White Paper Remote Print Services-beveiliging - Xerox

Xerox Remote ServicesWitboek Beveiliging

Versie 1.0.9 Global Remote Services Xerox Informatiemanagement

November 2012 702P01061

©2012 Xerox Corporation. Alle rechten voorbehouden. Xerox®, Xerox en Design®, CentreWare® en PagePack® zijn handelskenmerken van de Xerox Corporation in de Verenigde Staten en/of andere landen.

BR4136

Handelskenmerken van andere bedrijven worden eveneens erkend.

Documentversie: 1.0.9 (november 2012).

Inleiding document

Algemene doeleinden en publiek

Het doel van dit document is het beschrijven van de systeemcomponenten, operabiliteit en mogelijkheden die beschikbaar zijn voor het invoeren van de Xerox Remote Services voor Xerox-producten. Het is bedoeld als begeleiding bij het invoeren van de Xerox Remote Services in een netwerkomgeving.

Het doelpubliek voor dit document richt zich op de volgende klantrollen:

Rol Beschrijving

Leverancier technologie aan klanten

Installeert apparatuur op aanwijzing van het IT-team van de klant

IT-team van de klant Certificeert en installeert de toolset en mogelijkheden voor in/uitschakelen voor de Xerox Remote Services

Beveiligingsteam van de klant Evalueert en certificeert/geeft goedkeuring voor de MPS toolset voor gebruik bij de klant, in overeenstemming met het bedrijfsbeleid en wettelijke naleving evenals normen in de bedrijfstak.

Opmerking: Xerox producten die niet direct zijn verbonden met het netwerk, worden niet behandeld in dit witboek (o.a. stand-alone fax/scanner/kopieer apparatuur, etc.)

De beste manier om dit document te gebruiken Lees eerst het hele document door ter voorbereiding van het certificeren van de Xerox producten en diensten die gebruikt moeten worden binnen de netwerkomgeving.

In hoofdstuk 2 wordt weergegeven wat de algehele mogelijkheden zijn van de Xerox Remote Services.

In hoofdstuk 3 wordt aangegeven hoe u moet bepalen welk installatiemodel het beste overeenkomt met uw bestaande IT-beleid.

In hoofdstuk 4 leest u meer over de gegevens die worden verzonden vanaf de Xerox producten.

In hoofdstuk 5 wordt weergegeven wat de technische details zijn waarop de Xerox Remote Services zijn gebaseerd.

In hoofdstuk 6 wordt ingegaan op de beste werkwijzen en aanbevelingen die wij doen ten aanzien van het installeren en gebruiken van de Xerox Remote Services.

Xerox Remote Services Witboek Beveiliging 1-3

Inhoudsopgave

Algemene doeleinden en publiek ..................................................... 1-2 De beste manier om dit document te gebruiken ............................... 1-2

1 Beknopte samenvatting ................................................... 1-4

2 Het MPS Continuum ........................................................ 2-6 2.1 Xerox Remote Print Services .............................................................. 2-6 2.2 Xerox® PagePack® 3.0 ........................................................................ 2-7 2.3 Xerox Partner Print Services ............................................................... 2-8 2.4 Xerox Print Services ............................................................................ 2-8 2.5 Enterprise Print Services ................................................................... 2-10

3 Installatiemodellen ......................................................... 3-10 3.1 Direct Connect ................................................................................... 3-11 3.2 Remote Proxy Apps .......................................................................... 3-11 3.3 Gemengd installatiemodel ................................................................. 3-12

4 Versturen van gegevens & inhoud ................................. 4-13 4.1 Beveiligen van het externe kanaal .................................................... 4-13 4.2 Gegevensbronnen ............................................................................. 4-14

4.2.1 Xerox kantoorapparatuur ....................................................... 4-14 4.2.2 Xerox productieapparatuur .................................................... 4-15 4.2.3 Xerox Remote Proxy Apps .................................................... 4-16 4.3 Gebruik door de Xerox Back-end Systemen ............................ 4-21

5 Technische gegevens .................................................... 5-22 5.1 Software Design ............................................................................. 5-22 5.2 Werkbaarheid .................................................................................... 5-22

5.2.1 Xerox Remote Services werkbaarheid op het netwerk .......... 5-22 5.2.2 PC-vereisten voor de Remote Proxy Apps ............................ 5-28 5.2.3 Beveiligingsmogelijkheden voor de Remote Proxy Apps ...... 5-29

5.3 Protocollen, Poorten en andere gerelateerde technologieën ............ 5-30 5.4 Basisconcepten beveiliging ............................................................... 5-32

6 Aanbevelingen ............................................................... 6-34

7 Bijlage A: Selectie installatiemodel ................................ 7-36

1-4 Xerox Remote Services Witboek Beveiliging

1 Beknopte samenvatting Het onderhouden van een grote hoeveelheid printapparatuur en gelijktijdig instandhouden van een acceptabel niveau in beveiliging, is een ware uitdaging. IT-personeel moet te allen tijde de meest geavanceerde technologieën kunnen inzetten, die elk weer veranderende zwakheden hebben ten aanzien van beveiliging en veiligheid. Daarnaast wordt door het hogere management automatisch verwacht dat er voortdurende verbetering van operationele processen plaatsvindt en kostenbesparing in acht wordt genomen voor activiteiten op en gebruik van de apparatuur. Gelukkig heeft Xerox een omvattend scala aan services op afstand ontwikkeld, waarmee dit kan worden gerealiseerd. Deze verzameling van services op afstand wordt het “Xerox Managed Print Services (MPS) Continuum of Services” genoemd. Xerox stel IT-personeel in staat om te kiezen hoe zijn een acceptabel niveau in beveiliging in stand kunnen houden en gelijktijdig de daarbij behorende kosten kunnen minimaliseren, evenals verbeteringen aan te brengen in het managen en onderhouden van alle printapparatuur. Het MPS Continuum of Services omvat alle basisconcepten van beveiliging, zoals vertrouwelijkheid, integriteit, beschikbaarheid, aansprakelijkheid en weerlegbaarheid.

Het MPS Continuum of Services kan worden ingevoerd, door middel van een van de volgende modellen:

1. printapparatuur kan direct communiceren met de Xerox communicatieservers (m.a.w. 'direct connect')

2. een Xerox-toepassing kan worden geïnstalleerd op het netwerk van de klant om de gegevens over de printapparatuur te verzamelen en daarna door te sturen naar de Xerox Communication Servers (m.a.w. 'via remote proxy apps')

3. een combinatie van beide modellen

Het installatiemodel dat wordt geselecteerd is afhankelijk van uw IT-beleid ten aanzien van het verwerken van het verzenden van de gegevens over uw printapparatuur. Het 'direct connect' model wordt meestal toegepast als er maar enkele apparaten aangesloten zijn op een klein netwerk. Een Xerox toepassing gebruiken om gegevens te verzamelen over uw printapparatuur en dit vervolgens door te sturen naar de Xerox Communication Servers (m.a.w. als een 'proxy'), wordt meestal in kleine tot grote bedrijfsnetwerken (enterprise-netwerken) ingezet, waarin het aantal verbindingen met externe websites wordt beperkt door het IT-beleid. Ongeacht het gebruikte model, zal het MPS Continuum of Services webgebaseerde protocollen en poorten waarmee beveiligde, versleutelde kanalen worden onderhouden mogelijk maken om gegevens van de printapparatuur door te sturen naar de Xerox Communication Servers, binnen de standaarden die door de bedrijfstak werden vastgesteld. Klanten hoeven over het algemeen geen veranderingen aan te brengen in de Internet firewalls, web-proxyservers of andere netwerkinfrastructuur die de beveiliging regelt. Zowel de Xerox-apparatuur en de Xerox-toepassingen worden geverifieerd door de Xerox Communication Servers, voordat de verzending van gegevens van de printapparatuur kan plaatsvinden.


De groep van gegevens die in het MPS Continuum of Services zal worden gelezen en verzonden, bestaan uit de identiteit van het apparaat, kenmerken, status, niveau van verbruiksmiddelen, tellergegevens en gedetailleerde diagnostische gegevens. Geen gegevens over afbeeldingen/opdrachten die identificeerbaar zijn, zullen ooit - standaard - worden overgedragen aan de Xerox Communication Servers. Natuurlijk is er een verschil in de hoeveelheden gegevens die worden doorgestuurd, afhankelijk van de capaciteiten en de soort printapparatuur die gebruikt wordt (m.a.w een kleine netwerkprinter vergeleken met een MFP op het netwerk of een kopieer/printer-productieunit) Als binnen het IT-beleid een beperking is opgelegd ten aanzien van het verzenden van specifieke soorten gegevens (b.v. gegevens gerelateerd aan netwerkadressen), dan kan de toolset van het MPS Continuum of Services zo ingesteld worden dat deze worden uitgesloten. In een productie-omgeving met hoge oplagen en complexe opdrachten, kan het noodzakelijk zijn dat de printapparatuur gegevens aan Xerox versturen moet die aan de opdrachten gerelateerd zijn, om het mogelijk te maken dat er 2e of 3e niveau ondersteuning verleend kan worden. Alhoewel deze mogelijkheid alleen bij productie-apparatuur aanwezig is, kan de klant toch beslissen om dit wel of niet te activeren. Indien de klant ervoor om gegevens gerelateerd aan de opdrachten (b.v. versleutelde PostScript, geen afbeeldingen) wel te verzenden aan Xerox, dan worden deze gegevens verwerkt volgens het Xeroxbeleid, het vertrouwelijkheidsbeleid of op aanwijzing van de klant.

