ้ำขั้นตอนที่ 6 และ 7 เพื่อกรอกคีย์เข้ารหัสไดร์เวอร์อีกครั้ง
กดปุ่มเลือกรายการด้านล่าง [Logout]
ผู้ดูแลระบบเครือข่ายจะต้องมอบคีย์เข้ารหัสสำหรับไดรเวอร์ซึ่งกำหนดไว้บนเครื่องดังกล่าวให้แก่ผู้ใช้งาน เพื่อให้ผู้ใช้งานสามารถลงทะเบียนคีย์ดังกล่าวบนเครื่องของตนเองได้
โปรดแน่ใจว่าได้ป้อนคีย์เข้ารหัสสำหรับไดรเวอร์เหมือนกับที่ระบุไว้บนเครื่อง
หากไม่พบรายการเมนูที่ต้องการบนหน้าจอ ให้กดปุ่ม [
] หรือ [
] บนแผงควบคุมจนกว่าจะปรากฏ
การเข้ารหัสรหัสผ่านของการพิมพ์ IPP
เมื่อทำการพิมพ์โดยใช้โปรโตคอล IPP ให้ระบุวิธีการยืนยันตัวตนไปยัง [DIGEST] เพื่อเข้ารหัสรหัสผ่านการยืนยันตัวตน IPP ลงทะเบียนชื่อผู้ใช้และรหัสผ่านสำหรับการยืนยันตัวตนผ่าน IPP แยกต่างหากจากข้อมูลผู้ใช้ในสมุดที่อยู่
เข้าสู่ระบบในฐานะผู้ดูแลระบบเครือข่ายจาก Web Image Monitor
คลิก [Configuration] จากเมนู [Device Management]
คลิก [IPP Authentication] ในหมวดหมู่ "Security"
เลือก "DIGEST" ใน "Authentication"
ป้อน User Name และ Password
คลิก [OK]
เมื่อตั้งค่าเสร็จแล้ว ให้ออกจากเว็บเบราว์เซอร์
การเข้ารหัสการสื่อสารระหว่าง KDC และเครื่อง
สามารถเข้ารหัสการสื่อสารระหว่างเครื่องและเซิร์ฟเวอร์ Key Distribution Center (KDC) เมื่อใช้การยืนยันตัวตนผ่าน Kerberos กับการยืนยันตัวตนผ่าน Windows หรือ LDAP เพื่อการสื่อสารที่ปลอดภัย
อัลกอริธึมสำหรับการเข้ารหัสที่รองรับจะแตกต่างกันไป ขึ้นอยู่กับชนิดของเซิร์ฟเวอร์ KDC
เข้าสู่ระบบเครื่องในฐานะผู้ดูแลระบบเครื่องจาก Web Image Monitor
คลิก [Configuration] จากเมนู [Device Management]
คลิก [Kerberos Authentication] ของหมวดหมู่ "Device Settings"
เลือกอัลกอริทึมการเข้ารหัสที่ต้องการเปิดใช้งาน
เฉพาะ Heimdal เท่านั้นที่รองรับ DES3-CBC-SHA1
ในการใช้ DES-CBC-MD5 ใน Windows Server 2008 R2 หรือใหม่กว่า ให้เปิดใช้งานในส่วนการตั้งค่าระบบปฏิบัติการ
คลิก [OK] และออกจากเว็บเบราว์เซอร์