La sécurité de MyQ est structurée en couches distinctes, dont l'application est gérée par des composants système séparés. Cette séparation protège les données et les services critiques pour l'entreprise, et les administrateurs doivent la comprendre pour configurer les paramètres avancés de manière sûre et responsable.
Cette section traite des options de configuration de sécurité avancées. Pour les options de configuration avancées générales, voir Advanced Configuration.
La modification directe des fichiers de configuration peut affecter la stabilité et la sécurité du système. Ces paramètres sont destinés aux administrateurs expérimentés. Des modifications incorrectes peuvent entraîner une interruption du service ou une perte de données. En cas de doute, contactez le support MyQ avant de continuer.
Conventions de chemin d'accès
-
{install}– Répertoire d'installation de l'application
Les valeurs par défaut sontC:\Program Files\MyQ\etC:\Program Files\MyQ Central Server\ -
{data}– Répertoire de données de l'application.
Les valeurs par défaut sontC:\ProgramData\MyQ\etC:\ProgramData\MyQ Central Server\
Ces deux emplacements peuvent être personnalisés lors de l'installation.
Présentation de l'architecture de sécurité
|
Couche de sécurité |
Print Server |
Central Server |
|---|---|---|
|
Web TLS (cryptage HTTPS) |
Composant : Routeur HTTP (Traefik)
|
Composant : Serveur HTTP (Apache)
|
|
En-têtes de sécurité HTTP |
Composant : Apache (derrière Traefik)
|
Composant : Apache
|
|
Communication sécurisée
|
Composant : Composants
|
Composant : Composants
|
Sur le Print Server, la terminaison TLS est gérée par Traefik. Sur le Central Server, la terminaison TLS est gérée par Apache.
Configuration Web TLS (routeur HTTP – Traefik)
Le routeur HTTP (Traefik) est chargé de terminer les connexions HTTPS et de gérer les versions du protocole TLS ainsi que les suites de chiffrement.
Configurer la version TLS minimale
Pour définir la version TLS minimale autorisée, configurez le protocole SSL dans config.ini.
Ouvrez config.ini dans un éditeur de texte et ajoutez ou modifiez :
[Security]
sslProtocol=TLS1.3
Valeurs prises en charge :
-
TLS1
-
TLS1.1
-
TLS1.2 (par défaut à partir de Print Server 10.2)
-
TLS1.3
Ce paramètre s'applique à :
-
Routeur HTTP (Web HTTPS)
-
SMTP
-
IPP
-
LPR
-
Messages (WebSockets)
Redémarrez tous les services après modification.
Configurer les suites de chiffrement
Utiliser les préréglages sécurisés (recommandé)
Ouvrez config.ini dans un éditeur de texte et ajoutez ou modifiez :
[Security]
sslCipherSuites=strict
Modes disponibles :
-
compatible (par défaut)
Autorise certains algorithmes de chiffrement plus faibles pour assurer la compatibilité avec les périphériques hérités. -
strict
Désactive les algorithmes faibles.
Les algorithmes de chiffrement suivants sont autorisés uniquement en mode compatible :
-
TLS_RSA_WITH_AES_128_CBC_SHA -
TLS_RSA_WITH_AES_256_CBC_SHA -
TLS_RSA_WITH_AES_128_GCM_SHA256 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_3DES_EDE_CBC_SHA -
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Le mode strict est recommandé, mais le mode compatible reste le mode par défaut en raison des exigences des périphériques hérités.
Autoriser certaines suites de chiffrement
Pour autoriser les suites de chiffrement sélectionnées, modifiez traefik.custom.rules.yaml. Enregistrez ensuite le fichier et redémarrez tous les services pour que la modification prenne effet.
Exemple :
tls:
options:
default:
cipherSuites:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Important !
Ne modifiez PAS ces fichiers :
-
{install}\Server\traefik.rules.yaml -
{install}\Server\traefik.yaml
Il s'agit de fichiers d'installation par défaut qui seront écrasés lors des mises à jour.
Si sslProtocol=TLS1.3 est activé, la sélection du chiffrement n'est pas configurable et les paramètres par défaut sécurisés de Traefik sont utilisés.
Assurez-vous que les périphériques connectés prennent en charge les suites de chiffrement sélectionnées.
En-têtes de sécurité HTTP (Apache)
Apache s'exécute derrière le routeur HTTP et ne met pas fin au protocole TLS. Apache écoute uniquement sur localhost et ne gère ni les versions du protocole TLS ni les suites de chiffrement.
Apache est responsable des en-têtes de sécurité des réponses HTTP.
Celles-ci comprennent :
-
Content-Security-Policy (CSP)
-
Strict-Transport-Security (HSTS)
-
X-Frame-Options
-
X-Content-Type-Options
-
Referrer-Policy
-
Politique d'autorisations
-
Autres protections au niveau des en-têtes
Emplacement de la configuration
Pour modifier la configuration des en-têtes de sécurité HTTP, modifiez ces deux fichiers. Redémarrez ensuite les services MyQ. Si httpd.template.conf fichier n'est pas modifié, vos modifications seront écrasées lors des mises à jour du service.
-
{install}\Apache\conf\httpd.conf -
{install}\Apache\conf\httpd.template.conf
Communication sécurisée hors Web
Certains composants MyQ utilisent une communication sécurisée indépendante du protocole Web HTTPS.
Il s'agit notamment de :
-
SMTP
-
IPP
-
LPR
-
Composants C++ internes
Le comportement TLS de ces composants est contrôlé par le sslProtocol paramètre dans config.ini. Ce paramètre ne modifie pas les en-têtes HTTP et ne modifie pas directement le comportement TLS d'Apache.
Forcer l'authentification Kerberos uniquement
Pour les environnements nécessitant une authentification stricte, ajoutez ce qui suit à config.ini:
[Security]
KerberosOnly=true
Cela désactive le repli sur NTLM et impose l'authentification Kerberos uniquement.
Assurez-vous que :
-
L'enregistrement correct du SPN.
-
La configuration correcte de l'infrastructure Kerberos.
Une mauvaise configuration peut empêcher l'authentification.