Konfigurowanie programu
program Symantec Endpoint Protection Manager
do uwierzytelniania administratorów logujących się za pomocą kart inteligentnych.

Od wersji 14.2 administratorzy współpracujący z agencjami federalnymi Stanów Zjednoczonych mogą się logować do programu
program Symantec Endpoint Protection Manager
za pomocą karty inteligentnej.
Aby skonfigurować uwierzytelnianie za pomocą karty inteligentnej, administrator musi wykonać następujące operacje:
Informacje o kartach inteligentnych
Agencje federalne Stanów Zjednoczonych korzystają aktualnie z systemu umożliwiającego uwierzytelnianie za pomocą kart inteligentnych w zakresie wymagań HSPD-12. Federalna karta inteligentna zawiera wszystkie dane niezbędne jej posiadaczowi do uzyskania dostępu do federalnych systemów informatycznych i placówek w Stanach Zjednoczonych. Ten typ dostępu gwarantuje odpowiednie poziomy bezpieczeństwa w ramach wszystkich aplikacji federalnych.
Niektóre komputery klienckie z systemem Windows lub stacje robocze są już wyposażone w klawiatury z czytnikami PIV lub CAC.
W programie
program Symantec Endpoint Protection Manager
można uwierzytelnić administratorów korzystających z następujących kart inteligentnych:
  • Karta Personal Identity Verification (PIV) dla osób cywilnych
  • Karta Common Access Card (CAC) dla personelu wojskowego
  • W trybie FIPS program
    program Symantec Endpoint Protection Manager
    nie obsługuje kart inteligentnych podpisanych za pomocą ECDSA i RSASSA-PSS.
  • W trybie innym niż FIPS program
    program Symantec Endpoint Protection Manager
    nie obsługuje kart inteligentnych podpisanych za pomocą RSASSA-PSS.
Patrz: HSPD-12
Krok 1: Skonfiguruj program
program Symantec Endpoint Protection Manager
do obsługi uwierzytelniania za pomocą kart inteligentnych.
W tym kroku sprawdzane jest, czy certyfikat karty został wydany przez właściwy organ. Następnie podczas logowania administratora serwer zarządzania odczytuje certyfikat karty inteligentnej i weryfikuje go względem certyfikatów CA.
Aby zweryfikować plik certyfikatu, serwer zarządzania sprawdza, czy dany plik certyfikatu nie znajduje się na liście odwołanych certyfikatów (CRL) w Internecie.
Upewnij się, że wszystkie pliki główne i pośrednie znajdują się na komputerze administratora. W przeciwnym razie nie będzie on mógł się zalogować.
Konfigurowanie programu
program Symantec Endpoint Protection Manager
do obsługi uwierzytelniania za pomocą kart inteligentnych
  1. W konsoli kliknij kolejno pozycje
    Administrator > Serwery
    , a następnie wybierz nazwę lokalnego serwera zarządzania.
  2. W obszarze
    Zadania
    kliknij pozycję
    Konfiguruj uwierzytelnianie karty inteligentnej
    .
  3. W polu tekstowym
    Określanie ścieżki dla plików certyfikatu głównego i/lub pośredniego
    przejdź do certyfikatu (lub certyfikatów) i kliknij przycisk
    OK
    .
    Wybierz wszystkie certyfikaty, które chcesz sprawdzić pod kątem odwołania. Aby wybrać wiele plików, naciśnij klawisz
    Ctrl
    .
    Opcjonalnie:
    Jeśli serwer zarządzania, do którego loguje się administrator, nie jest połączony z Internetem, w polu tekstowym
    Określ ścieżki dla list
    odwołania certyfikatów dodaj plik .crl lub .pem. Należy również wykonać poniższe operacje w przypadku tych serwerów zarządzania. Krok 2: Konfiguracja serwera zarządzania w celu wykonania kontroli listy odwołania certyfikatów (tylko w ciemnych sieciach)
  4. Kliknij przycisk
    OK
    .
