Autenticazione di Lexmark Print Management

Nota: alcune restrizioni potrebbero essere in conflitto con LPM. Ad esempio, la scansione antivirus di alcune directory potrebbe causare problemi di conflitto tra file. Per assicurarsi che i nuovi criteri non siano in conflitto con LPM, rivederli singolarmente prima di applicarli.

Requisiti e consigli per i criteri antivirus

Criteri antivirus richiesti

Escludere le seguenti cartelle quando si esegue la scansione antivirus in tempo reale:
- Server di bilanciamento del carico o server di database
  - <install-Dir> \Lexmark\Solutions\Apache2\htdocs\auth e tutte le sottocartelle
  - <install-Dir> \Lexmark\Solutions\Apache2\htdocs\printrelease e tutte le sottocartelle
  Dove <install-Dir> è la cartella di installazione di LDD.
- Server applicazioni
  - <install-Dir> \Lexmark\Solutions\apps\idm e tutte le sottocartelle
  - <install-Dir> \Lexmark\Solutions\apps\lpm e tutte le sottocartelle
  - <install-Dir> \Lexmark\Solutions\apps\mfpauth e tutte le sottocartelle
  - <install-Dir> \Lexmark\Solutions\apps\printrelease e tutte le sottocartelle
  Dove <install-Dir> è la cartella di installazione di LDD.
- Directory per processi di stampa
  
  Ad esempio, C:\lexmark\printrelease .
  
  Nota: la directory può essere configurata utilizzando l'impostazione della soluzione PrintReleasev2.
- Directory per i file di installazione e backup per la risoluzione dei problemi
  
  Ad esempio, C:\ProgramData\Lexmark\PrintManagement e tutte le sottocartelle.

Criteri antivirus consigliati

Effettuare le seguenti operazioni su tutti i server Lexmark durante le ore non di punta:

Scansioni antivirus complete
Aggiornamenti delle definizioni virus

Configurazione di Apache mediante il file httpd.conf

Sul computer accedere alla cartella <install-Dir> \Solutions\Apache2\conf , dove <install-Dir> è la cartella di installazione di Apache.

Utilizzando un editor di testo, effettuare una delle seguenti operazioni:

Note:

Alcune direttive non sono presenti o sono inattive per impostazione predefinita.
Per ulteriori informazioni, visitare il sito web Apache.

