Novedades en Symantec Endpoint Protection 14.3 RU2

En esta sección se describen las nuevas funciones de esta versión.
Funciones de protección
  • Incluye protección en tiempo de ejecución contra amenazas sin archivo como, por ejemplo, macros maliciosas de Excel (XLM) y cargas útiles usando el Instrumental de administración de Windows (WMI) con nuestra integración expandida con Antimalware Scan Interface (AMSI).
  • La detección y prevención de comportamientos mejorada protege contra familias de ransomware como, por ejemplo, Ryuk y Netwalker, con una detección y prevención de comportamientos mejorada para la modificación o eliminación maliciosas de archivos de usuario.
  • Se han realizado mejoras en el emulador en el cliente de Symantec Endpoint Protection para aumentar la detección de familias de software malicioso de extracción de criptomonedas como, por ejemplo, LemonDuck.
  • Una
    extensión del navegador
    proporciona una mejor protección para el tráfico HTTP y HTTPS hacia y desde el navegador web Google Chrome. El cliente de Symantec Endpoint Protection bloquea el acceso de los usuarios a los sitios maliciosos y los redirecciona a una página de destino predeterminada. La extensión del navegador depende de IPS, por lo que la política de IPS debe habilitarse y asignarse al grupo.Si el equipo se ha unido a un dominio de Active Directory, la extensión del navegador se descarga de LiveUpdate de forma predeterminada. De lo contrario, la extensión del navegador se descarga de Google Web Store. Se habilita o deshabilita este contenido haciendo clic en
    Administrador
    >
    Servidores
    >
    Editar propiedades del sitio
    > ficha
    LiveUpdate
    >
    Tipos de contenido para descargar
    >
    Extensión del navegador
    .
    De forma predeterminada, el instalador de Symantec Endpoint Protection instala la extensión del navegador Google Chrome. Sin embargo, si se desea usar un Objeto de política de grupo de Active Directory para administrar las extensiones de Chrome, se deberá agregar la extensión del navegador a la lista. Consulte:
  • Capacidad para que los administradores recuperen los archivos en cuarentena en los clientes de SEP remoto desde la Consola de Symantec Endpoint Protection Manager. Estos archivos maliciosos se pueden usar para investigar y para el aislamiento de procesos.Para cargar el archivo en cuarentena, seleccione
    Administrador
    >
    Dominios
    >
    Editar propiedades del dominio
    > ficha
    General
    > opción
    Cargar archivos en cuarentena de los clientes
    .Esta opción carga automáticamente todos los archivos en cuarentena de los clientes.A continuación, se pueden seleccionar y recuperar archivos individuales del registro de riesgos mediante el comando
    Descargar el archivo que el cliente ha puesto en cuarentena
    . El servidor de administración ya no admite las versiones anteriores del Servidor de Cuarentena central, de forma que se han eliminado las opciones
    Cuarentena > Elementos en cuarentena
    de la política de protección antivirus y antispyware. Consulte:
  • El contenido de Prevención de intrusiones (IPS) se ha optimizado considerablemente para reducir el tamaño del contenido y mejorar el rendimiento de la red. Esta mejora está disponible en todas las versiones admitidas de Symantec Endpoint Protection.
  • El nombre de Redirección de tráfico de red se ha cambiado a Protección de acceso web y en la nube en Symantec Endpoint Protection Manager, en el cliente Windows y en el cliente Mac.En el cliente, los usuarios pueden hacer clic en el botón
    Reconnect (Volver a conectar)
    en el menú
    Protección de acceso web y en la nube
    >
    Opciones
    . Los usuarios del cliente deben usar esta opción si el cliente no detecta que la conexión con Symantec WSS se ha interrumpido.Consulte:
Symantec Endpoint Protection Manager
  • Incluye LiveUpdate automático para las reparaciones críticas y las actualizaciones de seguridad. A partir de SEP 14.3 RU2, los parches críticos y las reparaciones de seguridad se entregan de forma automática a los clientes mediante LiveUpdate para reducir la carga administrativa que supone la administración de las actualizaciones del agente. Estos parches solo incluyen reparaciones críticas. Las nuevas funciones se entregan por separado a través de las actualizaciones de versión (RU).Para asegurarse de que los parches de cliente y las actualizaciones del producto del cliente se descargan de un servidor de LiveUpdate a Symantec Endpoint Protection Manager, vaya a las propiedades del sitio y seleccione
    Parches de cliente
    y
    Actualizaciones de productos para clientes
    . Estas opciones se habilitan de forma predeterminada.Consulte:
    • Para descargar los parches de cliente de Symantec Endpoint Protection Manager a los clientes, en la política de configuración de LiveUpdate, haga clic en
      Configuración avanzada
      >
      Descargar parches del cliente