  5. Jeśli administrator zaloguje się do programu
    program Symantec Endpoint Protection Manager
    zdalnie z poziomu konsoli internetowej, wymagane jest ponowne uruchomienie usługi
    program Symantec Endpoint Protection Manager
    i usługi sieciowej
    program Symantec Endpoint Protection Manager
    .
Krok 2 (opcjonalny): Skonfiguruj serwer zarządzania w celu wykonania kontroli listy odwołania certyfikatów (wymagane w ciemnych sieciach)
Jeśli serwer zarządzania nie jest połączony z Internetem, należy wprowadzić konfigurację pozwalającą na sprawdzenie plików listy odwołania certyfikatów na komputerze z serwerem zarządzania. Bez tej kontroli administratorzy nadal mogą się logować, ale serwer zarządzania nie może sprawdzić pliku listy odwołania certyfikatów, co może być przyczyną problemów z zabezpieczeniami.
Konfiguracja serwera zarządzania w celu wykonania kontroli listy odwołania certyfikatów (tylko w ciemnych sieciach)
  1. Na serwerze zarządzania otwórz plik:
    ścieżka instalacyjna programu Symantec Endpoint Protection
    Manager\tomcat\etc\conf.properties
  2. W pliku
    conf.properties
    dodaj ciąg
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    i zapisz go.
  3. Ponownie uruchom usługę serwera zarządzania.
Krok 3 (opcjonalny): Skonfiguruj serwer zarządzania w celu wykonania kontroli listy odwołania certyfikatów (wymagane w ciemnych sieciach)
W tym kroku administratorzy są uwierzytelniani jako użytkownicy kart inteligentnych poprzez skonfigurowanie uwierzytelnienia PIV. Uwierzytelnianie PIV wymaga pary klucza i certyfikatu służących do zweryfikowania, czy poświadczenia PIV zostały wydane przez uprawnioną jednostkę, są aktualne i nie zostały odwołane. Poświadczenia PIV identyfikują również administratora, dla którego zostały wydane.
W tym kroku zapewnia się również, że użytkownicy będą wpisywać tylko swoją nazwę użytkownika, wsuwać kartę inteligentną i wprowadzać jej numer PIN w celu zalogowania się do programu Symantec Endpoint Protection Manager. Nie muszą oni wpisywać hasła do programu Symantec Endpoint Protection Manager.
Uwierzytelnianie za pomocą kart inteligentnych nie jest obsługiwane w przypadku adresów IPv6.
  1. W konsoli kliknij kolejno pozycje
    Administrator > Serwery > Administratorzy
    .
  2. Dodaj nowego administratora lub zmodyfikuj istniejącego administratora.
  3. Na karcie
    Uwierzytelnianie
    kliknij pozycję
    Włącz uwierzytelnianie karty inteligentnej
    .
  4. Wybierz plik certyfikatu uwierzytelniania dla karty PIV lub CAC w przypadku danego administratora i kliknij przycisk
    OK
    .
  5. W oknie dialogowym
    Potwierdzenie zmiany
    wpisz hasło administratora, a następnie kliknij przycisk
    OK
    .
    Powtórz ten krok dla wszystkich administratorów korzystających z kart inteligentnych do logowania w programie
    program Symantec Endpoint Protection Manager
    .
Krok 4: Logowanie w programie
program Symantec Endpoint Protection Manager
za pomocą karty inteligentnej
Aby zalogować się w programie
program Symantec Endpoint Protection Manager
, administrator wsuwa kartę inteligentną do czytnika i wprowadza numer PIN. Karta inteligentna ciągle musi się znajdować w czytniku, gdy administrator jest zalogowany i korzysta z serwera zarządzania. W przypadku wysunięcia karty administrator zostanie wylogowany z programu
program Symantec Endpoint Protection Manager
w ciągu 30 sekund.
Konsola Java i konsola internetowa obsługują uwierzytelnianie za pomocą kart inteligentnych. Konsola RMM i interfejs REST API nie obsługują uwierzytelniania za pomocą kart inteligentnych.
Rozwiązywanie problemów i replikacja
Jeśli dwie lokacje replikują się wzajemnie, lokacja zawierająca najnowszy skonfigurowany plik CA zastępuje plik CA w pozostałych lokacjach.