Nouveautés dans Symantec Endpoint Protection 14.3 RU2

Cette section décrit les nouvelles fonctionnalités de cette version.
Fonctions de protection
  • Inclut la protection à l'exécution contre les menaces sans fichier, telles que les macros Excel malveillantes (XLM) et les charges utiles utilisant Windows Management Instrumentation (WMI) avec notre intégration étendue à Antimalware Scan Interface (AMSI).
  • La fonction améliorée de détection et de prévention des comportements protège contre les familles de ransomwares de type Ryuk et Netwalker grâce à la détection et à la prévention comportementales des modifications ou suppressions malveillantes des fichiers utilisateur.
  • Des améliorations ont été apportées à la fonction d'émulation disponible avec le client Symantec Endpoint Protection dans le but de renforcer la détection des familles de malwares d'exploration de cryptomonnaies, tels que LemonDuck.
  • Une
    extension de navigateur
    assure une meilleure protection pour le trafic HTTP comme HTTPS vers et depuis le navigateur Web Google Chrome. Le client Symantec Endpoint Protection empêche les utilisateurs d'accéder à des sites malveillants et les redirige vers une page d'accueil par défaut. L'extension de navigateur dépend d'IPS ; la politique IPS doit donc être activée et affectée au groupe.Par défaut, l'extension de navigateur est téléchargée depuis LiveUpdate si l'ordinateur a rejoint un domaine Active Directory. Sinon, elle est téléchargée à partir de Google Web Store. Pour activer ou désactiver ce contenu, cliquez sur l'onglet
    Administration
    >
    Serveurs
    >
    Modifier les propriétés de site
    > onglet
    LiveUpdate
    >
    Types de contenu à télécharger
    >
    Extension de navigateur
    .
    Par défaut, le programme d'installation de Symantec Endpoint Protection installe l'extension de navigateur Google Chrome. Cependant, si vous voulez utiliser un objet de politique de groupe Active Directory pour gérer vos extensions Chrome, vous devez ajouter l'extension de navigateur à votre liste. Voir :
  • Possibilité pour les administrateurs de récupérer les fichiers mis en quarantaine sur les clients SEP distants à partir de la console Symantec Endpoint Protection Manager. Ces fichiers malveillants peuvent être utilisés pour un examen approfondi et pour le sandboxing.Pour charger le fichier mis en quarantaine, sélectionnez
    Administration
    >
    Domaines
    >
    Modifier les propriétés du domaine
    > onglet
    Général
    > option
    Charger les fichiers mis en quarantaine à partir des clients
    .Cette option charge automatiquement tous les fichiers mis en quarantaine à partir des clients.Vous pouvez alors sélectionner et récupérer des fichiers individuels à partir du journal des risques à l'aide de la commande
    Télécharger le fichier mis en quarantaine par le client
    . Le serveur de gestion ne prend plus en charge les anciennes versions du serveur de quarantaine centralisée, c'est pourquoi les options
    Quarantaine > Eléments mis en quarantaine
    de la politique de protection contre les virus et les spywares ont été supprimées. Voir :
  • Le contenu de prévention d'intrusion (IPS) a été optimisé considérablement de manière à réduire la taille du contenu et à améliorer le débit réseau. Cette amélioration est disponible pour toutes les versions de Symantec Endpoint Protection prises en charge.
  • "Network Traffic Redirection" a été renommé "Protection Web et de l'accès au cloud" dans Symantec Endpoint Protection Manager ainsi que dans les clients Windows et Mac.Dans le client, les utilisateurs peuvent cliquer sur un bouton
    Se reconnecter
    situé dans le menu
    Protection Web et de l'accès au cloud
    >
    Options
    . Les utilisateurs du client doivent utiliser cette option lorsque le client ne permet pas de détecter les interruptions de la connexion avec Symantec WSS.Voir :
Symantec Endpoint Protection Manager
  • Inclut l'outil LiveUpdate automatique pour les correctifs et mises à jour de sécurité critiques. A compter de SEP 14.3 RU2, les correctifs de sécurité et correctifs critiques sont automatiquement livrés aux clients via LiveUpdate afin de réduire la charge administrative liée à la gestion des mises à jour d'agent. Ces correctifs incluent les correctifs critiques uniquement ; les nouvelles fonctions sont livrées séparément via les mises à jour de version (RU).Pour vous assurer que les correctifs client et les mises à jour de produit client sont téléchargés depuis un serveur LiveUpdate vers Symantec Endpoint Protection Manager, accédez aux propriétés de site et sélectionnez
    Correctifs client
    et
    Mises à jour de produit client
    . Ces options sont activées par défaut.Voir :
    • Pour télécharger des correctifs client depuis Symantec Endpoint Protection Manager vers les clients, dans la politique Paramètres LiveUpdate, cliquez sur
      Paramètres avancés
      >
      Télécharger les correctifs client