      .La política de LiveUpdate descarga el parche de cliente al cliente como cualquier otro contenido. El parche de cliente es un archivo delta incremental.Consulte:
    • Para descargar las actualizaciones del producto, seleccione
      Descargar contenido delta desde un servidor de LiveUpdate cuando esté disponible
      .Si Symantec Endpoint Protection Manager solo tiene contenido completo, el cliente intenta conseguir una cantidad más pequeña del contenido de LiveUpdate. Use esta opción si no desea habilitar los parches de cliente. La opción de actualizaciones del producto garantiza que las compilaciones de parches estén disponibles en la actualización automática. LiveUpdate descarga un paquete de instalación del cliente completo en el servidor de administración, donde el paquete aparece en
      Administrador
      >
      Paquetes de instalación
      > tabla
      Paquete de instalación de clientes
      y en el Asistente para actualización automática.Esta opción está habilitada de forma predeterminada.La versión del cliente no cambia; solo el número de compilación. Use esta opción para que el cliente reciba un contenido más pequeño de LiveUpdate si el servidor de administración solo tiene contenido completo.Consulte:
    • En versiones anteriores, estas opciones eran
      Descargar parches de seguridad del cliente
      y
      Descargar contenido más pequeño de los parches de cliente de un servidor de LiveUpdate cuando esté disponible
      . La opción
      Propiedades del sitio
      >
      LiveUpdate
      >
      Tipos de contenido para descargar
      >
      Parches de cliente
      era
      Parches de seguridad del cliente
      .
  • El Asistente para la configuración del servidor de administración ya no solicita las credenciales para comprobar si FILESTREAM de SQL Server está habilitado. Las actualizaciones desde una base de datos integrada (versión 14.3 y anteriores) habilitan FILESTREAM de forma automática. Las actualizaciones de las versiones 14.3 RU1/RU1 MP1 mantienen la configuración existente de FILESTREAM. El asistente solo solicita las credenciales si FILESTREAM no está habilitado en la base de datos de SQL Server Express.Consulte:
  • Tanto los clientes de Symantec Endpoint Protection como Symantec Endpoint Protection Manager solo se localizan en los cinco idiomas siguientes: inglés, francés, español, portugués y japonés.Si está utilizando uno de los cinco idiomas admitidos, no es necesario realizar ninguna acción y se puede actualizar como de costumbre.Se puede actualizar automáticamente el idioma del cliente al inglés si el idioma anterior del cliente no está disponible. Si no se elige el inglés, los clientes con un idioma no admitido no se actualizarán. Esta opción está desactivada de forma predeterminada. Para habilitar esta opción, haga clic en la página
    Clientes
    > página
    Paquetes de instalación
    ,
    Agregar un paquete de instalación de clientes
    >
    Actualizar a inglés si el idioma del cliente instalado actualmente no es compatible
    .Esta opción solo se aplica a los clientes de Windows.Consulte:
  • El reconocimiento de la ubicación tiene cuatro nuevos criterios: el nombre de host del equipo, el nombre de usuario y grupo, el sistema operativo y si un archivo determinado se ejecuta en el cliente.Consulte:
  • Se han agregado niveles de permiso adicionales para acceder a las API de REST de SEPM.Anteriormente, solo los administradores del sistema podían realizar cualquier tipo de operaciones POST.Ahora, los administradores del dominio y los administradores limitados pueden supervisar el estado de los equipos mediante la API. Los analistas de SOC pueden usar herramientas de otro fabricante para integrarse con la API.Las siguientes API se han actualizado para admitir el acceso basado en roles a la API.
    Método HTTP
    Ruta
    Descripción
    Rol mínimo
    POST
    /api/v1/identity/authenticate
    Autentica y devuelve un token de acceso para un usuario válido.
    Administrador limitado
    POST
    /api/v1/identity/logout
    Cierra la sesión del usuario asociado a un token específico.
    Administrador limitado
    GET
    /api/v1/licenses
    Recupera toda la información relacionada con la licencia.
    Administrador del sistema
    GET
    /api/v1/replication/is_replicated
    Comprueba si un sitio tiene un partner de replicación.
    Administrador limitado
    POST
    /api/v1/replication/replicatenow
    Inicia la replicación para el partner de replicación especificado.
    Administrador
    GET
    /api/v1/replication/status
    Obtiene el estado de la replicación.
    Administrador limitado
    POST
    /api/v1/reporting/authenticate
    Autentica y devuelve un token de sesión PHP para un usuario válido.
    Administrador limitado
    GET
    /api/v1/sessions/currentuser
    Obtiene el objeto del token de usuario actual.
    Administrador limitado
    GET
    /api/v1/version
    Obtiene la versión actual de Symantec Endpoint Protection Manager.
