PaperCut MF/Plusで使用している機能によっては、
PaperCut MF/Plus Ver.22.1.1 にアップグレードした後、一部の機能が動作しなくなる可能性があります。
|
PaperCut MF/Plus ver.22.1.1のセキュリティの変更と修正に関する追加情報については、 |
このチェックリストを確認し、アップグレード後に必要な操作があるかどうかを確認してください。
チェックリストのサマリー
|
注記: 新しい設定ファイル「security.properties」はプライマリ・サーバ上の |
プリント・スクリプトもしくはデバイス・スクリプトを使用している場合
● 使用しているか不明な場合:
後述する「プリントまたはデバイス・スクリプトを使用しているかどうかの確認方法を教えてください。」を参照し使用しているかどうかを確認してください。
● 使用していない場合:
追加設定作業は不要です。
しかし、無効化することを選択した場合、設定ファイル「security.properties」の設定キー「security.print-and-device-script.enabled」の値を
「N」に設定してください。
設定方法は「Disabling Print Scripting and Device Scripting」を参照してください。
● 使用している場合:
追加設定作業は不要です。
アップグレード時に設定ファイル「security.properties」の設定キー「security.print-and-device-script.enabled」の値は「Y」に設定されるため、
プリント/デバイス・スクリプトはアップグレード後も動作します。後述するFAQを参照してください。
拡張Javaクラスを使用したプリント・スクリプトを使用している場合
● 使用しているか不明な場合:FAQ「スクリプトに拡張Javaクラスを使用しているかどうかを確認する方法を教えてください。」を参照し使用しているかどうかを確認してください。
● 使用していない場合:
追加設定作業は不要です。
設定ファイル「security.properties」の設定キー「security.print-script.allow-unsafe-code」の値は「N」に設定されます。
(最もセキュアなオプション)
● 使用している場合:
追加設定作業が必要です。
プリント・スクリプトで拡張Javaクラスを引き続き使用するために、
設定ファイル「security.properties」の設定キー「security.print-script.allow-unsafe-code」の値を「Y」に設定する必要があります。
設定方法は後述する「Using extended Java classes in scripts」を参照してください。
注記: 設定ファイル「security.properties」内の設定を変更した後、
サービス「PaperCut Application Server」の再起動が必要です。
注記: PaperCut管理者画面の設定エディタの設定キー「print.script.sandboxed」はアップグレード後も残りますが、
この設定キーの値は機能しません。
拡張Javaクラスを使用したデバイス・スクリプトを使用している場合
● 使用しているか不明な場合:FAQ「スクリプトに拡張Javaクラスを使用しているかどうかを確認する方法を教えてください。」を参照し使用しているかどうかを確認してください。
● 使用していない場合:
追加設定作業は不要です。
設定ファイル「security.properties」の設定キー「security.device-script.allow-unsafe-code」の値は「N」に設定されます。
(最もセキュアなオプション)
● 使用している場合:
追加設定作業が必要です。
プリント・スクリプトで拡張Javaクラスを引き続き使用するために、
設定ファイル「security.properties」の設定キー「security.device-script.allow-unsafe-code」の値を「Y」に設定する必要があります。
設定方法は後述する「Using extended Java classes in scripts」を参照してください。
注記: 設定ファイル「security.properties」内の設定を変更した後、
サービス「PaperCut Application Server」の再起動が必要です。
注記: PaperCut管理者画面の設定エディタの設定キー「print.script.sandboxed」はアップグレード後も残りますが、
この設定キーの値は機能しません。
カスタム・カード番号変換スクリプトを使用している場合
● 使用しているか不明な場合:FAQ「カスタム・カード番号変換スクリプトを使用しているかどうかの確認方法を教えてください。」を参照し使用しているかどうかを確認してください。
● 使用していない場合:
追加設定作業は不要です。
しかし、カスタム変換スクリプトを完全に無効化する場合、
設定ファイル「security.properties」の設定キー「security.card-no-converter-script.path-allow-list」から*オプションを削除してください。
設定方法は「Disabling card converter scripts」を参照してください。
● 使用している場合:
拡張Javaクラスを使用していない限り追加設定作業は不要です。
しかし、特定のスクリプトを許可する場合、設定ファイル「security.properties」の設定キー「security.card-no-converter-script.path-allow-list」の値に
使用するカード番号変換スクリプトを配置したフォルダのパスを設定する必要があります。
さらに、そのスクリプトで拡張Javaクラスを使用している場合、
設定ファイル「security.properties」の設定キー「security.card-no-converter-script.allow-unsafe-code」の値を「Y」に設定する必要があります。
設定方法は後述する「プリント/デバイス・スクリプトなどの高度なスクリプト機能」を参照してください。
注記: 設定ファイル「security.properties」内の設定を変更した後、