Vulnerabilità	Direttiva
L'intestazione di una risposta HTTP del server Web può contenere i seguenti elementi: Tipo e versione del server Web Sistema operativo e versione Porte associate Moduli compilati	Impostare la direttiva ServerTokens su Prod e la direttiva ServerSignature su Off .
Altri file, ad esempio documentazione, applicazioni e codice di esempio, esercitazioni, potrebbero costituire una minaccia.	Nota: l'elenco dei file di esempio potrebbe variare a seconda delle versioni del software. Rimuovere i seguenti codici di esempio e componenti della documentazione: *<install-Dir>* /apache2/manual/. *<install-Dir>* /apache2/conf/extra/. *<install-Dir>* /apache2/cgi-bin/printenv *<install-Dir>* /apache2/cgi-bin/test-cgi Dove *<install-Dir>* è la cartella di installazione di Apache.
Per mitigare gli attacchi di tipo denial-of service, specificare i timeout. Nota: se necessario, regolare queste impostazioni per ciascun server.	Attenersi alla seguente procedura: Impostare le direttive Timeout su 300 o un valore inferiore. Impostare le direttive KeepAlive su On . Impostare KeepAliveTimeout su 15 o un valore inferiore.
Gli script CGI sono una delle vulnerabilità più sfruttate sui server Web. Eseguire gli script CGI in Apache utilizzando i seguenti metodi: ScriptAlias : configura il server in modo da leggere tutto il contenuto di una directory come uno script CGI. Combinazione delle direttive Options e AddHandler o SetHandler : quando si utilizza una combinazione di direttive Options e Handler , si perde la capacità di gestire gli script a livello centrale, creando una vulnerabilità sul server Web. Si consiglia di gestire gli script utilizzando la direttiva ScriptAlias .	Cercare le seguenti direttive senza commento: SetHandler AddHandler Options Per tutte le istanze delle direttive SetHandler e AddHandler , chiedere all'amministratore Web di determinare se le direttive consentono gli script CGI. Se vengono utilizzati script CGI dalle direttive SetHandler e AddHandler , si tratta di un riscontro. Per tutte le istanze della direttiva Options che utilizzano +ExecCGI o ExecCGI, si tratta di un riscontro. Se viene trovata la direttiva Options con -ExecCGI, non si tratta di un riscontro. Se il valore non esiste, si tratta di un riscontro a meno che l'istruzione Options non sia impostata su None . Individuare gli script in una directory ScriptAlias , quindi aggiungere il simbolo appropriato per disabilitare ExecCGI o impostare la direttiva Options su None .
La direttiva Options configura le funzioni del server Web disponibili in directory specifiche. La funzione FollowSymLinks consente di fare riferimento a un file o a una directory mediante un nome simbolico, generando un potenziale pericolo quando il simbolo è collegato a dati sensibili. La funzione includesNoOEXEC abilita includes sul lato server ma disabilita il comando exec per evitare l'esecuzione di malware. La funzione Multiviews potrebbe rispondere con tutti i file disponibili in una directory non destinati all'esplorazione. Se un URL è associato a una directory senza DirectoryIndex (index.html), potrebbe essere restituito un elenco di directory non destinate all'esplorazione.	Impostare tutte le direttive Options rispettivamente sui seguenti valori: -FollowSymLinks -includes , -includesNOEXEC o +includesNOEXEC -MultiViews -indexes Nota: se si imposta la direttiva Options su None , tutte le funzioni aggiuntive vengono disabilitate.
Le seguenti direttive mitigano l'overflow del buffer e gli attacchi denial-of-service limitando la quantità di dati accettati: La direttiva LimitRequestBody consente di impostare un limite alla dimensione consentita del corpo di un messaggio di richiesta HTTP. La direttiva LimitRequestFields consente di limitare il numero di campi di intestazione richiesta. La direttiva LimitRequestFieldSize consente di impostare un limite alla dimensione consentita di un campo di intestazione richiesta HTTP. La direttiva LimitRequestLine consente di impostare un limite alla dimensione consentita della riga richiesta HTTP di un client. Nota: se si verificano errori, regolare questi valori per ciascun server.	Effettuare una delle seguenti operazioni: Impostare la direttiva LimitRequestBody su un numero maggiore di 0 . Impostare la direttiva LimitRequestFields su un numero maggiore di 0 . Impostare la direttiva LimitRequestFieldSize su 8190 . Impostare la direttiva LimitRequestLine su 8190 . Nota: alcuni di questi valori sono predefiniti, ma devono essere impostati esplicitamente.
I server Web ottengono le loro funzionalità mediante moduli. Riducendo i moduli abilitati ai soli moduli obbligatori, diminuisce il numero di punti vulnerabili. I moduli proxy Apache consentono al server di operare come un proxy di inoltro o inverso di HTTP e altri protocolli.	Per visualizzare un elenco dei moduli caricati, procedere come segue: Sul computer aprire il prompt dei comandi. Passare alla cartella *<install-Dir>* /apache2/bin/ , dove *<install-Dir>* è la cartella di installazione di Apache. Eseguire il comando httpd -M . I seguenti sono i moduli Apache principali necessari: core_module win32_module mpm_winnt_module http_module so_module
La ricerca di server Web che inviano richieste proxy è un tipo di attacco frequente. I server proxy possono rendere anonimi gli attacchi su altri server o inviare richieste proxy a una rete protetta. I seguenti sono moduli proxy Apache e non sono necessari per LPM: proxy_module proxy_ajp_module proxy_balancer_module proxy_ftp_module proxy_http_module proxy_connect_module Disabilitare la direttiva UserDir per impedire l'accesso alle home directory degli utenti. userdir_module Contenuti specifici del server Web possono essere utilizzati per identificare il tipo e la versione del server Web. Disattivare l'accesso a vari contenuti per mitigare gli attacchi. autoindex_module	Per disabilitare i moduli non necessari per LPM, nel file httpd.conf aggiungere # prima dei moduli appropriati.
L'accesso alla radice del server Web deve essere protetto. La direttiva Apache Directory consente la configurazione specifica della directory. Creare un criterio deny predefinito che non consenta l'accesso alla directory radice del sistema operativo. Utilizzare a direttiva Apache Options per creare un criterio di opzioni minime predefinito per la directory radice in cui sia possibile abilitare le autorizzazioni. Utilizzare la direttiva Apache OverRide per consentire a un file .htaccess di specificare le direttive della configurazione precedente che possono essere modificate. Nota: il modulo authz_core_module utilizza la direttiva Require all denied .	Impostare la direttiva Directory radice ( <Directory /> ) rispettivamente sui seguenti valori: Order deny,allow Deny from all Options None AllowOverride None Se queste voci della directory radice non esistono, aggiungerle.
Il metodo TRACE non è necessario e deve essere disabilitato.	Impostare la direttiva TraceEnable su Off . Se questa direttiva non esiste, aggiungerla.
La direttiva Apache Listen specifica gli indirizzi IP e i numeri di porta su cui il server Web Apache è in ascolto per le richieste. Configurare il server per l'ascolto esclusivo degli indirizzi e dei numeri di porta previsti.	Specificare l'indirizzo IP e il numero di porta per ogni direttiva Listen .
La direttiva ScriptAlias specifica quali directory vengono riconosciute dal server Apache come contenenti script. Se la direttiva utilizza un nome di percorso URL diverso dal percorso effettivo del file system, il codice sorgente degli script potrebbe risultare esposto.	Verificare se URL-path e file-path/directy-path della direttiva ScriptAlias corrispondono. Esempio di percorso corretto ScriptAlias/cgi-bin/ *<install-Dir>* /cgi-bin/ , dove *<install-Dir>* è la cartella di installazione di Apache. Esempio di percorso non corretto ScriptAlias/script-cgi-bin/ *<install-Dir>* /cgi-bin/ , dove *<install-Dir>* è la cartella di installazione di Apache.
I metodi di richiesta HTTP, quali PUT e DELETE, modificano le risorse e non sono necessari per il funzionamento di LPM. Disabilitare questi metodi.	Per ogni direttiva Directory che non sia root , impostare quanto segue: Order allow,deny <LimitExcept GET POST OPTIONS> Deny from all </LimitExcept>