    Administrador limitado
  • En la página
    Administrador
    >
    Administradores
    > ficha
    Derechos de acceso
    , el comando
    Permitir la edición de políticas compartidas
    se ha modificado a
    Do not allow editing of shared policies (No permitir la edición de políticas compartidas)
    .La casilla de selección
    Do not allow editing of shared policies (No permitir la edición de políticas compartidas)
    no está seleccionada de forma predeterminada, lo que provoca que los administradores concedan explícitamente permisos en lugar de denegarlos.
  • Se han actualizado o agregado los siguientes componentes de otros fabricantes: Apache Commons FileUpload, jQuery, PHP con extensiones zip habilitadas, Controladores de Microsoft para PHP para Microsoft SQL Server y OpenSSL.
  • La herramienta DeViewer ya no se instala con Symantec Endpoint Protection Manager en la carpeta Tools\DevViewer. Descargue DevViewer al equipo cliente desde la sección Archivos adjuntos. Consulte:
    Use DevViewer to find hardware device IDs for Device Blocking in Endpoint Protection (Uso de DevViewer para encontrar los Id. de dispositivo de hardware para el bloqueo de dispositivos en Endpoint Protection)
    Se usa DevViewer para obtener el distribuidor, el modelo o el número de serie de un dispositivo específico de modo que se pueda permitir o bloquear el dispositivo en la política de control de dispositivos.
Actualizaciones del cliente y de la plataforma
Cliente Windows:
  • El cliente de Symantec Endpoint Protection para Windows admite Citrix Studio Version 2009.0.0, Nutanix AOS 5.15 (LTS) y VMware ESXi 7.0 Update 2.
Cliente Mac:
Symantec Endpoint Protection Manager 14.3 RU2 se envía con la última versión del cliente de Symantec Endpoint Protection para Mac 14.3 RU1 MP1. Cuando el cliente de Mac de la versión 14.3 RU2 está disponible, LiveUpdate descarga el paquete de instalación del cliente de Mac en la página
Administrador > Paquetes de instalación > Paquete de instalación de clientes
de Symantec Endpoint Protection Manager. Si se agrega una notificación de
Nuevo paquete de software
a la página
Supervisión
, se recibe una notificación cuando el paquete de instalación está listo.Esta función permite actualizar Symantec Endpoint Protection Manager a la versión más reciente.
  • Compatibilidad con dispositivos con el chip Apple M1.
  • Integración de AppleScript con el cliente Mac para crear y ejecutar scripts de AppleScript para consultar o controlar el cliente Mac.Consulte:
  • El paquete de instalación del cliente Mac contiene una herramienta que permite eliminar la compilación NLOK del cliente Mac (versión 14.3 y anteriores) del dispositivo Mac y actualizar silenciosamente a una versión posterior del cliente Mac.
  • Las mejoras de rendimiento en el cliente de Mac incluyen las siguientes: rendimiento red altamente mejoradio al usar el cliente Mac, mejora en el rendimiento del análisis rápido, tamaño más pequeño para el instalador del cliente y un uso optimizado de la CPU y de la memoria.
  • Compatibilidad con la búsqueda de evidencias de peligro y el comando Archivo en cuarentena para reparación.Estas funciones se admiten en los clientes que administra la consola en la nube de Symantec Endpoint Security o Symantec EDR a partir de la versión 4.6.5.
Cliente Linux:
Funciones eliminadas
  • El soporte extendido para la versión 12.1.x finalizó el 3 de abril de 2021.Consulte:
  • El servidor de administración ya no admite versiones anteriores del Servidor de Cuarentena central. Se han eliminado las opciones disponibles en Polítca de protección antivirus y antispyware >
    Cuarentena > Elementos en cuarentena
    .
  • Se eliminaron las opciones en la política de LiveUpdate >
    Configuración de Mac > Configuración avanzada
    .
  • La opción
    Coexistencia con Windows Defender
    en Política de protección antivirus y antispyware >
    Otros
    se ha eliminado.
Documentación
  • Los archivos de la Ayuda del cliente Windows se han convertido a archivos HTML5 y muestran un formato actualizado y los colores de Broadcom.
  • Se pueden descargar archivos PDF de las notas de la versión para cada versión en la página siguiente:
Esquema de la base de datos
El esquema de la base de datos tiene los cambios siguientes.
Tabla
Cambio de columna
HPP_APPLICATION
Se ha agregado la columna NONPE.
Nueva taba REQUESTED_FILES
Se han agregado las siguientes columnas:
  • ID
  • APP_HASH
  • COMMAND_ID
  • BINARY_FILE_ID
  • TIME_STAMP
  • USN
  • RETRY_COUNT
  • DELETED
Más información