Analisten uit de bedrijfstak en onafhankelijke onderzoeksbureaus plaatsen Xerox steeds weer in de top van leveranciers van Managed Print Services in de hele wereld. (b.v. Xerox werd aangemerkt als leider in het Gartner Magic Quadrant voor Managed Print Services, IDC MarketScape Worldwide Managed Print Services Vendor Assessment en de Quocirca Managed Print Services Vendor Assessment.) Daarom raden wij aan dat IT-personeel op bedrijfsniveau en iedereen die beveiliging onder beheer heeft, dit hele document doorneemt om inzicht te krijgen in de verschillende mogelijkheden en bewerkingen die het Xerox MPS Continuum of Services biedt en de manier waarop dit binnen uw IT-beleid een plaats kan gaan innemen.


2 Het MPS Continuum Binnen het Xerox Managed Print Services Continuum zijn de volgende 5 opties mogelijk:

1. Xerox Remote Print Services

2. Xerox® PagePack® 3.0

3. Xerox Partner Print Services

4. Xerox Print Services

5. Xerox Enterprise Print Services

Het is van belang aan te geven dat de technologie / toolset die in elk van deze opties gebruikt wordt, ontwikkeld werd uit dezelfde codebasis. Hiermee wordt het mogelijk gemaakt om dezelfde consistente dienstverlening te bieden binnen alle opties die Xerox biedt.

2.1 Xerox Remote Print Services Xerox Remote Print Services [Printdiensten op afstand] (XRPS) zijn inbegrepen in contracten klanten die Xerox printapparatuur kopen of leasen. Met XRPS worden een aantal veelvoorkomende activiteiten geautomatiseerd die te maken hebben met het managen van Xerox printapparatuur binnen netwerken. Hieronder vallen o.a.:

• Automatische rapportage van het gebruik van de printapparatuur, zodat een maandelijkse rekening kan worden opgemaakt

• Automatische rapportage van het niveau van de verbruiksartikelen, zodat nieuwe kunnen worden verstuurd naar de klant op het moment dat een minimaal niveau is bereikt

• Automatische rapportage van diagnostische informatie, zodat Xerox sneller oplossingen kan bieden als er foutmeldingen in de printapparatuur worden getoond

XRPS is van toepassing op zowel de Xerox printapparatuur als non-Xerox printapparatuur . Verschillende niveau's in betaalde onderhoudsovereenkomsten (b.v. FSMA, e-Click, etc.) worden aan klanten aangeboden, evenals traditionele garantievoorwaarden die inbegrepen zijn in de prijs van de Xerox printapparatuur.


De functionaliteit voor bediening op afstand is in Xerox producten ingebouwd, waardoor het automatiseren van XRPS direct naar Xerox per apparaat mogelijk gemaakt wordt. Lees het hoofdstuk Installatiemodellen voor meer hierover.

XRPS kan ook worden ingeschakeld met de toepassingen voor afstandsbediening die op het netwerk van de klant worden geïnstalleerd. Deze toepassingen verzamelen collectieve gegevens van het netwerk van de klant en sturen dit direct door naar Xerox. Lees het hoofdstuk Installatiemodellen voor meer hierover. Het Xerox® CentreWare® Web (CWW) en Xerox Device Agent (XDA) Lite zijn 2 toepassingen die via de Xerox web site (http://www.xerox.com) beschikbaar gemaakt worden en waarmee de klanten zowel Xerox als non-Xerox gegevens van printapparatuur via 'proxy' naar Xerox kunnen sturen. Met CWW wordt een compleet beheersysteem voor apparatuur geboden voor kleine, middelgrote of grote netwerken. Deze webgebaseerde toepassing omvat aanmelding van apparaten, statusweergave, configuratie, upgraden van software en rapportage. Met XDA Lite wordt een gereduceerde verzameling functionaliteiten geleverd voor kleine tot middelgrote netwerken. Deze Windows-gebaseerde applicatie richt zich op automatische rapportage van het gebruik van de printapparatuur, verbruik van gebruiksmaterialen en diagnosegegevens van defecten en foutmeldingen.

2.2 Xerox® PagePack® 3.0 Xerox® PagePack® 3.0 (XPP) is een service die binnen het Xerox MPS continuum wordt aangeboden en is ontworpen voor Xerox Authorized Partners, om te verkopen aan kleine tot middelgrote bedrijven. Met deze startersoptie kunnen Xerox Authorized partners voordeel behalen van de groeiende markt voor MPS, door de volgende opties aan hun klanten aan te bieden:

• Een programma met een vast bedrag per pagina waarin verbruiksartikelen en service voor nieuwe Xerox-producten zijn inbegrepen.

• Het programma met een vast bedrag per pagina met verbruiksartikelen (en optioneel service) voor alle printapparatuur ongeacht de leverancier.

• Een programma met vaste kosten per maand per apparaat, en volledig management van het hele machinepark, ongeacht de leverancier.

Voor verdere informatie over de Xerox® PagePack® 3.0 optie, kunt u de volgende Xerox web site bezoeken: URL= http://bizzmail.com/PagePack/External/bizzmail.html.

Een toepassing genaamd PagePack Assistant (PPA) wordt meestal door de Xerox Authorized Partners ingezet, om de Xerox printapparatuur te monitoren die bij de klant aanwezig is. Deze Windows-gebaseerde applicatie richt zich op versturen van gegevens over het gebruik van de printapparatuur, verbruik van gebruiksmaterialen en diagnosegegevens van defecten en foutmeldingen, naar de Xerox Authorized Partner als onderdeel van het XPP-verzorgingsproces.


2.3 Xerox Partner Print Services De optie voor de Xerox Partner Print Services (XPPS) is ontworpen voor de Certified Reseller Partners (Gecertificeerde wederverkoper partners) om aan te bieden aan kleine tot grote bedrijven. XPPS is voornamelijk gericht op het beheren van de kosten voor het managen van zowel de netwerkgebonden, als de niet-netwerkgebonden printapparatuur, los van de leverancier. Met deze optie wordt een gecentraliseerd proces mogelijk voor installatie, routine-onderhoud, aanvullen van verbruiksartikelen, service en ondersteuning van elke soort printapparatuur. Dit heeft als resultaat dat de kostbare IT-gelden van de klanten kunnen worden ingezet op de meer kritieke taken die nodig zijn om het bedrijf in stand te houden. XPPS is een flexibele service die de klanten in staat stelt om alleen te betalen voor de services die zij willen afnemen. Voor verdere informatie over de XPPS-optie, kunt u de volgende Xerox web site bezoeken: URL = http://www.office.xerox.com/managed-print-services/enus.html.

De Xerox Device Agent Partner Edition (XDA PE) toepassing wordt meestal ingezet bij Certified Reseller Partners (Gecertificeerde wederverkoper partners), om printapparatuur bij de klant zelf ter monitoren. Deze Windows-gebaseerde applicatie monitort en rapporteert over de status van het printapparaat, niveau en gebruik van verbruiksmaterialen van Xerox en non-Xerox apparatuur naar de Certified Reseller Partner als onderdeel van het XPP-verzorgingsproces.

2.4 Xerox Print Services Waarschijnlijk de meest populaire optie in het Xerox MPS continuum, is de mogelijk voor Xerox Print Services (XPS). XPS is ontworpen voor kleine tot grote bedrijven. Het programma richt zich op het beheren van kosten en het verbeteren van de efficientie van het printen van documenten, het aanvullen van verbruiksartikelen, het kopen of leasen van apparatuur en de service/onderhoud ervan. Met deze optie wordt ook mogelijk dat er slechts een contactpersoon is voor ondersteuning van zowel de Xerox als non-Xerox printapparatuur. Met XPS worden de beste en meest bewezen tools in de bedrijfstak benut, in combinatie met methodes en jarenlange ervaringen die in het managen van printservice is opgedaan. De voordelen die behaald kunnen worden door het inzetten van XPS, zijn o.a. duurzaamheid t.a.v. het milieu, verbeterde beveiliging van documenten, proactieve ondersteuning voor de apparatuur, verbeterde productiviteit van werknemers, samengevatte rapportage en gereduceerde kosten voor eigenaarschap van de print-infrastructuur. Voor verdere informatie over de XPS-optie, kunt u de volgende Xerox web site bezoeken: URL = http://www.consulting.xerox.com/xerox-managed-print-services/print-management/enus.html.