Vulnerabilità

Direttiva

L'intestazione di una risposta HTTP del server Web può contenere i seguenti elementi:

Tipo e versione del server Web
Sistema operativo e versione
Porte associate
Moduli compilati

Impostare la direttiva ServerTokens su Prod e la direttiva ServerSignature su Off .

Altri file, ad esempio documentazione, applicazioni e codice di esempio, esercitazioni, potrebbero costituire una minaccia.

Nota: l'elenco dei file di esempio potrebbe variare a seconda delle versioni del software.

Rimuovere i seguenti codici di esempio e componenti della documentazione:

<install-Dir> /apache2/manual/*.*
<install-Dir> /apache2/conf/extra/*.*
<install-Dir> /apache2/cgi-bin/printenv
<install-Dir> /apache2/cgi-bin/test-cgi

Dove <install-Dir> è la cartella di installazione di Apache.

Per mitigare gli attacchi di tipo denial-of service, specificare i timeout.

Nota: se necessario, regolare queste impostazioni per ciascun server.

Attenersi alla seguente procedura:

Impostare le direttive Timeout su 300 o un valore inferiore.
Impostare le direttive KeepAlive su On .
Impostare KeepAliveTimeout su 15 o un valore inferiore.

Gli script CGI sono una delle vulnerabilità più sfruttate sui server Web.