      .La politique LiveUpdate télécharge le correctif client sur le client comme elle le fait avec n'importe quel autre contenu ; le correctif client prend la forme d'un fichier delta incrémentiel.Voir :
    • Pour télécharger des mises à jour de produit, sélectionnez
      Télécharger le contenu delta à partir d'un serveur LiveUpdate dès que disponible
      .Le client tente d'obtenir une petite quantité de contenu à partir de LiveUpdate lorsque Symantec Endpoint Protection Manager dispose uniquement du contenu complet. Utilisez cette option si vous ne voulez pas activer les correctifs client. L'option de mises à jour de produit garantit alors la disponibilité des builds de correctif dans la fonction Mise à niveau automatique. LiveUpdate télécharge un package d'installation client complet sur le serveur de gestion, où le package apparaît sous
      Administration
      Packages d'installation
      > tableau
      Package d'installation client
      et dans l'assistant Mise à niveau automatique.Cette option est activée par défaut.La version du client ne change pas, seulement le numéro de build. Utilisez cette option pour que le client reçoive un contenu de plus petite taille en provenance de LiveUpdate si le serveur de gestion dispose uniquement du contenu complet.Voir :
    • Dans les version précédentes, ces options étaient
      Télécharger les correctifs de sécurité du client
      et
      Télécharger les correctifs client de contenu de taille réduite à partir d'un serveur LiveUpdate en cas de disponibilité
      . L'option
      Correctifs client
      sous
      Propriétés du site
      > onglet
      LiveUpdate
      >
      Types de contenu à télécharger
      était
      Correctifs de sécurité du client
      .
  • L'assistant de configuration de serveur de gestion ne vous invite plus à saisir vos informations d'identification pour vérifier si SQL Server FILESTREAM est activé ou non. Les mises à niveau à partir d'une base de données imbriquée (versions 14.3 et antérieures) activent automatiquement FILESTREAM. Les mises à niveau à partir de la version 14.3 RU1/RU1 MP1 conservent le paramètre FILESTREAM existant. L'assistant vous demande de saisir vos informations d'identification uniquement si FILESTREAM n'est pas déjà activé dans la base de données SQL Server Express.Voir :
  • Les clients Symantec Endpoint Protection Manager et Symantec Endpoint Protection sont localisés dans les cinq langues suivantes : anglais, français, espagnol, portugais et japonais.Si vous utilisez l'une de ces cinq langues, aucune action n'est requise et vous pouvez procéder à la mise à niveau normalement.Vous pouvez automatiquement mettre à niveau la langue du client vers l'anglais si la langue des clients précédents n'est pas disponible. Si vous ne choisissez pas l'anglais, les clients configurés dans une langue non prise en charge ne sont pas mis à niveau. Cette option est désactivée par défaut. Pour l'activer, cliquez sur la page
    Clients
    > page
    Packages d'installation
    , >
    Ajouter un package d'installation client
    >
    Mettre à niveau vers la version anglaise si la langue sélectionnée n'est pas prise en charge
    .Cette option s'applique au client Windows uniquement.Voir :
  • L'identification d'emplacement inclut quatre nouveaux critères : le nom d'hôte de l'ordinateur, le nom d'utilisateur et de groupe, le système d'exploitation et si un fichier particulier s'exécute sur le client.Voir :
  • Des niveaux d'autorisation supplémentaires ont été ajoutés pour accéder aux API REST de SEPM.Auparavant, seuls les administrateurs système pouvaient effectuer n'importe quel type d'opérations POST.Désormais, les administrateurs de domaine et les administrateurs limités peuvent surveiller l'intégrité de leurs ordinateurs à l'aide de l'API. Les analystes SOC peuvent utiliser des outils tiers pour intégration à l'API.Les API suivantes ont été mises à jour afin d'assurer la prise en charge de l'accès basé sur les rôles à l'API.
    Méthode HTTP
    Chemin d’accès
    Description
    Rôle minimum
    POST
    /api/v1/identity/authenticate
    Authentifie et renvoie un jeton d'accès pour un utilisateur valide.
    Administrateur limité
    POST
    /api/v1/identity/logout
    Déconnecte l'utilisateur associé à un jeton spécifié.
    Administrateur limité
    GET
    /api/v1/licenses
    Récupère toutes les informations relatives à la licence.
    Administrateur système
    GET
    /api/v1/replication/is_replicated
    Vérifie si un site possède un partenaire de réplication.
    Administrateur limité
    POST
    /api/v1/replication/replicatenow
    Lance la réplication pour le partenaire de réplication spécifié.
    Administrateur
    GET
    /api/v1/replication/status
    Obtient l'état de la réplication.
    Administrateur limité
    POST
    /api/v1/reporting/authenticate
    Authentifie et renvoie un jeton de session PHP pour un utilisateur valide.
    Administrateur limité
    GET
    /api/v1/sessions/currentuser
    Obtient l'objet de jeton d'utilisateur actuel.
