Die MyQ-Sicherheit ist in verschiedene Ebenen unterteilt, wobei die Durchsetzung von separaten Systemkomponenten übernommen wird. Diese Trennung schützt geschäftskritische Daten und Dienste, und Administratoren müssen sie verstehen, um erweiterte Einstellungen sicher und verantwortungsbewusst zu konfigurieren.
Dieser Abschnitt behandelt die erweiterten Sicherheitskonfigurationsoptionen. Allgemeine erweiterte Konfigurationsoptionen finden Sie Advanced Configurationunter (10.2) Erweiterte Konfiguration.
Das direkte Bearbeiten von Konfigurationsdateien kann die Systemstabilität und -sicherheit beeinträchtigen. Diese Einstellungen sind für erfahrene Administratoren gedacht. Falsche Änderungen können zu Unterbrechungen der Dienste oder zum Datenverlust führen. Wenn Sie sich unsicher sind, wenden Sie sich an den MyQ-Support, bevor Sie fortfahren.
Pfadkonventionen
-
{install}– Installationsverzeichnis der Anwendung
Die Standardwerte lautenC:\Program Files\MyQ\undC:\Program Files\MyQ Central Server\ -
{data}– Verzeichnis für Anwendungsdaten.
Die Standardwerte lautenC:\ProgramData\MyQ\undC:\ProgramData\MyQ Central Server\
Beide Speicherorte können während der Installation angepasst werden.
Übersicht über die Sicherheitsarchitektur
|
Sicherheitsschicht |
Print Server |
Central Server |
|---|---|---|
|
Web-TLS (HTTPS-Verschlüsselung) |
Komponente: HTTP-Router (Traefik)
|
Komponente: HTTP-Server (Apache)
|
|
HTTP-Sicherheits-Header |
Komponente: Apache (hinter Traefik)
|
Komponente: Apache
|
|
Nicht-Web-Sicherheitskommunikation
|
Komponente: Interne MyQ-Komponenten
|
Komponente: Interne MyQ-Komponenten
|
Auf dem Print Server wird die TLS-Terminierung von Traefik übernommen. Auf dem Central Server wird die TLS-Terminierung von Apache übernommen.
Web-TLS-Konfiguration (HTTP-Router – Traefik)
Der HTTP-Router (Traefik) ist für die Beendigung von HTTPS-Verbindungen sowie die Verwaltung von TLS-Protokollversionen und Verschlüsselungssuiten zuständig.
Konfigurieren der minimalen TLS-Version
Um die minimal zulässige TLS-Version festzulegen, setzen Sie das SSL-Protokoll in config.ini.
Öffnen config.ini in einem Texteditor und fügen Sie Folgendes hinzu oder ändern Sie es:
[Security]
sslProtocol=TLS1.3
Unterstützte Werte:
-
TLS1
-
TLS1.1
-
TLS1.2 (Standard ab Print Server 10.2)
-
TLS1.3
Diese Einstellung gilt für:
-
HTTP-Router (Web-HTTPS)
-
SMTP
-
IPP
-
LPR
-
Nachrichten (WebSockets)
Starten Sie nach der Änderung alle Dienste neu.
Verschlüsselungssuiten konfigurieren
Sichere Voreinstellungen verwenden (empfohlen)
Öffnen config.ini in einem Texteditor und fügen Sie Folgendes hinzu oder ändern Sie es:
[Security]
sslCipherSuites=strict
Verfügbare Modi:
-
compatible (Standard)
Erlaubt ausgewählte schwächere Verschlüsselungen zur Kompatibilität mit älteren Geräten. -
strict
Deaktiviert schwache Verschlüsselungsalgorithmen.
Die folgenden Verschlüsselungsalgorithmen sind nur im kompatiblen Modus zulässig:
-
TLS_RSA_WITH_AES_128_CBC_SHA -
TLS_RSA_WITH_AES_256_CBC_SHA -
TLS_RSA_WITH_AES_128_GCM_SHA256 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_3DES_EDE_CBC_SHA -
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Der strenge Modus wird empfohlen, aber der kompatible Modus bleibt aufgrund der Anforderungen älterer Geräte die Standardeinstellung.
Ausgewählte Verschlüsselungssuiten zulassen
Um ausgewählte Verschlüsselungssuiten zuzulassen, bearbeiten Sie traefik.custom.rules.yaml. Speichern Sie anschließend die Datei und starten Sie alle Dienste neu, damit die Änderung wirksam wird.
Beispiel:
tls:
options:
default:
cipherSuites:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Wichtig!
Bearbeiten Sie diese Dateien NICHT:
-
{install}\Server\traefik.rules.yaml -
{install}\Server\traefik.yaml
Dies sind Standardinstallationsdateien, die bei Upgrades überschrieben werden.
Wenn sslProtocol=TLS1.3 erzwungen wird, ist die Auswahl der Verschlüsselungsalgorithmen nicht konfigurierbar, und es werden die sicheren Standardwerte von Traefik verwendet.
Stellen Sie sicher, dass die verbundenen Geräte die ausgewählten Verschlüsselungssuiten unterstützen.
HTTP-Sicherheits-Header (Apache)
Apache läuft hinter dem HTTP-Router und beendet TLS nicht. Apache lauscht nur auf localhost und verwaltet keine TLS-Protokollversionen oder Verschlüsselungssuiten.
Apache ist für die Sicherheits-Header der HTTP-Antworten verantwortlich.
Dazu gehören:
-
Content-Security-Policy (CSP)
-
Strict-Transport-Security (HSTS)
-
X-Frame-Options
-
X-Content-Type-Options
-
Referrer-Policy
-
Berechtigungsrichtlinie
-
Weitere Schutzmaßnahmen auf Header-Ebene
Konfigurationsort
Um die Konfiguration der HTTP-Sicherheits-Header zu ändern, bearbeiten Sie beide Dateien. Starten Sie anschließend die MyQ-Dienste neu. Wenn httpd.template.conf Datei nicht geändert wird, werden Ihre Änderungen bei Aktualisierungen der Dienste überschrieben.
-
{install}\Apache\conf\httpd.conf -
{install}\Apache\conf\httpd.template.conf
Sichere Kommunikation außerhalb des Webs
Einige MyQ-Komponenten nutzen eine sichere Kommunikation unabhängig von Web-HTTPS.
Dazu gehören:
-
SMTP
-
IPP
-
LPR
-
Interne C++-Komponenten
Das TLS-Verhalten für diese Komponenten wird durch den sslProtocol Parameter in config.ini. Diese Einstellung ändert weder die HTTP-Header noch das TLS-Verhalten von Apache direkt.
Kerberos-only-Authentifizierung erzwingen
Für Umgebungen, die eine strenge Authentifizierung erfordern, fügen Sie Folgendes zu config.ini:
[Security]
KerberosOnly=true
Dadurch wird der NTLM-Fallback deaktiviert und die ausschließliche Kerberos-Authentifizierung erzwungen.
Stellen Sie sicher:
-
Korrekte SPN-Registrierung.
-
Korrekte Konfiguration der Kerberos-Infrastruktur.
Eine fehlerhafte Konfiguration kann die Authentifizierung verhindern.