サービス「PaperCut Application Server」の再起動が必要です。
カスタム・ユーザ認証とユーザ同期プログラムを使用している場合
● 使用しているか不明な場合:FAQ「カスタム・ユーザ認証または同期プログラムを使用しているかどうかの確認方法を教えてください。」を参照し
使用しているかどうかを確認してください。
● 使用していない場合:
追加設定作業は不要です。
● 使用している場合:
引き続きカスタム・ユーザ認証/同期プログラムを使用する場合、特定のカスタム・スクリプトを許可するために、
設定ファイル「security.properties」の設定キー「security.custom-executable.allowed-directory-list」の値に
スクリプトを配置したフォルダのパスを設定する必要があります。
設定方法は後述する「Synchronizing and authenticating user and group details with custom programs(executables)」を参照してください。
注記: 設定ファイル「security.properties」内の設定を変更した後、
サービス「PaperCut Application Server」の再起動が必要です。
PaperCut Application Serverサービスまたは
PaperCut Print Providerサービスの実行ユーザを
ドメイン・ユーザまたはサービス・アカウントを使用している場合
● 使用しているか不明な場合: FAQ「ドメイン・ユーザ・アカウントもしくはサービス・アカウントを使用しているかどうかを確認する方法を教えてください。」を参照し
使用しているかどうかを確認してください。
● 使用していない場合:
追加設定作業は不要です。
● 使用している場合:
追加設定作業は不要です。
しかし、引き続きサービス「PaperCut Applicatiion server」もしくは「PaperCut Print Provider」の実行ユーザを
ドメイン・ユーザまたはサービス・アカウントに設定する場合、
ファイルの権限を設定することを検討してください。
アクセス権限を設定することにより、
サービスは設定ファイル「security.properties」ファイルを編集することができなくなります。
security.propertiesに付与する権限:
- サービス「PaperCut Application Server」 - 読み取り権限を付与。書き込み権限を拒否
- サービス「PaperCut Print Provider」 - 読み取り権限を拒否。書き込み権限を拒否。
この設定により、サービス・アカウントは設定ファイル「security.properties」を変更することができなくなります。
必ず組織の管理者のみ手動で設定ファイルを変更できるようにしてください。
FAQ
Q. 他のPaperCut Plus/MFのコンポーネントに影響はありますか?
A. 影響はありません。前述したPaperCut Plus/MFの特定の機能の設定にのみ影響があります。
他のコンポーネント(プリンタ展開, モビリティ・プリント, Multiverse, クライアント・ソフトウェア, エンベデッド・ソフトウェア)を
変更する必要はありません。
Q. プリントまたはデバイス・スクリプトを使用しているかどうかの確認方法を教えてください。
A. PaperCut管理画面にログインし、次のセクションのプリンタ・リストまたはデバイス・リストからプリンタもしくはデバイスをクリックし、
詳細画面の<スクリプト>タブをクリックし、「プリント・スクリプトの有効化」
もしくは「デバイス・スクリプトの有効化」にチェックがついているかどうかを確認してください。
● <プリンタ>セクション - 「プリンタ・リスト」からプリンタを選択 - <スクリプト> - 「プリント・スクリプトの有効化」
● <デバイス>セクション - 「デバイス・リスト」からデバイスを選択 - <スクリプト> - 「デバイス・スクリプトの有効化」
スクリプトが有効化されていない場合、プリント/デバイス・スクリプトは使用していません。
Q. カスタム・カード番号変換スクリプトを使用しているかどうかの確認方法を教えてください。
A. PaperCut管理者画面にログインし、<オプション> - <アクション> - 「設定エディタ(応用)」を選択してください。
クイック検索欄から設定キー「ext-device.card-no-converter」を検索し、値に変換値が設定されているかを確認してください。
● 設定されている場合、カスタム・カード番号変換スクリプトを使用しています。
● 設定されていない場合、カスタム・カード番号変換スクリプトを使用していません。
Q. カスタム・ユーザ認証または同期プログラムを使用しているかどうかの確認方法を教えてください。
A. PaperCut管理者画面にログインし、<オプション> - <ユーザ/グループの同期> - <同期ソース> - <プライマリ同期ソース>を選択してください。
プライマリ同期ソースのプルダウンから「カスタム・プログラム」が選択されているかを確認してください。
● 「カスタム・プログラム」が選択されている場合、カスタム・ユーザ同期もしくは同期プログラムが
プルダウン下のテキスト・ボックスで設定されています。
● 「カスタム・プログラム」以外が選択されている場合、カスタム・プログラムは使用されていません。
Q. スクリプトに拡張Javaクラスを使用しているかどうかを確認する方法を教えてください。
A. 拡張クラスを使用しているかどうかを理解するには、
通常、日付/数値/文字列以外のクラス(プリント・スクリプトAPIリファレンスまたはデバイス・スクリプトAPIリファレンスにリストされているクラス) を
使用している場合、
拡張クラスを使用している可能性があります。
これには、OSレベルのコマンドの呼び出しやプリント/デバイス・スクリプトからの非タイプ・クラスへのアクセスが含まれる場合があります。
通常これはまれです。
この機能は2022年6月以降にリリースされたバージョン(19.2.7, 20.1.6, 21.2.10, 22.0.0以降を含む) でもデフォルトで無効化されています。
