Configurazione di
Symantec Endpoint Protection Manager
per autenticare gli amministratori che accedono con Smart Card

A partire dalla versione 14.2, gli amministratori che lavorano per le agenzie federali statunitensi possono accedere a
Symantec Endpoint Protection Manager
utilizzando una smart card.
Per configurare l'autenticazione con smart card, l'amministratore deve effettuare le seguenti operazioni:
Informazioni sulle smart card
Le agenzie federali degli Stati Uniti ora utilizzano un sistema software che consente l'autenticazione con smart card per i requisiti HSPD-12. Una smart card delle agenzie federali degli Stati Uniti contiene i dati necessari per consentire al titolare della carta di accedere alle strutture federali e ai sistemi informatici. Questo accesso assicura livelli di sicurezza adeguati per tutte le applicazioni federali applicabili.
Alcuni computer client o workstation Windows dispongono già di lettori PIV o CAC integrati nella tastiera.
Symantec Endpoint Protection Manager
autentica gli amministratori che utilizzano i seguenti tipi di smart card:
  • Carta di verifica dell'identità personale (PIV) (per il personale civile)
  • Common Access Card (CAC) (per il personale militare)
  • In modalità FIPS:
    Symantec Endpoint Protection Manager
    non supporta le smart card firmate con ECDSA e RSASSA-PSS.
  • In modalità non FIPS:
    Symantec Endpoint Protection Manager
    non supporta le smart card firmate con RSASSA-PSS.
Consultare la sezione: HSPD-12
Passaggio 1: Configurazione di
Symantec Endpoint Protection Manager
per l'autenticazione con smart card
Questo passaggio convalida che il certificato della smart card è stato emesso dall'autorità corretta. Successivamente, nel momento in cui l'amministratore accede, il server di gestione legge il certificato della smart card e lo convalida con questi certificati CA.
Per convalidare un file di certificato, il server di gestione verifica che il file del certificato non sia incluso in un elenco di certificati revocati (CRL) su Internet.
Assicurarsi che tutti i file dei certificati principali e intermedi siano presenti sul computer degli amministratori, altrimenti non possono accedere.
Per configurare
Symantec Endpoint Protection Manager
per l'autenticazione con smart card
  1. Nella console, fare clic su
    Amministratore > Server
    e selezionare il nome del server di gestione.
  2. In
    Attività
    , fare clic su
    Configura autenticazione con smart card
    .
  3. Nella casella
    Specificare i percorsi dei file di certificato principale e/o intermedi
    , accedere a uno o più file di certificato e fare clic su
    Ok
    .
    Selezionare tutti i file di certificato che si desidera verificare se sono stati revocati. Per selezionare più file, premere
    CTRL
    .
    Facoltativo
    : se il server di gestione a cui si connette l'amministratore non può accedere a Internet, nella casella di testo
    Specificare i percorsi degli elenchi di certificati revocati
    aggiungere un file .crl o .pem. È inoltre necessario eseguire la seguente attività su questi server di gestione. Passaggio 2: Configurazione del server di gestione per eseguire il controllo della revoca (solo per le dark network)
  4. Fare clic su
    OK
    .
  5. Se l'amministratore accede a
    Symantec Endpoint Protection Manager
    in remoto con la console Web, deve riavviare il servizio
    Symantec Endpoint Protection Manager
    e il servizio Web
    Symantec Endpoint Protection Manager
    .
Passaggio 2 (Facoltativo): configurare il server di gestione per eseguire il controllo della revoca (richiesto per le dark network)
Se un server di gestione non ha accesso a Internet, è necessario configurarlo in modo che verifichi la presenza del file dell'elenco di certificati revocati sul computer del server di gestione. Senza questa verifica, gli amministratori possono ancora accedere, ma il server di gestione non può controllare il file dell'elenco di certificati revocati, il che può causare problemi di sicurezza.
Per configurare il server di gestione per eseguire il controllo della revoca (solo per le dark network)
  1. Su questo server di gestione, aprire il seguente file:
    percorso di installazione di Symantec Endpoint Protection
    \tomcat\etc\conf.properties
  2. Nel file
    conf.properties
    , aggiungere
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    e salvare il file.
  3. Riavviare il servizio del server di gestione.
Passaggio 3 (Facoltativo): configurare il server di gestione per eseguire il controllo della revoca (richiesto per le dark network)
Questo passaggio autentica gli amministratori come utenti della smart card configurando l'autenticazione PIV. L'autenticazione PIV richiede un certificato e una coppia di chiavi utilizzati per verificare che la credenziale PIV sia stata emessa da un'entità autorizzata, non sia scaduta e non sia stata revocata. La credenziale PIV identifica anche l'amministratore come la stessa persona a cui è stata rilasciata.
Questo passaggio garantisce inoltre che per accedere a Symantec Endpoint Protection Manager, gli utenti debbano semplicemente immettere il proprio nome utente, inserire la smart card e digitare il PIN corrispondente. Non è necessario immettere la password di Symantec Endpoint Protection Manager.
L'autenticazione con smart card non è supportata su IPv6.
  1. Nella console, fare clic su
    Amministrazione > Server > Amministratori
    .
  2. Aggiungere un nuovo amministratore o modificare un amministratore esistente.
  3. Nella scheda
    Autenticazione
    , fare clic su
    Attiva autenticazione con smart card
    .
  4. Accedere al file del certificato di autenticazione per la scheda PIV o CAC dell'amministratore, quindi fare clic su
    OK
    .
  5. Nella finestra di dialogo
    Conferma modifica
    , digitare la password dell'amministratore e fare clic su
    OK
    .
    Eseguire questo passaggio per ogni amministratore che utilizza una smart card per accedere a
    Symantec Endpoint Protection Manager
    .
Passaggio 4: Accesso a
Symantec Endpoint Protection Manager
utilizzando una smart card
Per accedere a
Symantec Endpoint Protection Manager
, l'amministratore inserisce la smart card in un lettore di smart card e digita il PIN. La smart card deve sempre inserita nel lettore mentre l'amministratore è connesso e utilizza il server di gestione. Se l'amministratore rimuove la smart card,
Symantec Endpoint Protection Manager
lo disconnette entro 30 secondi.
La console Java e la console Web supportano l'autenticazione con smart card. La console RMM e l'API REST non supportano l'autenticazione con smart card.
Risoluzione dei problemi e replica
Se due siti si replicano a vicenda, il sito con il file CA configurato più recentemente sovrascrive il file CA su tutti gli altri siti.