鑑別 Lexmark 列印管理

我們建議您在 LPM 伺服器上套用下列安全原則:

請注意: 某些限制可能與 LPM 衝突。例如,對某些目錄進行病毒掃描可能會導致檔案爭用問題。為確保新原則不會與 LPM 衝突,請在套用原則前逐一檢閱。

防毒原則需求與建議

所需的防毒原則

建議的防毒原則

在離峰時段於所有 Lexmark 伺服器上執行下列作業:

使用 httpd.conf 檔案配置 Apache

  1. 從您的電腦,導覽至 <install-Dir>\Solutions\Apache2\conf 資料夾,其中 <install-Dir> 是 Apache 的安裝資料夾。

  2. 使用文字編輯器,配置下列任一項:

    請注意:

    • 部分指令預設為不存在或停止作用。
    • 如需詳細資訊,請參閱 Apache 網站。

    弱點

    指令

    HTTP 回應的網頁伺服器回應標頭可能包含下列項目:

    • Web 伺服器類型與版本

    • 作業系統與版本

    • 相關聯的連接埠

    • 編譯的模組

    ServerTokens 指令設為 Prod,並將 ServerSignature 指令設為關閉

    其他檔案,例如說明文件、範例代碼和應用程式,以及課程都可能是威脅。

    請注意: 範例檔案清單可能會隨軟體版本而變更。

    移除下列範例代碼和文件項目:

    • <install-Dir>/apache2/manual/*.*

    • <install-Dir>/apache2/conf/extra/*.*

    • <install-Dir>/apache2/cgi-bin/printenv

    • <install-Dir>/apache2/cgi-bin/test-cgi

    其中 <install-Dir> 是 Apache 的安裝資料夾。

    如要協助減少阻斷服務攻擊,請指定逾時。

    請注意: 如有必要,請為每個伺服器調整這些設定。

    請執行以下各項:

    • 逾時指令設定為 300 以下。

    • KeepAlive 指令設定為開啟

    • KeepAliveTimeout 設定為 15 以下。

    CGI script 是 Web 伺服器最常被利用的弱點之一。

    使用下列方法在 Apache 執行 CGI script:

    • ScriptAlias—配置伺服器,將目錄中的所有內容讀取為 CGI script。

    • 選項AddHandlerSetHandler 指令的組合—當使用選項Handler 的組合時,會失去集中管理 script 的能力,造成 Web 伺服器上的弱點。我們建議您使用 ScriptAlias 指令管理 script。

    搜尋下列未註解的指令:

    • SetHandler

    • AddHandler

    • 選項

    若為 SetHandlerAddHandler 指令的執行個體,請向 Web 管理者查詢,以判定指令是否允許 CGI 指令碼。

    SetHandlerAddHandler 指令使用 CGI script,則為發現。

    若為使用 +ExecCGI 或 ExecCGI 的選項指令執行個體,則為發現。

    選項指令與 -ExecCGI 一起被發現,則不是發現。

    如果值不存在,則除非選項聲明設定為,否則會是發現。

    找出 ScriptAlias 目錄中的 script,然後新增適當符號以停用 ExecCGI,或將選項指令設定為

    選項指令會配置特定目錄中可用的 Web 伺服器功能。

    FollowSymbLink 功能可讓您使用符號名稱參考檔案或目錄,在符號連結至敏感資料時可能造成危險。

    includesNoOEXEC 功能可啟用伺服器端包含但停用 exec 指令,以協助防止惡意軟體的執行。

    Multiviews 功能可能會回應目錄中所有不需瀏覽的檔案。

    若 URL 對應至沒有 DirectoryIndex (index.html) 的目錄,則可能會傳回不需瀏覽的目錄清單。

    分別設定下列所有選項指令:

    • –FollowSymLinks

    • -includes-includesNOEXEC+includesNOEXEC

    • -MultiViews

    • -indexes

    請注意: 選項指令設定為會停用所有額外功能。

    下列指令可限制接受的資料量,以減少緩衝區溢位和阻斷服務攻擊:

    • LimitRequestBody 指令可讓您設定允許的 HTTP 要求訊息本文大小限制。

    • LimitRequestFields 指令可讓您限制要求標頭欄位的數量。

    • LimitRequestFieldSize 指令可讓您設定允許的 HTTP 要求標頭欄位大小限制。

    • LimitRequestLine 指令可讓您設定允許的用戶端 HTTP 要求行大小限制。

    請注意: 如果發生錯誤,請對每個伺服器調整這些值。

    請執行下列任一項:

    • LimitRequestBody 指令設為大於 0 的任何數字。

    • LimitRequestFields 指令設為大於 0 的任何數字。

    • LimitRequestFieldSize 指令設為 8190

    • LimitRequestLine 指令設為 8190

    請注意: 其中有些值是預設值,但必須明確設定。

    Web 伺服器利用模組取得功能。將啟用的模組最小化到僅剩所需的模組,即可減少弱點的數量。

    Apache Proxy 模組可讓伺服器作為 HTTP 和其他通訊協定的正向或反向 Proxy。

    若要顯示已載入模組的清單,請執行下列動作:

    1. 從您的電腦開啟指令提示。

    2. 導覽至 <install-Dir>/apache2/bin/ 資料夾,其中 <install-Dir> 是 Apache 的安裝資料夾。

    3. 執行 httpd –M 指令。

    下列模組為必要的核心 Apache 模組:

    • core_module

    • win32_module

    • mpm_winnt_module

    • http_module

    • so_module

    傳送 Proxy 要求的 Web 伺服器掃描,是一種常見的攻擊。Proxy 伺服器可以將其他伺服器上的攻擊匿名,或傳送 Proxy 要求至受保護的網路。

    下列模組為 Apache Proxy 模組且 LPM 不需要:

    • proxy_module

    • proxy_ajp_module

    • proxy_balancer_module

    • proxy_ftp_module

    • proxy_http_module

    • proxy_connect_module

    停用 UserDir 指令,以防止存取使用者根目錄。

    userdir_module

    Web 伺服器特定的內容可用於識別 Web 伺服器的類型與版本。

    停用各種內容的存取,以協助減少攻擊。

    autoindex_module

    若要停用 LPM 不需要的模組,請在 httpd.conf 檔案中,適當的模組前新增 #

    Web 伺服器的根目錄存取必須受到保護。

    • Apache 目錄指令可啟用目錄特定配置。建立預設的拒絕原則,不允許存取作業系統的根目錄。

    • 使用 Apache 選項指令功能,為根目錄建立預設最少選項原則,並可啟用權限。

    • 使用 Apache 置換 指令讓 .htaccess 檔案指定先前可變更的配置指令。

    請注意: authz_core_module 使用需要所有拒絕指令。

    將根目錄指令(<根目錄 />)分別設為下列各項:

    • 訂單拒絕,允許

    • 全面拒絕

    • 選項,無

    • 允許置換,無

    如果這些根目錄項目不存在,請新增之。

    TRACE 方法並非必要且必須停用。

    TraceEnable 指令設為 關閉

    如果此指令不存在,請新增之。

    Apache 接聽 指令指定 Apache Web 伺服器應要求接聽的 IP 位址和連接埠號碼。將伺服器配置為只接聽預期的位址和連接埠號碼。

    指定每個收聽指令的 IP 位址和連接埠號碼。

    ScriptAlias 會指定 Apache 伺服器要將哪些目錄辨識為包含 script。如果指令使用與實際檔案系統路徑不同的 URL 路徑名稱,可能會暴露 script 原始碼。

    驗證 ScriptAlias 指令的 URL 路徑檔案路徑/目錄路徑是否相符。

    正確路徑的範例

    ScriptAlias/cgi-bin/<install-Dir>/cgi-bin/,其中 <install-Dir> 是 Apache 的安裝資料夾。

    不正確路徑的範例

    ScriptAlias/script-cgi-bin/<install-Dir>/cgi-bin/,其中 <install-Dir> 是 Apache 的安裝資料夾。

    PUT 與 DELETE 等 HTTP 要求方法會修改資源,且非運作 LPM 的必備項目。請停用這些方法。

    請對每個目錄指令(根目錄除外)設定下列項目:

    訂單允許,拒絕

    <LimitExcept GET POST OPTIONS> 全面拒絕 </LimitExcept>


  3. 儲存該檔案。

  4. 重新啟動 Apache 服務。

請注意: 一些常見的安全性相關配置,例如 WebDAV,以及Apache mod_info 和 mod_status 模組,可能會與 LPM 或 Lexmark 文件分送系統 (LDD) 衝突。