Eseguire gli script CGI in Apache utilizzando i seguenti metodi:

ScriptAlias : configura il server in modo da leggere tutto il contenuto di una directory come uno script CGI.
Combinazione delle direttive Options e AddHandler o SetHandler : quando si utilizza una combinazione di direttive Options e Handler , si perde la capacità di gestire gli script a livello centrale, creando una vulnerabilità sul server Web. Si consiglia di gestire gli script utilizzando la direttiva ScriptAlias .

Cercare le seguenti direttive senza commento:

SetHandler
AddHandler
Options

Per tutte le istanze delle direttive SetHandler e AddHandler , chiedere all'amministratore Web di determinare se le direttive consentono gli script CGI.

Se vengono utilizzati script CGI dalle direttive SetHandler e AddHandler , si tratta di un riscontro.

Per tutte le istanze della direttiva Options che utilizzano +ExecCGI o ExecCGI, si tratta di un riscontro.

Se viene trovata la direttiva Options con -ExecCGI, non si tratta di un riscontro.

Se il valore non esiste, si tratta di un riscontro a meno che l'istruzione Options non sia impostata su None .

Individuare gli script in una directory ScriptAlias , quindi aggiungere il simbolo appropriato per disabilitare ExecCGI o impostare la direttiva Options su None .

La direttiva Options configura le funzioni del server Web disponibili in directory specifiche.

La funzione FollowSymLinks consente di fare riferimento a un file o a una directory mediante un nome simbolico, generando un potenziale pericolo quando il simbolo è collegato a dati sensibili.

La funzione includesNoOEXEC abilita includes sul lato server ma disabilita il comando exec per evitare l'esecuzione di malware.

La funzione Multiviews potrebbe rispondere con tutti i file disponibili in una directory non destinati all'esplorazione.

Se un URL è associato a una directory senza DirectoryIndex (index.html), potrebbe essere restituito un elenco di directory non destinate all'esplorazione.

Impostare tutte le direttive Options rispettivamente sui seguenti valori:

-FollowSymLinks
-includes , -includesNOEXEC o +includesNOEXEC
-MultiViews
-indexes

Nota: se si imposta la direttiva Options su None , tutte le funzioni aggiuntive vengono disabilitate.

Le seguenti direttive mitigano l'overflow del buffer e gli attacchi denial-of-service limitando la quantità di dati accettati:

La direttiva LimitRequestBody consente di impostare un limite alla dimensione consentita del corpo di un messaggio di richiesta HTTP.
La direttiva LimitRequestFields consente di limitare il numero di campi di intestazione richiesta.
La direttiva LimitRequestFieldSize consente di impostare un limite alla dimensione consentita di un campo di intestazione richiesta HTTP.
La direttiva LimitRequestLine consente di impostare un limite alla dimensione consentita della riga richiesta HTTP di un client.

Nota: se si verificano errori, regolare questi valori per ciascun server.

Effettuare una delle seguenti operazioni:

Impostare la direttiva LimitRequestBody su un numero maggiore di 0 .
Impostare la direttiva LimitRequestFields su un numero maggiore di 0 .
Impostare la direttiva LimitRequestFieldSize su 8190 .
Impostare la direttiva LimitRequestLine su 8190 .

Nota: alcuni di questi valori sono predefiniti, ma devono essere impostati esplicitamente.

I server Web ottengono le loro funzionalità mediante moduli. Riducendo i moduli abilitati ai soli moduli obbligatori, diminuisce il numero di punti vulnerabili.

I moduli proxy Apache consentono al server di operare come un proxy di inoltro o inverso di HTTP e altri protocolli.

Per visualizzare un elenco dei moduli caricati, procedere come segue:

Sul computer aprire il prompt dei comandi.
Passare alla cartella <install-Dir> /apache2/bin/ , dove <install-Dir> è la cartella di installazione di Apache.
Eseguire il comando httpd -M .

I seguenti sono i moduli Apache principali necessari:

core_module
win32_module
mpm_winnt_module
http_module
so_module

La ricerca di server Web che inviano richieste proxy è un tipo di attacco frequente. I server proxy possono rendere anonimi gli attacchi su altri server o inviare richieste proxy a una rete protetta.