Een toepassing genaamd Xerox Device Agent (XDA) wordt meestal door de Xerox MPS ingezet, om de Xerox printapparatuur te monitoren die bij de klant aanwezig is. Deze Windows-gebaseerde applicatie monitort en rapporteert over de status van het


printapparaat, niveau en gebruik van verbruiksmaterialen van Xerox en non-Xerox apparatuur naar Xerox als onderdeel van het XPP-verzorgingsproces. Het kan eveneens de software upgraden van het Xerox-printapparaat en vanuit een extern call-center problemen helpen behandelen en oplossen.


2.5 Enterprise Print Services De Enterprise Print Services (EPS) optie is de meest uitgebreide service binnen het Xerox MPS continuum. XPS is ontworpen voor grote tot internationale bedrijven. EPS richt zich voornamelijk op het beheren van kosten en het verbeteren van de efficiëntie van het interne printen in kantooromgevingen, postkamer- en distributiewerkzaamheden, interne gecentraliseerde printwerkzaamheden en het outsourcen van externe printleveranciers. Met deze optie is het meest uitgebreide pakket mogelijkheden voorhanden in het MPS continuum en omvat:

• Gedetailleerd assetmanagement

• Incidentmanagement van begin tot eind

• Enkel aanspreekpunt voor alle printapparatuur bij de klant

• Uitgebreide ondersteuning voor defecten / reparaties, ongeacht de leverancier

• Toepassing van printaansturing op basis van vastgestelde regelgeving

• Verbetering van bedrijfsprocessen voor de documentworkflow

• Toepassing van de beste werkwijzen om duurzaamheid voor het milieu te bewerkstelligen

• Beveiligingsbeleid ten aanzien van bedrijfsinformatie wordt bewaakt

• Meten, monitoren en rapporteren van voortdurende verbetering

• Verandermanagement om bestaande werkwijzen om te vormen naar een nieuwe bedrijfscultuur.

Voor verdere informatie over de EPS-optie, kunt u de volgende Xerox web site bezoeken: URL = http://www.consulting.xerox.com/xerox-managed-print-services/enterprise-printing/enus.html.

De toepassing Xerox Device Manager (XDM) wordt meestal door de Xerox MPS ingezet, om de Xerox printapparatuur te monitoren die bij de klant aanwezig is. Deze webgebaseerde applicatie monitort en rapporteert over de status van het printapparaat, niveau en gebruik van verbruiksmaterialen van Xerox en non-Xerox apparatuur naar Xerox als onderdeel van het EPS-verzorgingsproces. Het kan eveneens de software upgraden van het Xerox-printapparaat en vanuit een extern call-center problemen helpen behandelen en oplossen.

3 Installatiemodellen


Xerox Remote Services worden meestal ingezet door middel van een van de volgende 3 modellen:

• direct connect (directe verbinding)

• via remote proxy apps

• een combinatie van direct connect en remote proxy apps

Welk installatiemodel ook gekozen wordt, het is van belang te weten dat de beveiliging in alle 3 installatiemodellen van gelijkwaardig niveau is.

3.1 Direct Connect Het direct connect-model dat binnen Xerox Remote Services wordt gebruikt, bestaat uit de volgende systeemcomponenten:

Afbeelding 3.1.1 Systeemcomponenten & Dataflow's van het Direct-Connect Model

Opmerking: De Remote Services module die ingebouwd is in de Xerox-apparatuur, zorgt voor beveiligde verzending van de gegevens naar Xerox, zodat de geautomatiseerde mogelijkheden van Xerox Remote Print Services kan worden geactiveerd. Op verzoek kan dit worden gedeactiveerd.

3.2 Remote Proxy Apps


Het remote proxy-model dat binnen Xerox Remote Services wordt gebruikt, bestaat uit de volgende systeemcomponenten:

Afbeelding 3.2.1 Systeemcomponenten & Dataflows van het Remote Proxy Apps Model

Opmerking: De Xerox Print Agent (XPA) volgt het gebruik van de desktopprinter (aantal geprinte pagina's) en legt de specifieke beperkingen op die in het beleid zijn vastgesteld (b.v. dubbelzijdig, kleur of zwart-wit, beperkingen over de soort opdracht, quotums, tijdstippen, etc.). XPA wordt alleen geïnstalleerd op printservers en computers van eindgebruikers als de klant goedkeurt dat het gebruik wordt gemonitort en het printbeleid wordt bewaakt op de verschillende componenten, als onderdeel van de Xerox Enterprise Print Services.

3.3 Gemengd installatiemodel Een combinatie van de direct connect mogelijkheid en de remote-proxy app-gebaseerde optie, kan bij de klant in dezelfde omgeving worden ingezet. Dit scenario is mogelijk wanneer de klant meerdere soorten onderhoudsovereenkomsten met Xerox afsluit voor de printapparatuur. Op het moment dat een Xerox printapparaat voor de eerste keer wordt geïnstalleerd op het netwerk, zal het met de standaard diensten van de Xerox Remote Services worden opgezet, zodat er automatisch een directe verbinding wordt gemaakt met de Xerox Communication Servers (m.a.w. het direct connect model). Als de klant later besluit om een van de opties voor Xerox Managed Print Services aan te schaffen, zullen de Remote Proxy apps automatisch de verantwoordelijkheid overnemen van het regelmatig versturen van de gegevens van de printapparatuur aan de Xerox Communication Servers (m.a.w het app-gebaseerde remote proxy model).


4 Versturen van gegevens & inhoud

4.1 Beveiligen van het externe kanaal Direct Connect Model

De module voor services op afstand die in Xerox-apparatuur is ingebouwd, gebruikt een SSL-verbinding via de standaard poort 443, zodat er met de externe Xerox Communication Servers kan worden gecommuniceerd. Deze beveiligde verbinding gebruikt MD5 en RSA technologie om de gegevens te versleutelen. Daarnaast wordt een aanvullend Xerox-eigen authenticatiemechanisme gebruikt om toegang te krijgen tot de services in de Xerox Communication Servers.

Remote Proxy App Model

Alle Remote Proxy toepassingen (d.w.z. CWW, XDA Lite, XDA PE, XDA, XDM) gebruiken eveneens een SSL-verbinding via de standaard poort 443, om te kunnen communiceren met de externe Xerox Communication Servers. Deze beveiligde verbinding gebruikt MD5 en RSA technologie om de gegevens te versleutelen. Andere aanvullende mogelijkheden om de beveiliging te verbeteren over dit kanaal (dat gedurende de initiële installatie van de remote proxy apps wordt vastgesteld) zijn:

• De Remote Proxy App initieert alle communicatie met de externe Xerox Communication Servers (m.a.w eenrichtingsverkeer).

• Een geldige URL moet worden gebruikt voor de externe Xerox Communication Servers.

• Een aanvullend Xerox-eigen authenticatiemechanisme wordt gebruikt om toegang te krijgen tot sommige services in de Xerox Communication Servers.

• Een geldige account-ID of een site-identificatie naast een registratiecode voor de Xerox communicatieserver moet worden gebruikt om toegang te krijgen tot sommige services in de Xerox Communication Servers.

− De Remote Proxy App verzoekt om registratie bij de externe Xerox Communication Servers, gebruikmakend van de juiste verificatiegegevens.

− De Xerox Communication Servers valideren de gegevens en accepteren daarna het verzoek.

− De Remote Proxy App ziet dan de goedkeuring van de externe Xerox communicatieserver en activeert vervolgens de service.


4.2 Gegevensbronnen De volgende systeemcomponenten genereren/verzamelen gegevens voor de Xerox Remote Services:

• Xerox kantoorapparatuur

• Xerox productie-apparatuur

• Xerox Remote Proxy Apps

4.2.1 Xerox kantoorapparatuur

Xerox printapparatuur in een kantooromgeving verstuurd de volgende gestructureerde gegevens in een Xerox-eigen XML format op basis van het Distributed Management Task Force’s Common Information Model (CIM) (Algemeen informatiemodel vastgesteld door de task force voor beheer) . Deze gestructureerde gegevens worden dan samengevoegd in een zipbestand voordat ze direct naar de externe Xerox Communication Servers worden verzonden als onderdeel van de Xerox Remote Print Services:

Gegevens Beschrijving Xerox Service

Apparaatidentiteit

Inclusief model, niveau van de firmware, serienummers van de module en installatiedatum.

Alleen Xerox Remote Print Services

Netwerkadres van het apparaat

Inclusief het netwerkapparaat/component dat wordt gebruikt voor de configuratie van de verbinding (er worden geen gegevens over het netwerkadres zichtbaar gemaakt).


Eigenschappen van het apparaat

Inclusief gedetailleerde configuratiegegevens van de hardware, gedetailleerde gegevens over de softwareconfiguratie, opties/services die ondersteund worden, modus voor energiebesparing, etc.


Apparaatstatus

Inclusief de algehele status, gedetailleerde waarschuwingen, de geschiedenis van de laatste 40 foutmeldingen, gegevens over papierstoringen, etc.