詳細は「スクリプトで拡張Javaクラスや実行可能ファイルを使用する場合」を参照してください。
Q. ドメイン・ユーザ・アカウントもしくはサービス・アカウントを使用しているかどうかを確認する方法を教えてください。
A. 別記事「PaperCutサービスをドメインユーザアカウントで実行する」を参照し、
サービス「PaperCut Application Server」もしくは「PaperCut Print Provider」を、
ドメイン・ユーザ・アカウントもしくはその他のサービス・アカウントとして実行/ログインするように設定しているかを確認してください。
これらのサービスが、例えば「papercut-service」のようなデフォルトのSYSTEMアカウント以外のサービス・アカウントを設定している場合、
ドメイン・ユーザ・アカウントまたはサービス・アカウントを使用しています。
Q. 設定キーの変更のサマリーはありますか?
A. あります。古い設定キーと新しい設定ファイル「security.properties」の概要は下記の表を参照してください。
なお、この内容はマニュアル「Secure configuration of high-risk features in PaperCut NG/MF」にも記載されています。
注記: 設定ファイル「security.properties」内の設定を変更した後、サービス「PaperCut Application Server」の再起動が必要です。
1 これらの設定エディタのキーは管理者Web画面の設定エディタに残りますが、ver.22.1.1以降は機能しません。
2 このキーはカスタム・ユーザおよびカスタム認証プログラムと組み合わせて使用されます。
これらは管理者画面から設定します:
<オプション> - <ユーザ/グループの同期> - <同期ソース> - <プライマリ同期ソース> - <カスタム・プログラム> の
「カスタム・ユーザ・プログラム」と「カスタム権限プログラム」フィールドに設定します。
3 これらのキーは設定エディタの設定キー「ext-device.card-no-converter」で定義されているカスタム・カード番号変換に依存します。カード変換スクリプトも有効化する必要があります。
Q. これらの機能を有効化することを懸念した方がよいですか?
A. このリリースのセキュリティ強化機能は、将来の潜在的な脆弱性に対する攻撃対象領域を軽減することに重点を置いています。
つまり、潜在的なハッカーが自由に使えるツールを制限します。
例えば、プリント・スクリプトをまったく使用しない場合、攻撃対象領域がさらに制限されるため、上記のように無効化することを推奨します。
組織には、機能とセキュリティのニーズに基づいてこの構成を見直し、変更する可能性を検討することをお勧めします。
いつものように、セキュリティのベストプラクティスに従い、必要に応じてマルウェア対策ソフトウェアやエンドポイント・セキュリティ・ソフトウェアを
実行することを推奨します。
Q. なぜアップグレード時はデフォルトのプリント/デバイス・スクリプトを有効になるのですか?
A. 弊社の多くのお客様は、ポイントの追加、アクセス、リーティングなどのあらゆる機能を強化するためにプリント・スクリプトを使用しています。
プリント・スクリプトを無効化すると、エンドユーザのプリント機能に即座に影響が出る可能性があります。
プリント/デバイス・スクリプトもしくはカスタム・カード番号変換スクリプトを使用しない場合、
組織には、機能とセキュリティのニーズに基づいてこの構成を見直し、変更する可能性を検討することをお勧めします。
設計上、PaperCut Application Serverサービスには新しいsecurity.propertiesファイルを更新するためのアクセス権がありません。
そのため、インストーラ(管理者権限で実行) は新しいファイルを作成し、構成を設定します。
インストーラが実行された時点では、PaperCutデータベースにアクセスすることはできず、
「現在の」環境がどのように設定されているかを確認することはできません。
この意図的な権限制限のため、すべてのお客様に適切な一連のデフォルトを適用し、
インストール後またはアップグレード後にお客様の環境に適したセキュリティ設定に変更する必要がありました。
また、管理者向けのPaperCut管理者Web画面の警告も組み込まれているため、アップグレード時に構成に追加された変更の警告が表示されます。
Q. 古い設定キーを使用しない場合、これらのキーを削除することはできますか?
A. できます! 古い設定キーを削除したい場合、22.1.1にアップグレード後に削除することができます。
PaperCut管理画面の<オプション> - <アクション> - <設定エディタ(応用)>から次の設定キーを検索してください。
そして設定キーの値欄の右にある[削除]をクリックしてください。
● print-and-device.script.enabled
● print.script.sandboxed
● device.script.sandboxed
-------------------------
https://www.papercut.com/kb/Main/22-1-1-upgrade-checklist
0 件のコメント :
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。