Configuración de
Symantec Endpoint Protection Manager
para autenticar administradores que inician sesión con tarjetas inteligentes

En la versión 14.2 o posteriores, los administradores que trabajan para agencias federales de EE.UU. pueden iniciar sesión en
Symantec Endpoint Protection Manager
usando una tarjeta inteligente.
Para configurar la autenticación de tarjeta inteligente, el administrador necesita realizar los siguientes pasos:
Acerca de las tarjetas inteligentes
Las agencias federales de Estados Unidos ahora usan un sistema de software que permite la autenticación de tarjetas inteligentes para conocer los requisitos de HSPD-12. Una tarjeta inteligente federal de Estados Unidos contiene los datos necesarios para que el titular de tarjeta obtenga acceso a sistemas de información e instalaciones federales. Este acceso garantiza niveles de seguridad para todas las aplicaciones federales aplicables apropiadas.
Algunos equipos cliente o estaciones de trabajo de Windows ya tienen lectores PIV o CAC integrados en los teclados.
Symantec Endpoint Protection Manager
autentica a los administradores que usan los siguientes tipos de tarjetas inteligentes:
  • Tarjeta de verificación de identidad personal (PIV) (para el personal civil)
  • Tarjeta de acceso común (CAC) (para el personal militar)
  • En el modo FIPS,
    Symantec Endpoint Protection Manager
    no admite tarjetas inteligentes firmadas con ECDSA y RSASSA-PSS.
  • En un modo no FIPS,
    Symantec Endpoint Protection Manager
    no admite tarjetas inteligentes firmadas con RSASSA-PSS.
Consulte: HSPD-12
Paso 1: Configure
Symantec Endpoint Protection Manager
para la autenticación mediante tarjeta inteligente
Este paso valida que el certificado de la tarjeta es emitido por la autoridad correcta. Más tarde, en el momento en que el administrador inicia sesión, el servidor de administración lee el certificado de la tarjeta inteligente y lo valida al compararlo con estos certificados de CA.
Para validar un archivo de certificado, el servidor de administración comprueba que el archivo de certificado no aparezca en una lista de revocación de certificados (CRL) en Internet.
Asegúrese de que todos los archivos de raíz y archivos intermedios están presentes en el equipo del administrador; de lo contrario, no se puede iniciar sesión.
Para configurar
Symantec Endpoint Protection Manager
para la autenticación con tarjeta inteligente
  1. En la consola, haga clic en
    Administrador > Servidores
    y seleccione el nombre del servidor de administración local.
  2. En
    Tareas
    , haga clic en
    Configurar autenticación mediante tarjeta inteligente
    .
  3. En el cuadro de texto
    Especifique las rutas para los archivos de certificado raíz y/o intermedios
    , vaya a uno o más archivos de certificado y después haga clic en
    Aceptar
    .
    Seleccione todos los archivos de certificado de los cuales necesita comprobar la revocación. Para seleccionar varios archivos, pulse
    Ctrl
    .
    Opcional:
    Si el servidor de administración en el cual el administrador inicia sesión no puede acceder a Internet, en el cuadro de texto
    Especifique las rutas de las listas de revocación de certificados
    agregue un archivo .crl o un archivo .pem. También debe realizar la siguiente tarea en estos servidores de administración. Paso 2: Configure el servidor de administración para que realice la comprobación de revocación (solo redes oscuras)
  4. Haga clic en
    Aceptar
    .
  5. Si el administrador inicia sesión en
    Symantec Endpoint Protection Manager
    remotamente con la consola web, debe reiniciar el servicio de
    Symantec Endpoint Protection Manager
    y el servicio web de
    Symantec Endpoint Protection Manager
    .
Paso 2 (opcional): Configure el servidor de administración para realizar la comprobación de revocación (obligatorio para redes oscuras)
Si un servidor de administración no tiene acceso a Internet, debe configurarlo para que busque el archivo CRL en el equipo del servidor de administración. Sin esta comprobación, los administradores aún pueden iniciar sesión, pero el servidor de administración no puede comprobar el archivo CRL, lo que puede provocar problemas de seguridad.
Para configurar el servidor de administración para que realice la comprobación de revocación (solo redes oscuras)
  1. En este servidor de administración, abra el siguiente archivo:
    Ruta de instalación de Symantec Endpoint Protection Manager
    \tomcat\etc\conf.properties
  2. En el archivo
    conf.properties
    , agregue
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    y guarde el archivo.
  3. Reinicie el servicio del servidor de administración.
Paso 3 (opcional): Configure el servidor de administración para realizar la comprobación de revocación (obligatorio para redes oscuras)
Este paso autentica al administrador como el usuario de la tarjeta inteligente al configurar la autenticación de PIV. La autenticación PIV requiere un certificado y un par de claves que se utiliza para verificar que la credencial de PIV fue emitida por una entidad autorizada, no ha caducado y no ha sido revocada. La credencial de PIV también identifica el administrador como la misma persona para la cual fue emitida.
Este paso también garantiza que los usuarios solo necesitan escribir su nombre de usuario, insertar la tarjeta y escribir el PIN de la tarjeta inteligente para iniciar sesión en Symantec Endpoint Protection Manager. No deberán introducir una contraseña de Symantec Endpoint Protection Manager.
No se admite la autenticación con tarjeta inteligente mediante IPv6.
  1. En la consola, haga clic en
    Administración > Servidores > Administradores
    .
  2. Agregue un nuevo administrador o edite un administrador existente.
  3. En la ficha
    Autenticación
    , haga clic en
    Habilitar autenticación con tarjeta inteligente
    .
  4. Vaya al archivo de certificado de autenticación de la tarjeta PIV o CAC de ese administrador y, a continuación, haga clic en
    Aceptar
    .
  5. En el cuadro de diálogo
    Confirmar cambio
    , escriba la contraseña del administrador y haga clic en
    Aceptar
    .
    Siga este paso para cada administrador que usa una tarjeta inteligente para iniciar sesión en
    Symantec Endpoint Protection Manager
    .
Paso 4: Inicie sesión en
Symantec Endpoint Protection Manager
usando una tarjeta inteligente
Para iniciar sesión en
Symantec Endpoint Protection Manager
, el administrador inserta la tarjeta en un lector de tarjeta inteligente y escribe un número de PIN. La tarjeta inteligente siempre debe estar insertada en el lector mientras el administrador de la tarjeta inteligente tiene la sesión iniciada y está usando el servidor de administración. Si el administrador quita la tarjeta inteligente, se cierra la sesión de
Symantec Endpoint Protection Manager
del administrador en los siguientes 30 segundos.
La consola de Java y la consola web admiten autenticación con tarjeta inteligente. La consola RMM y la API de REST no admiten la autenticación con tarjeta inteligente.
Solución de problemas y replicación
Si dos sitios se replican entre sí, el sitio con el archivo de CA configurado más recientemente sobrescribe el archivo de CA en todos los otros sitios.