Tellers van de apparatuur

Inclusief tellers voor facturering, aantal afdrukken, aantal faxen, tellers voor grote opdrachten, scan-naar-bestemming tellers, statistische gegevens over gebruik, etc.


Verbruiksartikelen apparaat

Inclusief de naam van het verbruiksartikel, de soort (b.v. beeldbewerking, afwerking, papiermedia) niveau, capaciteit, status, formaat, etc.




Gedetailleerd gebruik van de machine

Inclusief gedetailleerde gegevens printaantallen, status inschakeling, geïnstalleerde CRU vervangingsaantallen, gedetailleerde CRU defectgegevens en verspreiding, gebruik van ingebouwde OCR-mogelijkheden, verspreiding oplagen/tijd, spreiding gebruik papierladen, gemarkeerde media, verdeling soorten media, verdeling formaat van media, verdeling documentlengte, verdeling aantal sets, gemarkeerde pixeltelling, gemiddelde dekking per kleur, defecten / papierstoringen, gedetailleerde aantallen scans.


Engineering / Debug

Geen

Opmerking: Alhoewel er GEEN geautomatiseerde overdracht van gegevens betreffende engineering of debugging naar Xerox wordt verzonden, bevatten een aantal kantoorapparaten de mogelijkheid om deze soort gegevens op een lokale PC via een webinterface te downloaden. De engineering/debug gegevens bevatten GEEN gegevens over afbeeldingen/opdrachten. Het bestand dat via de webinterface kan worden gedownload, is versleuteld en kan niet door andere gebruikers worden gelezen. Het moet naar Xerox worden geëmaild en worden ontsleuteld, om enig nut te hebben voor analyse.

GEEN

AANTEKENINGEN:

• Ga naar de Xerox website om te bepalen of uw apparatuur als kantoor- of productie-apparatuur is geclassificeerd.

• Het bestand en de inhoud van de gegevens die werden gevonden, zijn verschillend afhankelijk van het model,

4.2.2 Xerox productieapparatuur

Xerox printapparatuur in een productieomgeving verstuurd de volgende gestructureerde gegevens in een Xerox-eigen XML format op basis van het Distributed Management Task Force’s Common Information Model (CIM) (Algemeen informatiemodel vastgesteld door de task force voor beheer) . Deze gestructureerde gegevens worden dan samengevoegd in een zipbestand voordat ze direct naar de externe Xerox Communication Servers worden verzonden:


Apparaatidentiteit

Inclusief model, niveau firmware van de module, serienummer van de module, installatiedatum van de module, contactinformatie van de klant, gegevens over de licentie, locatie


Netwerkadres van het apparaat

Inclusief MAC-adres, subnet-adres. Alleen Xerox Remote Print Services

Eigenschappen van het apparaat

Inclusief gedetailleerde configuratiegegevens van de hardware, gedetailleerde gegevens over de softwareconfiguratie, opties/services die ondersteund worden, etc.




Apparaatstatus

Inclusief actieve statussen, telling foutgeschiedenis, DFE eventlog, geschiedenis gegevensoverdracht


Tellers van de apparatuur

Inclusief tellers voor facturering, aantal afdrukken, aantal kopieën, tellers voor grote opdrachten, productiespecifieke tellers, scan-naar-bestemming tellers voor de lage productiemodellen, etc.


Verbruiksartikelen apparaat

Inclusief fabrikant, model, serienummer, naam, soort, niveau, capaciteit, status, levensduur tellers, etc.


Gedetailleerd gebruik van de machine

Inclusief HFSI gegevens, NVM gegevens, onderdelenvervanging, DFE-logs, gedetailleerde gegevens van diagnostiek, probleemoplossing.


Engineering / Debug

Inclusief niet-gestructureerde, gedetailleerde gegevens over debugging alleen bedoeld voor gebruik door ondersteuning op 3e niveau.


Gerelateerd aan de opdracht van de klant

Inclusief versleutelde PostScript commando's waarmee de opdracht op een ander, gelijksoortig Xerox printapparaat kan worden gereproduceerd (m.a.w niet de daadwerkelijke afbeelding). Alhoewel deze mogelijkheid alleen bij productie-apparatuur aanwezig is, kan de klant beslissen om dit wel of niet te activeren. Indien de klant ervoor om gegevens gerelateerd aan de opdrachten (b.v. versleutelde PostScript, geen afbeeldingen) wel te verzenden aan Xerox, dan worden deze gegevens verwerkt volgens het Xeroxbeleid, het vertrouwelijkheidsbeleid of op aanwijzing van de klant.

Xerox ondersteuning op 2e en 3e niveau

AANTEKENINGEN:

• Ga naar de Xerox website om te bepalen of uw apparatuur als kantoor- of productie-apparatuur is geclassificeerd.

• Het bestand en de inhoud van de gegevens die werden gevonden, zijn verschillend afhankelijk van het model,

4.2.3 Xerox Remote Proxy Apps

De Xerox Remote Proxy Apps (d.w.z. CWW, XDA Lite, XDA PE, XDA, XDM) versturen de volgende gegevens over de printapparatuur in een XML-formaat, dat wordt samengevoegd in een zipbestand en daarna versleuteld, voordat het direct naar de externe Xerox Communication Servers wordt verzonden:

Gegevens Beschrijving Xerox Services

Apparaatidentiteit

Inclusief fabrikant, model, beschrijving, firmware versie, serienummer, labels, systeemnaam, contact, locatie, beheerstatus, naam in queue en werkstation (desktop), fax en telefoonnummer.

Alle

(XRPS, XPS, XPPS, EPS, Xerox®

PagePack® 3.0)



Netwerkadres van het printapparaat

Inclusief MAC-adres, IP-adres, DNS-naam, subnet-masker, IP default gateway, laatst bekende IP-adres, gewijzigde IP-adres, tijdzone, IPX-adres, IPX Extern netwerknummer, IPX Printserver.

Alle


PagePack® 3.0)

Eigenschappen apparaat

Inclusief geïnstalleerde componenten, beschrijvingen van componenten, ondersteunde opties/services, printsnelheid, kleurenondersteuning, opties voor afwerking, ondersteuning voor dubbelzijdig, markeertechnologie, harde schijf, RAM, taalondersteuning, eigenschappen bepaald door de gebruiker.

Alle


PagePack® 3.0)

Status printapparaat

Inclusief algehele status, gedetailleerde waarschuwingen, berichten van de lokale console, status componenten, status gegevens betreffende het uitlezen, datum ontdekking, methode/soort ontdekking, tijd dat apparaat in werking was, ondersteunde / ingeschakelde traps.

Alle


PagePack® 3.0)

Tellers printapparaat

Inclusief tellers voor facturering, aantal afdrukken, aantal faxen, tellers voor grote opdrachten, scanner verbonden tellers, statistische gegevens over gebruik, doelvolume.

Alle


PagePack® 3.0)

Verbruiksartikelen printapparaat

Inclusief de naam van het verbruiksartikel, de soort (b.v. beeldbewerking, afwerking, papiermedia) niveau, capaciteit, status, formaat, etc.

Alle


PagePack® 3.0)

Gedetailleerd verbruik printapparaat

Trackinggegevens per gebruiker met daarin de eigenschappen van de opdracht (ID, documentnaam, eigenaar, soort opdracht, kleur, dubbelzijdig, benodigde media, formaat, pagina's sets, foutmeldingen), bestemming (printapparaat, model, DNS-naam, IP-adres, MAC-adrers, serienummers), resultaten van de printen van de opdracht (tijdstip van instelling, tijdsduur van printen, aantal geprinte pagina's, kleur/ZW pagina's geprint, gebruikte kleurmodus, indeling), boekhoudkundige gegevens (kostenplaatscode, kostenplaats bedrag, kostendrager), bron van printopdracht, (werkstation, naam / MAC-adres van printserver, queue-naam, poort, gebruikersnaam, gebruikersID), Xerox beheergegevens (naar XSM verzonden),

Opmerking: Er kunnen aanzienlijke kosten worden bespaard door het monitoren van het gedrag van de eindgebruiker, het vaststellen van een correcte gedragscode voor het gebruik van printers en vervolgens de technologie gebruiken om dit beleid op te leggen. XPS, XPPS en EPS kunnen deze technologie leveren in de vorm van een optie om per gebruiker tracking in te stellen en de optie om printerbediening aan te passen. Deze opties worden alleen ingezet voor de klanten die toestaan om op dit niveau gegevens van het netwerk te halen.

XPS, XPPS, EPS



Printapparatuur Engineering / Debugging

Geen GEEN

AANTEKENINGEN:

• Alle gegevensvelden die verbonden zijn aan de printapparatuur, kunnen worden uitgesloten voor het verzenden naar de Xerox Communication Servers behalve het serienummer en de verbruikstellers.

• Het opnemen van bepaalde gegevens over de opdrachten kan worden uitgeschakeld voor overdracht en verzending.

