Para configurar o
Symantec Endpoint Protection Manager
para autenticar os administradores que fazem logon com cartões inteligentes

Na versão 14.2 ou posterior, os administradores que trabalham para agências federais dos EUA podem fazer logon no
Symantec Endpoint Protection Manager
usando um cartão inteligente.
Para configurar a autenticação do cartão inteligente, o administrador precisa executar as seguintes etapas:
Sobre cartões inteligentes
As agências federais dos Estados Unidos agora usam um sistema de software que permite a autenticação de cartões inteligentes para os requisitos de HSPD-12. Um cartão inteligente de agência federal dos EUA contém os dados necessários para o titular do cartão receber acesso a instalações e sistemas de informações federais. Esse acesso garante níveis apropriados de segurança para todos os aplicativos federais aplicáveis.
Alguns computadores cliente Windows ou estações de trabalho já têm leitores de PIV ou CAC incorporados aos teclados.
O
Symantec Endpoint Protection Manager
autentica os administradores que usam os seguintes tipos de cartões inteligentes:
  • Cartão de verificação de identidade pessoal (PIV, Personal identity verification) (para civis)
  • Common Access Card (CAC) (para funcionários do exército)
  • No modo FIPS: o
    Symantec Endpoint Protection Manager
    não suporta cartões inteligentes que são assinados usando ECDSA e RSASSA-PSS.
  • No modo não FIPS: o
    Symantec Endpoint Protection Manager
    não suporta cartões inteligentes que são assinados usando RSASSA-PSS.
Consulte: HSPD-12
Etapa 1: Configurar o
Symantec Endpoint Protection Manager
para autenticação do cartão inteligente
Esta etapa valida que o certificado do cartão é emitido pela autoridade correta. Então, no momento em que o administrador faz logon, o servidor de gerenciamento lê o certificado do cartão inteligente e o valida em relação a esses certificados da CA.
Para validar um arquivo de certificado, o servidor de gerenciamento verifica se o arquivo de certificado não está em uma lista de revogação de certificados (CRL, Certificate Revocation List) na Internet.
Verifique se todos os arquivos de raiz e intermediários estão presentes no computador dos administradores, pois, caso contrário, eles não podem fazer logon.
Para configurar o
Symantec Endpoint Protection Manager
para a autenticação de cartão inteligente
  1. No console, clique em
    Administrador > Servidores
    e selecione o nome do servidor de gerenciamento local.
  2. Em
    Tarefas
    , clique em
    Configurar autenticação do cartão inteligente
    .
  3. Na caixa de texto
    Especifique os caminhos dos arquivos de certificado intermediário e/ou raiz
    , procure um ou mais arquivos de certificado e depois clique em
    OK
    .
    Selecione todos os arquivos de certificado que você precisa verificar se há revogação. Para selecionar vários arquivos, pressione
    CTRL
    .
    Opcional:
    Se o servidor de gerenciamento no qual o administrador fizer logon não puder acessar a internet, na caixa de texto
    Especifique os caminhos das listas de revogação de certificados
    e adicione um arquivo .crl ou .pem. Você também deverá executar a seguinte tarefa nestes servidores de gerenciamento. Etapa 2: Configurar o servidor de gerenciamento para executar a verificação de revogação (somente redes obscuras)
  4. Clique em
    OK
    .
  5. Se o administrador fizer logon no
    Symantec Endpoint Protection Manager
    remotamente com o console da Web, ele deverá reiniciar o serviço do
    Symantec Endpoint Protection Manager
    e o serviço da Web do
    Symantec Endpoint Protection Manager
    .
Etapa 2 (opcional): Configurar o servidor de gerenciamento para executar a verificação de revogação (obrigatório para redes obscuras)
Se um servidor de gerenciamento não tiver acesso à internet, você deverá configurá-lo para verificar o arquivo de CRL no computador do servidor de gerenciamento. Sem essa verificação, os administradores ainda podem fazer logon, mas o servidor de gerenciamento não poderá verificar o arquivo CRL, o que pode causar problemas de segurança.
Para configurar o servidor de gerenciamento para executar a verificação de revogação (somente redes obscuras)
  1. Neste servidor de gerenciamento, abra o seguinte arquivo:
    Caminho de instalação do Symantec Endpoint Protection Manager
    \tomcat\etc\conf.properties
  2. No arquivo
    conf.properties
    , adicione
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    e salve o arquivo.
  3. Reinicie o serviço do servidor de gerenciamento.
Etapa 3 (opcional): Configurar o servidor de gerenciamento para executar a verificação de revogação (obrigatório para redes sem acesso à nuvem)
Esta etapa autentica os administradores como o usuário do cartão inteligente por meio da definição da autenticação de PIV. A autenticação de PIV exige um certificado e o par de chaves que é usado para verificar se a credencial de PIV foi emitida por uma entidade autorizada e se a credencial não expirou nem foi revogada. A credencial de PIV também identifica o administrador como o mesmo indivíduo para o qual ele foi emitido.
Esta etapa também garante que os usuários precisem apenas digitar seu nome de usuário, inserir o cartão e digitar o PIN do cartão inteligente para efetuar logon no Symantec Endpoint Protection Manager. Eles não precisam digitar uma senha do Symantec Endpoint Protection Manager.
A autenticação do cartão inteligente não é suportada no IPv6.
  1. No console, clique em
    Administrador > Servidores > Administradores
    .
  2. Adicione um novo administrador ou editar um administrador existente.
  3. Na guia
    Autenticação
    , clique em
    Ativar a autenticação de cartão inteligente
    .
  4. Procure o arquivo de certificado de autenticação para o cartão de PIV ou CAC para esse administrador e clique em
    OK
    .
  5. Na caixa de diálogo
    Confirmar alteração
    , digite a senha do administrador e clique em
    OK
    .
    Execute esta etapa para cada administrador que usa um cartão inteligente para fazer logon no
    Symantec Endpoint Protection Manager
    .
Etapa 4: Fazer logon no
Symantec Endpoint Protection Manager
usando um cartão inteligente
Para fazer logon no
Symantec Endpoint Protection Manager
, o administrador insere o cartão em um leitor de cartão inteligente e digita um número PIN. O cartão inteligente sempre deverá estar inserido no leitor enquanto o administrador de cartão inteligente estiver conectado e usando o servidor de gerenciamento. Se o administrador remover o cartão inteligente, o
Symantec Endpoint Protection Manager
fará logoff do administrador dentro de 30 segundos.
O console Java e o console da Web suportam a autenticação do cartão inteligente. O console do RMM e a API REST não suportam a autenticação do cartão inteligente.
Solução de problemas e replicação
Se dois sites forem replicados entre si, o site com o arquivo da autoridade de certificação com configuração mais recente sobrescreverá o arquivo da autoridade de certificação em todos os outros sites.