I seguenti sono moduli proxy Apache e non sono necessari per LPM:

proxy_module
proxy_ajp_module
proxy_balancer_module
proxy_ftp_module
proxy_http_module
proxy_connect_module

Disabilitare la direttiva UserDir per impedire l'accesso alle home directory degli utenti.

userdir_module

Contenuti specifici del server Web possono essere utilizzati per identificare il tipo e la versione del server Web.

Disattivare l'accesso a vari contenuti per mitigare gli attacchi.

autoindex_module

Per disabilitare i moduli non necessari per LPM, nel file httpd.conf aggiungere # prima dei moduli appropriati.

L'accesso alla radice del server Web deve essere protetto.

La direttiva Apache Directory consente la configurazione specifica della directory. Creare un criterio deny predefinito che non consenta l'accesso alla directory radice del sistema operativo.
Utilizzare a direttiva Apache Options per creare un criterio di opzioni minime predefinito per la directory radice in cui sia possibile abilitare le autorizzazioni.
Utilizzare la direttiva Apache OverRide per consentire a un file .htaccess di specificare le direttive della configurazione precedente che possono essere modificate.

Nota: il modulo authz_core_module utilizza la direttiva Require all denied .

Impostare la direttiva Directory radice ( <Directory /> ) rispettivamente sui seguenti valori:

Order deny,allow
Deny from all
Options None
AllowOverride None

Se queste voci della directory radice non esistono, aggiungerle.

Il metodo TRACE non è necessario e deve essere disabilitato.

Impostare la direttiva TraceEnable su Off .

Se questa direttiva non esiste, aggiungerla.

La direttiva Apache Listen specifica gli indirizzi IP e i numeri di porta su cui il server Web Apache è in ascolto per le richieste. Configurare il server per l'ascolto esclusivo degli indirizzi e dei numeri di porta previsti.

Specificare l'indirizzo IP e il numero di porta per ogni direttiva Listen .

La direttiva ScriptAlias specifica quali directory vengono riconosciute dal server Apache come contenenti script. Se la direttiva utilizza un nome di percorso URL diverso dal percorso effettivo del file system, il codice sorgente degli script potrebbe risultare esposto.

Verificare se URL-path e file-path/directy-path della direttiva ScriptAlias corrispondono.

Esempio di percorso corretto

ScriptAlias/cgi-bin/ <install-Dir> /cgi-bin/ , dove <install-Dir> è la cartella di installazione di Apache.

Esempio di percorso non corretto

ScriptAlias/script-cgi-bin/ <install-Dir> /cgi-bin/ , dove <install-Dir> è la cartella di installazione di Apache.

I metodi di richiesta HTTP, quali PUT e DELETE, modificano le risorse e non sono necessari per il funzionamento di LPM. Disabilitare questi metodi.

Per ogni direttiva Directory che non sia root , impostare quanto segue:

Order allow,deny

Salvare il file.
Riavviare il servizio Apache.

Nota: alcune configurazioni comuni correlate alla protezione, ad esempio WebDAV e i moduli Apache mod_info e mod_status, potrebbero essere in conflitto con LPM o LDD.

Numeri di porta e protocolli supportati

Assicurarsi che il firewall consenta i seguenti numeri di porta e protocolli:

Componente	Numero porta	Protocollo	Configurazione	Funzione
¹ MFPAuth richiede 443 o 9783 a seconda di come viene definito l'URL all'interno di CardAuth. Nota: la configurazione tra server e database o tra server e bilanciamento del carico viene eseguita in base a regole firewall specifiche basate sugli IP di origine.
Database (Firebird)	3050	TCP	Da server applicazioni a database	Comunicazioni del database
Database (Firebird)	8001	TCP	Da server applicazioni e bilanciamento del carico a server di database	Agente di backup e ripristino
Bilanciamento del carico	443	TCP	Aperta	Comunicazioni HTTPS TLS del bilanciamento del carico, inclusa Lexmark Management Console
	9700	TCP	Aperta	Invio del profilo alle stampanti e-Task Adattatore Web (JMX)
	9705	TCP	Dal server applicazioni a bilanciamento del carico	Agente Apache
	9780	TCP	Aperta	Comunicazioni del bilanciamento del carico, inclusa Lexmark Management Console
	9783	TCP	Aperta	Comunicazioni HTTPS TLS del bilanciamento del carico, inclusa Lexmark Management Console
Server	4111	TCP	Da server applicazioni a server applicazioni	JMX
	5111	TCP	Da server applicazioni a server applicazioni	RMI
	8009	TCP	Da bilanciamento del carico a Tomcat	Connettore AJP e Tomcat (worker del bilanciamento del carico)
	9743	TCP	Aperta	Invio processo profilo HTTPS TLS da stampanti o software client a un server, inclusa Lexmark Management Console
	9788	TCP	Aperta	Invio processo profilo da stampanti o software client a un server, inclusa Lexmark Management Console
Stampante	79	TCP		Finger
	161	UDP		SNMP Rilevamento delle stampanti
	5000	TCP		Aggiornamenti dei criteri Comunicazione in testo normale ObjectStore
	5353	UDP		DNS multicast
	6000	UDP		Rilevamento delle stampanti Comunicazione ObjectStore con protocollo XML
	6100	UDP		Rilevamento delle stampanti Aggiornamenti dei criteri Dati crittografati LST (Lexmark Secure Transport)
	6110	TCP		Rilevamento delle stampanti Aggiornamenti dei criteri Autenticazione e negoziazione LST
	9100	TCP		Stampa Aggiornamenti dei criteri
	9300	UDP		Rilevamento delle stampanti Comunicazioni UDP protocollo NPA
	9500	TCP		Comunicazioni TCP protocollo NPA
LPM	631	TCP	Aperta	IPP
	5672	TCP	Da server applicazioni a server applicazioni	ActiveMQ
	9780	TCP	Aperta	MFPAuth ¹
	61614	TCP	Da server applicazioni a server applicazioni	ActiveMQ
	61616	TCP	Da server applicazioni a server applicazioni	ActiveMQ

Numeri di porta standard per LDAP e LDAPS

Numero porta	Funzione
389	Comunicazioni LDAP
636	Comunicazioni LDAPS

Nota: le seguenti istruzioni sono applicabili a Print Management Console, all'autenticazione mobile e all'autenticazione con l'estensione Chrome.

Autenticazione tramite token

Per proteggere le risorse, il token dell'API REST LPM utilizza il token Web JSON per verificare le richieste di accesso. A seconda delle credenziali fornite durante l'autenticazione, il servizio REST può emettere un token amministratore o utente.

Nota: il token utente consente un accesso limitato alle risorse.

Per impostazione predefinita, la validità del token è di 30 minuti. Per aggiornare la scadenza, procedere come segue:

Sul computer accedere alla cartella <install-Dir> \Lexmark\Solutions\apps\idm\WEB-INF\classes , dove <install-Dir> è la cartella di installazione di LDD.
Utilizzando un editor di testo, aprire il file idm-production-config.properties .
Specificare il valore per idm.token.expirationInMinutes .
Salvare il file.

Autenticazione tramite hashid

Per risolvere la vulnerabilità Insecure Direct Object Reference, il servizio API REST LPM maschera tutti gli ID delle risorse mediante hashid. Questo metodo impedisce all'interfaccia di esporre i riferimenti dbid a entità esterne.

L'algoritmo hashid si basa su una frase chiave o salt per calcolare e generare un valore hashid.La modifica del valore del salt genera calcoli di hashid diversi.

Per modificare il valore predefinito del salt, procedere come segue:

Sul computer accedere alla cartella <install-Dir> \Lexmark\Solutions\apps\lpm\WEB-INF\classes , dove <install-Dir> è la cartella di installazione di LDD.
Utilizzando un editor di testo, aprire il file app-production-config.properties .
Specificare il valore per hashids.salt .
Salvare il file.

Nota: quando si utilizza una configurazione aziendale, assicurarsi che tutti i server applicazioni abbiano lo stesso valore del salt.