• Codes voor kostenplaatsen kunnen worden geïntegreerd vanuit de MS Active Directory.


De Xerox Remote Proxy Apps (d.w.z. CWW, XDA Lite, XDA PE, XDA, XDM) versturen ook de volgende gegevens gerelateerd aan de toepassing in een XML-format, dat wordt samengevoegd in een zipbestand en daarna versleuteld, voordat het direct naar de externe Xerox Communication Servers wordt verzonden:


Remote Proxy App Identiteit

Inclusief PC-informatie zoals de DNS-naam, IP-adres, naam besturingssysteem, PC CPU, hoeveelheid RAM (vrij en gebruikt), formaat harde schijf, versie van de app, verloopdatum van de licentie van de app, .Net versie, tijdzone, componentversie ontdekking, formaat hoofddatabase, formaat database ontdekking, aantal printers / binnen bereik / buiten bereik, lopende kritieke services.

XPS, XPPS, EPS

Remote Proxy App Bedrijfsbeveiliging Modus

Normale Modus = remote app configuratie + ontvangen actieverzoek + remote app status synct met de Xerox Communication Servers + datapush voor het printapparaat zijn operationeel.

Lock Down Modus (Vergrendeling) = alle communicatie met de externe Xerox Communication Servers is uitgeschakeld.

(m.a.w. configuratie is uitgeschakeld voor de remote app + ontvangst van de externe commando's is uitgeschakeld + sync van de status van de remote app naar de Xerox Communication Servers uitgeschakeld + IP-adres /DNS-naam van de remote app kan niet worden verzonden + datapush van printapparatuur is uitgeschakeld)

XPS, XPPS, EPS

Remote Proxy App overtredingen van het vastgestelde printbeleid

Inclusief PC-naam eindgebruiker, gebruikte printserver, gebruikte printqueue, gemeten tijdstip van overtreding, documentnaam, gebruikersnaam eindgebruiker, was de opdracht dubbelzijdig?, kleur van opdracht?, totaal aantal afdrukken van de opdracht, prijs van de opdracht, ondernomen actie, eindgebruiker in kennis gesteld?, bericht weergegeven?, naam printbeleid, regeld printbeleid.

Alleen EPS

Remote Proxy App configuratie op afstand

Instellingen die op afstand kunnen worden ingesteld omvatten o.a. ontdekkingsoperatie, frequentie van gegevensexport, instellingen gerelateerd aan SNMP (opnieuw, timeout, namen van communities), alertprofielen en updatefrequentie van de software voor de remote proxy app.

XPS, XPPS, EPS


Sommige Xerox Remote Proxy Apps (zoals XDA PE, XDA, en XDM maar niet CWW of XDA Lite) kunnen de volgende acties verwerken die door de externe Xerox Communication Servers werden aangevraagd:


Acties die op printapparatuur worden uitgevoerd

• Get Device Status = de meest recente status van het printapparaat opvragen

• Reboot Device = initiëren van een in/uitschakeling op het printapparaat

• Upgrade Device = installeren van nieuwe software/firmware op het printapparaat

• Troubleshoot Device = ping printapparaat + meest recente status opvragen van het printapparaat

• Print Test Page = een testopdracht invoeren in het printapparaat om het printpad te valideren

• Start Managing Device = periodieke overdracht opstarten om gegevens naar de externe Xerox Communication Servers te verzenden

Opmerking: Elk van deze acties kan per verzoek worden uitgeschakeld in het administratieve configuratiedeel van de Xerox Remote proxy apps die deze mogelijkheden ondersteunen.

XPS, XPPS, EPS

Acties die op de Remote proxy apps uitgevoerd kunnen worden

Instellingen binnen elke Remote proxy app die op afstand kunnen worden ingesteld omvatten o.a. ontdekkingsoperatie, frequentie van gegevensexport, instellingen gerelateerd aan SNMP (opnieuw, timeout, namen van communities), alertprofielen en updatefrequentie van de software voor de remote proxy app.

XPS, XPPS, EPS


4.3 Gebruik door de Xerox Back-end Systemen

De gegevens die door de externe Xerox Communication Servers ontvangen van de Xerox kantoorgebaseerde printaparaten, Xerox productie-printapparatuur en Xerox Remote Proxy Apps, wordt gebruikt voor de volgende Xerox business processen:

Business Procesnaam Beschrijving

Automatische aflezing tellers Er wordt automatisch een factuur gegenereerd op basis van de afgelezen waarden op de tellers in de printapparatuur.

Automatische aanvulling verbruiksartikelen

Toner wordt automatisch verzonden aan de klanten als de status van de hoeveelheid verbruiksartikelen wordt afgelezen in de printapparatuur.

Onderhoudbaarheid (Onderhoudsassistent)

Gedetailleerde informatie over foutmeldingen en storingen wordt automatisch verzonden naar de PDA/Blackberry van het onderhoudspersoneel, zodat de voorbereidingen voor een onderhoudsbezoek kunnen worden versneld.

3e niveau ondersteuning (Engineering/Debugging)

Het ondersteunende personeel kan gecompliceerde problemen oplossen als zij toegang hebben tot gedetailleerde logs voor engineering en debugging.

Automatische aanvulling onderdelen

Vervangbare componenten worden automatisch aan de klant verstuurt als zij deze nodig hebben voor de printapparatuur.

Basisinformatie over het apparaat wordt opgeslagen en bewaard in een Xerox datacenter gedurende 3 jaar. Na 3 jaar worden zowel de gegevens van het printapparaat en de opgeslagen gegevens door het Xerox informatiemanagementteam gewist. Engineering/debug loggegevens worden gedurende 90 dagen bewaard of als de problemen zijn opgelost naar tevredenheid van de klant. Xerox past vele werkwijzen toe om de veiligheid van de gegevens van de klant op een hoog niveau bewaakt worden.

De werkprocessen en praktijken die onderdeel uitmaken van de Xerox back-end Remote Services software-applicaties en de printgegevens van de klanten beschermen, zijn gebaseerd op ITIL best practices en de ISO 27000 standaarden. De klanten kunnen zeker zijn dat het instandhouden van de integriteit van de gegevens, privacy en bescherming op het niveau staan van de allerhoogst beschikbare standaarden in de bedrijfstak.


5 Technische gegevens In dit hoofdstuk worden aanvullende technische gegevens besproken die meestal door de IT-mensen en beveiligingspersoneel gevraagd worden, zodat ze de printapparatuur kunnen certificeren, evenals de remote proxy apps die op het netwerk van de klant worden gebruikt.

5.1 Software Design Het ontwikkelen van software wordt door Xerox bijzonder serieus aangepakt. Ontwikkelaars van software zijn verplicht om training te volgen met betrekking tot het inzicht in beveiliging, als onderdeel van het ontwikkelproces. Het design van de software waarmee de Xerox printapparatuur wordt aangestuurd en de applicaties voor de remote proxy apps die gebruikt worden om de apparatuur te monitoren / managen, is gebaseerd op de veiligheidsrichtlijnen voor coderen die in deze trainingen wordt aangeleerd.

5.2 Werkbaarheid 5.2.1 Xerox Remote Services werkbaarheid op het netwerk

Xerox Remote Services voert een van de volgende soorten werkzaamheden uit op het netwerk:

Xerox optie Installatiemethode

Apps gebruikt per Xerox optie

Dataflow op het netwerk

Werkbaarheid van toepassing op een netwerk

Xerox Remote Print Service

Direct-connect (Figuur 3.1.1)

Geen

Intern Xerox printapparaat probeert een webproxyserver te vinden (automatisch of doorverwezen naar een specifiek adres)

Intern Xerox printapparaat genereert verzoeken aan een SMTP-server om een waarschuwingsemail te versturen naar een gedefinieerde lijst met ontvangers

Extern naar het netwerk

Xerox printapparaat gaat door de firewall van het bedrijf om contact te maken met Internet (HTTPS via poort 443)







Xerox printapparaat stuurt automatisch de gegevens van het printapparaat via een versleuteld kanaal (HTTPS via poort 443) naar de Xerox communicatieserver op specifieke tijdstippen, elke dag


Xerox printapparaat stuurt de Xerox Communication Servers automatisch verzoeken via een versleuteld kanaal (HTTPS via poort 443) op een specifieke tijd, elke dag, voor een lijst met acties die moeten worden uitgevoerd (b.v. verstuur nu facturatiegegevens, voeg een service toe, etc.)