    Administrateur limité
    GET
    /api/v1/version
    Obtient la version actuelle de Symantec Endpoint Protection Manager.
    Administrateur limité
  • Sur la page
    Administration
    >
    Administrateurs
    > onglet
    Droits d'accès
    , la commande
    Autoriser la modification des politiques partagées
    remplace
    Ne pas autoriser la modification des politiques partagées
    .La case à cocher
    Ne pas autoriser la modification des politiques partagées
    n'était pas sélectionnée par défaut, obligeant ainsi les administrateurs à accorder explicitement des autorisations, plutôt qu'à les refuser explicitement.
  • Les composants tiers ci-après ont été mis à niveau ou ajoutés : Apache Commons FileUpload, jQuery, PHP avec activation des extensions ZIP, Microsoft Drivers pour PHP pour Microsoft SQL Server et OpenSSL.
  • L'outil DeViewer n'est plus installé dans le dossier Tools\DevViewer avec Symantec Endpoint Protection Manager. À la place, téléchargez DevViewer sur l'ordinateur client à partir de la section Attachments (Pièces jointes). Voir :
    Use DevViewer to find hardware device IDs for Device Blocking in Endpoint Protection (Utilisation de DevViewer pour rechercher des ID de périphérique matériel pour le blocage des périphériques dans Endpoint Protection)
    Utilisez DevViewer pour obtenir le fournisseur, le modèle ou le numéro de série d'un périphérique spécifique afin de pouvoir autoriser ou bloquer le périphérique dans la politique de contrôle des périphériques.
Plates-formes et clients mis à jour
Client Windows :
  • Le client Symantec Endpoint Protection pour Windows prend en charge Citrix Studio Version 2009.0.0, Nutanix AOS 5.15 (LTS) et VMware ESXi 7.0 Update 2.
Client Mac :
Symantec Endpoint Protection Manager 14.3 RU2 inclut la dernière version du client Symantec Endpoint Protection pour Mac 14.3 RU1 MP1. Lorsque le client Mac 14.3 RU2 est disponible, LiveUpdate télécharge le package d'installation client pour Mac sur la page
Administration > Packages d'installation > Package d'installation client
de Symantec Endpoint Protection Manager. Si vous ajoutez une notification
Nouveau package logiciel
à la page
Moniteurs
, vous recevez une notification lorsque le package d'installation est prêt.Cette fonction permet de mettre à niveau vers la dernière version de Symantec Endpoint Protection Manager plus tôt.
  • Prise en charge sur les appareils dotés d'une puce Apple M1.
  • L'intégration d'AppleScript avec le client Mac permet de créer et d'exécuter des scripts AppleScript pour l'interrogation ou le contrôle du client Mac.Voir :
  • Le package d'installation du client Mac contient un outil permettant de supprimer le build NLOK du client Mac (version 14.3 et antérieure) de votre appareil Mac et d'effectuer une mise à niveau silencieuse vers une version ultérieure du client Mac.
  • Les améliorations des performances sur le client Mac incluent : débit réseau hautement amélioré lors de l'utilisation du client Mac, amélioration des performances de l'analyse rapide, taille réduite du programme d'installation du client et utilisation optimisée de l'UC et de la mémoire.
  • Prise en charge de la recherche de preuve de compromission et de la commande Mettre le fichier en quarantaine pour la remédiation.Ces fonctions sont prises en charge sur les clients gérés par la console cloud Symantec Endpoint Security ou par Symantec EDR à partir de la version 4.6.5.
Client Linux :
Fonctionnalités supprimées
  • La prise en charge étendue de la version 12.1.x a pris fin le 3 avril 2021.Voir :
  • Le serveur de gestion ne prend plus en charge les anciennes versions du serveur de quarantaine centralisée. Les options
    Quarantine > Eléments mis en quarantaine
    ont été supprimées de la politique Protection contre les virus et les spywares.
  • Les options de la page Politique LiveUpdate >
    Paramètres Mac > Paramètres avancés
    ont été supprimées.
  • L'option
    Coexister avec Windows Defender
    a été supprimée de la page Politique de protection contre les virus et les spywares >
    Divers
    .
Documentation
  • Les fichiers d'aide du client Windows ont été convertis en fichiers HTML5, qui affichent un format mis à jour et les couleurs de Broadcom.
  • Vous pouvez télécharger le fichier PDF des Notes de mises à jour de chaque version sur la page suivante :
Schéma de base de données
Les modifications apportées au schéma de base de données sont les suivantes :
Tableau
Modification de colonne
HPP_APPLICATION
Ajout de la colonne NONPE.
Ajout d'une nouvelle table (REQUESTED_FILES).
Les colonnes suivantes ont été ajoutées :
  • ID
  • APP_HASH
  • COMMAND_ID
  • BINARY_FILE_ID
  • TIME_STAMP
  • USN
  • RETRY_COUNT
  • DELETED
Autres informations