支援的連接埠號碼與通訊協定

請確定防火牆允許下列連接埠號碼和通訊協定:

元件

連接埠號碼

通訊協定

功能

資料庫 (Firebird)

3050

TCP

資料庫通訊

8001

TCP

備份及回復代理程式

負載平衡器

443

TCP

負載平衡器 HTTPS TLS 通訊,包括 Lexmark Management Console-LDD 管控平台

4113

TCP

Web 介面卡 (JMX)

9700

TCP

  • 設定檔提出至 e-Task 印表機

  • Web 介面卡 (JMX)

9705

TCP

Apache 代理程式

9780

TCP

負載平衡器通訊,包括 Lexmark Management Console-LDD 管控平台

9783

TCP

負載平衡器 HTTPS TLS 通訊,包括 Lexmark Management Console-LDD 管控平台

伺服器

4111

TCP

JMX

5111

TCP

RMI

8009

TCP

AJP 與 Tomcat 連接器(負載平衡器工作器)

9743

TCP

從印表機或用戶端軟體提出 HTTPS TLS 設定檔工作至伺服器,包括 Lexmark Management Console-LDD 管控平台

9788

TCP

從印表機或用戶端軟體提出設定檔工作至伺服器,包括 Lexmark Management Console-LDD 管控平台

印表機

79

TCP

Finger

161

UDP

  • SNMP

  • 印表機探索

5000

TCP

  • 原則更新

  • ObjectStore 純文字通訊

5353

UDP

多點傳送 DNS

6000

UDP

  • 印表機探索

  • 使用 XML 通訊協定的 ObjectStore 通訊

6100

UDP

  • 印表機探索

  • 原則更新

  • Lexmark Secure Transport (LST) 已加密的資料

6110

TCP

  • 印表機探索

  • 原則更新

  • LST 鑑別與協商

9100

TCP

  • 列印

  • 原則更新

9300

UDP

  • 印表機探索

  • NPA 通訊協定 UDP 通訊

9500

TCP

NPA 通訊協定 TCP 通訊

LPM

631

TCP

IPP

5672

TCP

ActiveMQ

9780

TCP

MFPAuth

61614

TCP

ActiveMQ

61616

TCP


LDAP 和 LDAPS 的標準連接埠號碼

連接埠號碼

功能

389

LDAP 通訊

636

LDAPS 通訊


使用 LPM REST API 鑑別

請注意: 下列指示適用於 Print Management Console、行動鑑別和 Chrome 擴充功能鑑別。

使用 token 鑑別

為保護資源,LPM REST API token 使用 JSON web token 來驗證存取聲明。視鑑別期間提供的認證而定,REST 服務可能會發出管理員或使用者 token。

請注意: 使用者 token 的資源存取權限是有限的。

依預設,token 的有效性為 30 分鐘。若要更新逾期時間,請執行下列動作:

  1. 從您的電腦,導覽至 <install-Dir>\Lexmark\Solutions\apps\idm\WEB-INF\classes 資料夾,其中 <install-Dir> 是 Lexmark 文件分送系統 (LDD) 的安裝資料夾。

  2. 使用文字編輯器,開啟 idm-production-config.properties 配置檔案。

  3. 指定 idm.token.expirationInMinutes 的值。

  4. 儲存該檔案。

使用 hashID 鑑別

為了處理「不安全直接物件參考」弱點,LPM REST API 服務使用 hashID 遮罩所有資源 ID。此方法可防止介面對外公開 DBID 參考。

hashID 演算法利用關鍵字或 salt 來計算並產生 hashID 值。變更 salt 值會產生不同的 hashID 計算。

若要變更預設 salt 值,請執行下列步驟:

  1. 從您的電腦,導覽至 <install-Dir>\Lexmark\Solutions\apps\lpm\WEB-INF\classes 資料夾,其中 <install-Dir> 是 Lexmark 文件分送系統 (LDD) 的安裝資料夾。

  2. 使用文字編輯器,開啟 app-production-config.properties 檔案。

  3. 指定 hashids.salt 的值。

  4. 儲存該檔案。

請注意: 使用企業設定時,請確定所有應用程式伺服器的 salt 值都相同。