One-way on-demand (Eenzijdig, op verzoek) verzenden van de engineering loggegevens van het Xerox printapparaat via een versleuteld kanaal (HTTPS via po0rt 443) naar de Xerox communicatieserver

Remote Proxy Apps (Figuur 3.2.1)

XDA Lite + CWW

Intern Elke app probeert een webproxyserver te vinden (automatisch of doorverwezen naar een specifiek adres)

Intern Elke app vraagt de gegevens van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern Elke app vraagt de configuratie van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern Elke app vraagt de status van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern Elke app vraagt de status van de verbruiksartikelen op voor alle aanwezige apparatuur via SNMP

Intern Elke app kan een printapparaat herstarten via SNMP of via de gebruikersinterface van het printapparaat, op het web

Intern Elke app kan een testpagina indienen bij een specifiek printapparaat






Intern Elke app kan de webpagina van een printapparaat opstarten

Extern (alleen outbound)

Elke app gaat door de firewall van het bedrijf om contact te maken met Internet (HTTPS via poort 443)


Elke app stuurt automatisch de gegevens van het printapparaat via een versleuteld kanaal (HTTPS via poort 443) naar de Xerox communicatieserver op specifieke tijdstippen, elke dag


Elke app stuurt de Xerox Communication Servers automatisch verzoeken via een versleuteld kanaal (HTTPS via poort 443) op een specifieke tijd, elke dag, voor een lijst met acties die moeten worden uitgevoerd (b.v. verstuur nu facturatiegegevens, voeg een service toe, etc.)

Xerox®

PagePack® 3.0

Remote Proxy Apps

PagePack Assistant app (PPA)

Intern PPA probeert een webproxyserver te vinden (automatisch of doorverwezen naar een specifiek adres)

Intern PPA vraagt de gegevens van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern PPA vraagt de configuratie van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern PPA vraagt de status van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern PPA vraagt de status van de verbruiksartikelen op voor alle aanwezige apparatuur via SNMP

Intern PPA kan een testpagina indienen bij een specifiek printapparaat

Intern PPA kan de webpagina van een printapparaat opstarten


PPA gaat door de firewall van het bedrijf om contact te maken met Internet (HTTPS via poort 443)







PPA stuurt automatisch de gegevens van het printapparaat via een versleuteld kanaal (HTTPS via poort 443) naar de Xerox communicatieserver op specifieke tijdstippen, elke dag


PPA stuurt de Xerox Communication Servers automatisch verzoeken via een versleuteld kanaal (HTTPS via poort 443) op een specifieke tijd, elke dag, voor een lijst met acties die moeten worden uitgevoerd (b.v. verstuur nu facturatiegegevens, voeg een service toe, etc.)

XPS / XPPS

Remote Proxy Apps

XDA app +

XDA PE app voor het monitoren van printapparatuur die met het netwerk is verbonden

Xerox Print Agent (XPA) app voor het monitoren van printapparatuur die via een PC is verbonden

Intern Elke XDA app probeert een webproxyserver te vinden (automatisch of doorverwezen naar een specifiek adres)

Intern Elke XDA app vraagt de gegevens van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern Elke XDA app vraagt de configuratie van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern Elke XDA app vraagt de status van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern Elke XDA app vraagt de status van de verbruiksartikelen op voor alle aanwezige apparatuur via SNMP

Intern Elke XDA app kan een testpagina indienen bij een specifiek printapparaat

Intern Elke XDA app kan de webpagina van een printapparaat opstarten

Intern Elke XDA app kan de software van het printapparaat upgraden via het indienen van een printopdracht

Intern De XPA app kan gegevens van de tellers ontvangen van een printapparaat dat verbonden is aan een PC en kan deze gegevens dan doorsturen naar de XDA app.






Intern De XPA app kan gegevens van de verbruiksartikelen ontvangen van een printapparaat dat verbonden is aan een PC en kan deze gegevens dan doorsturen naar de XDA app.

Intern De XPA app kan gegevens over de status ontvangen van een printapparaat dat verbonden is aan een PC en kan deze gegevens dan doorsturen naar de XDA app.


Elke XDA app gaat door de firewall van het bedrijf om contact te maken met Internet (HTTPS via poort 443)


Elke XDA app stuurt automatisch de gegevens van het printapparaat via een versleuteld kanaal (HTTPS via poort 443) naar de Xerox communicatieserver op specifieke tijdstippen, elke dag


Elke XDA app stuurt de Xerox Communication Servers automatisch verzoeken via een versleuteld kanaal (HTTPS via poort 443) op een specifieke tijd, elke dag, voor een lijst met acties die moeten worden uitgevoerd (b.v. verstuur nu facturatiegegevens, voeg een service toe, etc.)

Xerox Device

Intern XDM/XDA apps proberen een webproxyserver te vinden (automatisch of doorverwezen naar een specifiek adres)

Intern XDM/XDA apps vragen de gegevens van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern XDM/XDA apps vragen de configuratie van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern XDM/XDA apps vragen de status van het printapparaat op voor alle aanwezige apparatuur via SNMP

Intern XDM/XDA apps vragen de status van de verbruiksartikelen op voor alle aanwezige apparatuur via SNMP






EPS

Remote Proxy Apps

Manager (XDM) app +

XDA app voor het monitoren van printapparatuur die met het netwerk is verbonden

Xerox Print Agent (XPA) app voor het monitoren van printapparatuur die via een PC is verbonden,

tracking van gebruikersopdrachten en bediening van de printer

Intern XDM/XDA apps kunnen een testpagina indienen bij een specifiek printapparaat

Intern XDM/XDA apps kunnen de webpagina van een printapparaat opstarten

Intern XDM/XDA apps kunnen de software van het printapparaat upgraden via het indienen van een printopdracht

Intern De XPA app kan gegevens van de tellers ontvangen van een printapparaat dat verbonden is aan een PC en kan deze gegevens dan doorsturen naar de XDM/XDA apps

Intern De XPA app kan gegevens van de verbruiksartikelen ontvangen van een printapparaat dat verbonden is aan een PC en kan deze gegevens dan doorsturen naar de XDM/XDA apps

Intern De XPA app kan gegevens van de status ontvangen van een printapparaat dat verbonden is aan een PC en kan deze gegevens dan doorsturen naar de XDM/XDA apps

Intern De XDM app ondersteunt SNMPv3 communicatie met de printapparatuur

Intern De XDM app kan veranderingen aanbrengen aan de configuratie van het printapparaat via SNMP en de webinterface

Intern De XDM app kan accounting-loggegevens ophalen van bepaalde Xerox MFP's

Intern De XDM app ontvangt de trackinggegevens van de XPA-opdracht van de werkstations van de gebruikers en printservers

Intern De XDM app beheert het vastgestelde printbeleid en voert dit uit


XDM/XDA apps gaan door de firewall van het bedrijf om contact te maken met Internet (HTTPS via poort 443)







XDM/XDA apps sturen de Xerox Communication Servers elke dag automatisch gegevens van de printapparatuur via een versleuteld kanaal (HTTPS via poort 443) op een specifieke tijd


XDM/XDA apps sturen de Xerox Communication Servers automatisch verzoeken via een versleuteld kanaal (HTTPS via poort 443) op een specifieke tijd, elke dag, voor een lijst met acties die moeten worden uitgevoerd

5.2.2 PC-vereisten voor de Remote Proxy Apps • De enige ondersteunde besturingsystemen zijn:

− XPS, XPPS, XPP = Windows XP w/ SP3, Windows Vista (alle versies), Windows 7 (alle versies), Windows Server 2003 w/ SP2, Windows Server 2008 SP1

− EPS = Windows Server 2003 w/ SP2, Windows Server 2008 SP1

− Opmerking: Unix en MAC besturingssystemen worden niet ondersteund

• Vereisten voor RAM variëren op basis van de Xerox service die gebruikt wordt (aanbevolen wordt minimaal 2Gb)

• Vereisten voor schijfruimte variëren op basis van de Xerox service die gebruikt wordt (aanbevolen wordt minimaal 600 Mb tot 3Gb)

• Vereisten voor de processor variëren op basis van de Xerox service die gebruikt wordt (aanbevolen wordt minimaal 3GHz)

• Browser = Internet Explorer 7.0 (aanbevolen), 8.0, 9.0

• Voor alle services is het MS .Net v3.5 framework w/ SP1 nodig

• Voor Xerox Remote Print Services via CWW en EPS is IIS 6.0+ nodig

• Xerox Remote Print Services, XPS/XPPS en XPP gebruiken de MS SQL Server 2005 Compact Editie (gratis licentie)

• Xerox Remote Print Services via CWW en EPS gebruiken de MS SQL Server 2008 Compact Editie (gratis licentie)

− MS SQL dataservers op afstand kunnen worden ingezet

− 1 MS SQL Server 2008 Standaard of Enterprise w/ 4 CAL licentie is vereist

− DB server minimum = 4GB RAM, 36GB disk, Intel Pentium 4 3GHz CPU

− Meestal gebruikt voor het gebruik van XPA OF

− Meestal gebruikt als er meer dan 6000 apparaten worden beheerd


5.2.3 Beveiligingsmogelijkheden voor de Remote Proxy Apps • De Remote Proxy apps maken geen gebruik van de Windows SNMP service of de

Windows SNMP Trap service. Daarom moeten deze besturingsysteemservices worden uitgeschakeld op elke PC waar de Remote Proxy app is geïnstalleerd, indien deze eerder was ingeschakeld.

− Opmerking: de Windows SNMP service en de Windows SNMP Trap service worden niet standaard ingeschakeld in het Windows besturingssysteem.

• De Remote Proxy apps gebruiken een SNMP-agent ontwikkeld door Xerox, waarin is opgenomen:

− een speciaal mechanisme voor codering/decodering

− dat het volledig .NET wordt beheerd

− de .NET runtime executable levert uitgebreide beveiliging zodat aanvallen op de zwakheden van de software worden voorkomen, zoals ongeldige pointer-bewerkingen, buffer-overloop en bound checking (controle van beperkingen).

• De Remote Proxy apps gebruiken de beveiliging die in het Windows besturingssysteem beschikbaar zijn, inclusief:

− Authenticatie en autorisatie van de gebruiker

− Configuratie en management van de services

− Uitvoering en management van het groepsbeleid

− Internet Connection Firewall

• De Remote Proxy apps kunnen zodanig ingesteld worden dat de aanvullende mogelijkheden van de MS SQL Server app kunnen worden toegepast, inclusief:

− accountregistratie gebruiker

− DSN-versleuteling

− beperking van privileges van de gebruikersaccount t.a.v. toegang tot de database (m.a.w eigendomsrechten database)

− poortnummers bepaald door de gebruiker

• Een Xerox registratiesleutel en een geldige Xerox account zijn nodig om de gegevens te kunnen verzenden aan de externe Xerox Communication Servers.

• De externe communicatie van de Remote Proxy apps kunnen worden beïnvloed door de Windows Internet Connection Firewall.

• De Remote Proxy apps werken als achtergrondprocessen en gebruiken de plaatselijke verificatiegegevens om automatisch verzoeken in te dienen bij de printapparatuur op het netwerk via SNMP en sturen regelmatig gegevens over de printapparatuur terug naar de Xerox Communication Servers

• Toegang tot de gebruikersinterface van de Remote Proxy app en de opties, worden via de volgende rolbepaalde privileges beheerd (b.v. CWW Administrators, CWW Power gebruikers, CWW SQL gebruikers, CWW Customer Administrators en CWW klantengroepen die als zodanig zijn aangemerkt).


− Gebruikersnamen en wachtwoorden worden niet via het netwerk doorgegeven; in plaats hiervan worden toegangstokens gebruikt (zoals in de Windows OS is bepaald).

• De Xerox Device Manager en Xerox Print Agent apps verzorgen beveiliging op basis van beheer voor de printopdrachten, door het beperken van opdrachten op basis van kleurgebruik, documentsoort, opdrachtkosten, tijdstip, beheer van toegang voor gebruikersgroepen, regels voor dubbelzijdig printen, aantal toegestane afdrukkken per opdracht en printquota's.

5.3 Protocollen, Poorten en andere gerelateerde technologieën In de onderstaande tabel worden de protocollen, poorten en technologieën weergegeven die worden gebruikt binnen de Xerox Remote Services:

Poortnummer Protocol Beschrijving van gebruik

Dataflow op de het netwerk

Afhankelijk van de protocollen in de laag erboven

Internet Protocol (IP) Onderliggend transport voor alle datacommunicatie

Intern + Extern (alleen outbound)

nvt Internet Control Message Protocol (ICMP)

Ontdekking + probleemoplossing printapparaat Intern

25 Simple Mail Transport Protocol (SMTP)

Printapparaat + Remote Proxy app emailmeldingen

Intern

53 Domain Name Services (DNS)

Gebruikt voor ontdekkingsoperaties van DNS-gebaseerde printapparaten

Intern

80 HyperText Transport Protocol (HTTP)

Verzoeken voor webpagina's door printapparaat + verzoeken voor webpagina's door Remote Proxy app

Intern

135 Remote Procedure Call (RPC)

Ontdekking printapparaat + XPA bewerkingen Intern

137, 139 NetBIOS Ontdekking printserver + XPA bewerkingen Intern


Poortnummer Protocol Beschrijving van gebruik

Dataflow op de het netwerk

161 Simple Network Management Protocol

(SNMP v1 / v2C / v3)

Standaarprotocol dat wordt gebruikt om printapparaten op het netwerk te ontdekken +

Uitlezen van status, tellers en gegevens over verbruiksartikelen +

Uitlezen en toepassen van de configuratie voor het printapparaat .

Standaardnamen voor communities = “public” (GET), “private” (SET)

Intern

162 SNMP traps Standaard communitynaam = “SNMP_trap” Intern

389 Lightweight Direct Access Protocol (LDAP)

Ontdekking van printapparaat via MS Active Directory Partition bepaling +

Configuratieset van scanapparaat +

Importeren klanten in de Active Directory +

Configuraties voor klantengroepen

Intern

443 HyperText Transport Protocol Secure (HTTPS)

Beveiligde verzoeken voor webpagina's door het printapparaat (indien ingesteld) +

Beveiligde verzoeken voor webpagina's door de Remote Proxy apps (indien ingesteld) +

Terugsturen van gegevens van het printapparaat naar de Xerox Communication Servers +

communicatie van aansturing printer naar XDM

Intern + Extern (alleen outbound)

445 Server Message Block (SMB)

XPA bewerkingen Intern

452 Netware Service Advertising Protocol (SAP)

Ontdekking van printapparaat m.b.v Novell Server verzoeken via IPX

Intern

515, 9100, 2000, 2105

TCP/IP LPR & Raw Port printopdrachten

Software-upgrade voor printapparaat +

Diagnose van testpagina

Intern

631 Internet Printing Protocol (IPP)

Ontdekking printapparaat Intern

Opmerking: Het gebruik van SNMP levert geen extern beveiligingsrisico voor het intranet, omdat alle SNMP-gebaseerde verkeer wordt gegenereerd en verwerkt door de Xerox Remote Proxy apps en de printapparaten die meestal achter de firewall van het bedrijf zijn verbonden. (m.a.w geen SNMP-verkeer zal door de firewall van het bedrijf lopen)


5.4 Basisconcepten beveiliging In het Xerox MPS Continuum of Services wordt veiligheid op de volgende manieren bewerkstelligd:

Basisconcepten beveiliging Impact op Xerox Remote Services

Vertrouwelijkheid • Xerox printapparatuur communiceert met de Xerox Communication Servers op basis van de standaard webgebaseerde protocollen over een 128-bit versleuteld HTTPS kanaal via port 443.

• Xerox Remote Proxy apps communiceren met de Xerox Communication Servers op basis van de standaard webgebaseerde protocollen over een 128-bit versleuteld HTTPS kanaal via port 443. Gegevensversleuteling wordt ook uitgevoerd, voordat over dit kanaal data wordt verzonden. Specifieke gegevens zoals velden gerelateerd aan netwerkadressen kunnen worden uitgesloten van verzending aan de Xerox Communication Servers.

• Xerox legt strikte richtlijnen op voor het beheren van gegevens van klanten voor alle interne afdelingen die deze gegevens verwerken.

• Vele verschillende beveiligingsopties kunnen op de Xerox printapparatuur worden geactiveerd. Zie ook de Security@ Xerox website voor meer informatie; www.xerox.com/security)

• Vele verschillende opties kunnen worden geconfigureerd op de Xerox Remote Proxy apps. Zie ook de Security@ Xerox website voor meer informatie; www.xerox.com/security)

Integriteit • Er zijn bedrijfprocessen ingesteld waarmee het kwaliteit van de gegevens worden gecontroleerd in vergelijking met de eerdere verzendingen.

• De meeste Xerox datacenters hebben een ISO-27001 certificaat en de interne processen voor het verwerken van gegevens zijn gebaseerd op strikt IT-beleid en ITIL-achtige best practices.

Beschikbaarheid Authenticatie

• De software van de Xerox printapparatuur zal alle pogingen om met externe bronnen te communiceren negeren, als deze niet door het apparaat worden geïnitieerd.

• Gegevens van het printapparaat worden alleen naar de Xerox Communication Servers gepusht.

• Om zwakheden te minimaliseren worden ontwikkelaars van software verplicht om training te volgen met betrekking tot het inzicht in beveiliging, als onderdeel van het ontwikkelproces.

Autorisatie

• Het versturen van gegevens is een standaardoptie.

• Het Xerox printapparaat wordt geauthenticeerd voordat de gegevens worden verzonden aan de Xerox Communication Servers.

• De dataflow vanaf het Xerox printapparaat naar de Xerox Communication Servers is altijd eenrichtingverkeer; alleen uitgaand.

• De Xerox Remote Proxy app wordt geauthenticeerd voordat de gegevens worden


Basisconcepten beveiliging Impact op Xerox Remote Services

verzonden aan de Xerox Communication Servers.

• De dataflow vanaf de Xerox Remote Proxy apps naar de Xerox Communication Servers is altijd eenrichtingverkeer; alleen uitgaand.

• Op verzoek van het versturen van gegevens worden gedeactiveerd.

Beschikbaarheid

• Xerox Communication Servers zijn vaak meer beschikbaar dan de vastgestelde 99.5% beschikbaarheidsdoelstelling.

• Xerox Datacenters worden 24 uur per dag, 7 dagen per week en 365 dagen per jaar bemenst.

• De Xerox printapparatuur stuurt één keer per dag gegevens door op het moment dat de machine aanstaat en 6-7 minuten nadat een apparaat wordt ingeschakeld als de geplande verzending gemist wordt.

• De frequentie van de gegevensverzending voor de Xerox Remote Proxy apps is afhankelijk van het serviceniveau in het contract.

• Minimale impact op het netwerk van de klant.

Aansprakelijkheid • Logbestanden die gerelateerd zijn aan transacties (d.w.z. actie, audit, gebeurtenis, email, etc,) zijn beschikbaar in de Xerox Remote Proxy apps.

• Auditlogs zijn beschikbaar in de Xerox printapparatuur.

Onweerlegbaarheid • De webinterface van het Xerox printapparaat kan worden gebruikt om de meeste recente gegevens te bekijken die naar de Xerox Communication Servers werd verzonden.

• Logbestanden die gerelateerd zijn aan transacties (d.w.z. actie, audit, gebeurtenis, email, etc,) zijn beschikbaar in de Xerox Remote Proxy apps.

• Auditlogbestanden zijn beschikbaar in de Xerox printapparatuur.

• Via MySupportPortal (http://www.xerox.com/about-xerox/mysupport/enus.html) kan toegang worden verkregen tot tellergegevens en hoeveelheden verbruiksartikelen die het Xerox printapparaat heeft verzonden


6 Aanbevelingen De onderstaande lijst met best practices (de beste werkwijzen) met betrekking tot veiligheid en beveiliging moet worden geïmplementeerd bij het managen van printapparatuur :

1. Zorg dat de printapparatuur altijd bijgewerkt is met de meest recente versies van firmware/software. Gebruik de webinterface of de app voor beheer, die door de leveranciers werd aangeleverd, om de firmware/software van de printapparatuur up to date te houden.

2. Schakel, waar mogelijk, ongebruikte poorten en protocollen uit op de printapparatuur . Dit wordt meestal gedaan via de webinterface van de kantoorgebonden printapparatuur en de lokale interface van de productieprintapparatuur.

3. Gebruik , indien beschikbaar, de beheeropties voor de gebruiker om toegang te verkrijgen. Dit wordt meestal gedaan via de webinterface van de kantoorgebonden printapparatuur en de lokale interface van de productieprintapparatuur.

4. Gebruik beveiligde protocollen indien mogelijk. Dit wordt meestal gedaan via de webinterface van de kantoorgebonden printapparatuur en de lokale interface van de productieprintapparatuur.

5. Schakel de beveiligingsopties in die in het apparaat zijn ingebouwd (b.v. afbeeldingen overschrijven, harde schijf versleutelen, beveiligd printen, etc.)

6. Zorg ervoor dat de firewall van het bedrijf HTTPS-pakketten kan versturen via poort 443.

7. Als het IT-beleid aangeeft dat het verzenden van netwerkgegevens niet mag plaatsvinden, dan is het remote proxy model noodzakelijk omdat deze gegevensvelden kunnen worden uitgeschakeld voor verzending aan de Xerox Communication Servers.

8. Als de Xerox Remote Proxy apps worden ingezet:

a. Installeer dan niet een van de Remote Proxy apps op een domain controller.

b. Combineer dan niet een van de Remote Proxy apps op DEZELFDE pc/laptop/server.

c. Installeer niet SNMP service gebaseerd op het windows besturingssysteem of de SNMP Trap service op de PC waarop de Remote Proxy apps geïnstalleerd gaan worden

d. Zorg dat altijd de meest recente patches voor Windows geïnstalleerd worden op de PC/laptop/server waarop de Remote Proxy apps zijn geplaatst.

i. Voordat u de MPS Remote Proxy apps gaat gebruiken, dient u ervoor te zorgen dat de PC/ laptop/server opnieuw is opgestart nadat de Windows patches zijn geïnstalleerd.

e. Verzeker u ervan dat de PC/latop/server met de Remote Proxy app, voortdurend van stroom wordt voorzien tijdens de normale werkuren, zodat de services niet worden verstoord die door de Xerox Communication Servers worden verzonden.


f. Verzeker u ervan dat de printapparatuur van stroom wordt voorzien tijdens de normale werkuren.

g. Zorg ervoor dat SNMP is ingeschakeld op de printapparatuur die op het netwerk is aangesloten.

h. Verander de communitynamen op SNMP van de algemene standaardwaarden (zoals 'public') naar de gekozen namen. Zorg er echter wel voor dat er niet teveel verschillende namen gebruikt worden, want het ontdekken van de printapparatuur wordt langzamer als er een groot aantal verschillende SNMP communitynamen wordt gebruikt.

i. Verzeker u ervan dat de SNMP communitynamen bekend zijn en op de juiste wijze zijn geconfigureerd (d.w.z. de waarden moeten overeenkomen op de printapparatuur en de Remote Proxy app.

j. Zorg ervoor dat het netwerk het routen van SNMP over de subnetten ondersteunt.

k. Wees voorzichtig met het eventuele inzetten van SNMPv3. Dit protocol heeft weliswaar dataversleuteling en de mogelijkheid om autorisaties uit te voeren, maar er is een gebruikersaccount nodig op alle printapparaten die worden beheerd en dit kan een zeer tijdrovende taak zijn om te bewerkstelligen [b.v. afhankelijk van de accountstrategie bij invoering (enkel vs meerdere) + de accountconfiguratie per apparaat, etc.]

l. Xerox® CentreWare® Web (CWW) en Xerox Device Manager (XDM) apps waarbij IIS gebruikt moet worden. Daarom zijn daarop de volgende aanbevelingen van toepassing:

i. Gebruik voor de CWW/XDM installatie een alternatieve website in plaats van de standaard IIS-website.

ii. Verander het poortnummer dat door HTTP wordt gebruikt.

iii. Gebruik HTTPS voor beveiligde communicatie.

iv. Schakel anonieme communicatie uit naar alle CWW/XDM pagina's.

v. Beperk toegang naar CWW/XDM tot een specifiek IP-adres.

vi. Schakel authenticatie uit om te voorkomen dat gebruikersnaam en wachtwoorden in textformaat worden verzonden over het netwerk.

m. Gebruik de Configuratiesets-optie in CWW om de volgende instellingen voor beveiliging toe te passen al uw Xerox printapparatuur:

i. Schakel ongebruikte protocollen en services uit

ii. Activeer authenticatie voor scanservices op het netwerk.

iii. Verander de standaardinstellingen voor de SNMP-community namen.

iv. Verander het standaard-wachtwoord voor administrator van het printapparaat.

v. Zorg dat de harddisk niet overschreven kan worden.

vi. Schakel de software-upgrade uit als alle machines niet worden geüpdate.


7 Bijlage A: Selectie installatiemodel Welk installatiemodel moet ik gebruiken?

Het Direct-Connect installatiemodel (zie figuur 3.1.1) moet worden gebruikt als:

• Installatie van Xerox printapparatuur is kleinschalig (b.v. <10 apparaten; werkgroepomgeving)

• In het IT-beleid is opgenomen dat de printapparatuur met beveiliging direct kan verbinden met externe websites.

• Er is weinig of geen management van printapparatuur (kan optimaal gebruik maken van de automatiseringsfuncties in de apparaten)

• Klant wil zich niet bezig houden met jaarlijkse handmatige facturering of aanvullen van verbruiksartikelen

• Klanten willen niet hun eigen computer/serverapparatuur gebruiken om de Xerox Remote Proxy apps te installeren.

Het Remote Proxy App-gebaseerde installatiemodel (zie figuur 3.2.1) moet worden gebruikt als:

• Installatie van Xerox printapparatuur bestaat uit meer dan 10 apparaten (m.a.w. voor kleine, middelgrote of grote bedrijfsomgevingen)

• In het IT-beleid is opgenomen dat de printapparatuur met beveiliging niet direct kan verbinden met externe websites

• IT-personeel wil de dataflow beheren die naar de Xerox Communication Servers wordt verzonden (d.w.z. één enkel datakanaal)

• IT-personeel moet het monitoren van hun printapparatuur kunnen uitvoeren vanaf een centrale locatie

• De klant wil niet betrokken worden in de activiteiten betreffende het managen van de printapparatuur (m.a.w de klant is geïnteresseerd in de opties voor Xerox MSP)

Opmerking: Alhoewel de remote proxy apps voor het gehele Xerox MPS Continuum of Services zijn ontworpen, worden alleen de Xerox® CentreWare® Web app en de Xerox Device Agent Lite app aan de klant geleverd om te gebruiken. Andere vergelijkbare remote proxy apps worden door Xerox personeel en/of externe servicepartners gebruikt om de MPS services te verbeteren.


[Deze pagina is opzettelijk leeg gelaten]

Documents

White Paper Remote Print Services-beveiliging - Xerox