Настройка
Symantec Endpoint Protection Manager
для проверки администраторов, которые входят в систему с помощью смарт-карт

Начиная с версии 14.2 администраторы, работающие в Федеральных агентствах США, могут войти в
Symantec Endpoint Protection Manager
с помощью смарт-карты.
Чтобы настроить аутентификацию смарт-карт, администратор должен выполнить следующие шаги:
Сведения о смарт-картах
Федеральные агентства США теперь используют программную систему, которая позволяет проверять смарт-карты для требований HSPD-12. Федеральная смарт-карта США содержит необходимые данные для получения владельцем карты доступа к федеральным объектам и информационным системам. Этот доступ обеспечивает соответствующие уровни безопасности для всех применимых федеральных приложений.
На некоторых клиентских компьютерах или рабочих станциях Windows уже есть считыватели PIV или CAC, встроенные в клавиатуру.
Symantec Endpoint Protection Manager
проверяет администраторов, которые используют следующие типы смарт-карт:
  • Карта удостоверения личности (PIV) (для гражданских лиц)
  • Общая карта доступа (CAC) (для военнослужащих)
  • В режиме FIPS:
    Symantec Endpoint Protection Manager
    не поддерживает смарт-карты, подписанные с использованием ECDSA и RSASSA-PSS.
  • В режиме без FIPS:
    Symantec Endpoint Protection Manager
    не поддерживает смарт-карты, подписанные с использованием RSASSA-PSS.
См. HSPD-12
Шаг 1. Настройте
Symantec Endpoint Protection Manager
для аутентификации смарт-карт
В этом шаге выполняется проверка того, выдан ли сертификат карты правильным центром сертификации. Затем при входе администратора в систему сервер управления считывает сертификат смарт-карты и проверяет его на соответствие этим сертификатам ЦС.
Чтобы проверить файл сертификата, сервер управления проверяет, что файл сертификата не указан в списке Certificate Revocation List (CRL) в Интернете.
Убедитесь, что все корневые файлы и промежуточные файлы присутствуют на компьютере администраторов, иначе они не могут войти в систему.
Настройка аутентификации смарт-карты в
Symantec Endpoint Protection Manager
  1. В консоли выберите
    Администрирование > Серверы
    и затем нажмите имя локального сервера управления.
  2. В разделе
    Задачи
    выберите
    Настроить аутентификацию смарт-карты
    .
  3. В текстовом поле
    Укажите пути к файлам корневого и (или) промежуточного сертификата
    выберите один или несколько файлов сертификата и нажмите
    ОК
    .
    Выберите все файлы сертификатов, которые необходимо проверить для отзыва. Чтобы выбрать несколько файлов, нажмите
    Ctrl
    .
    Необязательно:
    если серверу управления, в систему которого вошел администратор, не удается подключиться к Интернету, перейдите к текстовому полю
    Укажите пути для списков Certificate Revocation List
    и добавьте файл .crl или .pem. На этих серверах управления также необходимо выполнить следующую задачу. Шаг 2. Настройка сервера управления для выполнения проверки отзыва (только для сетей даркнет)
  4. Нажмите кнопку
    ОК
    .
  5. Если администратор удаленно входит в
    Symantec Endpoint Protection Manager
    с помощью веб-консоли, необходимо перезапустить службу
    Symantec Endpoint Protection Manager
    и веб-службу
    Symantec Endpoint Protection Manager
    .
Шаг 2. (необязательно) Настройте сервер управления для выполнения проверки отзыва (только для сетей даркнет).
Если у сервера управления нет доступа к Интернету, необходимо настроить его для проверки файла CRL на компьютере сервера управления. Без этой проверки администраторы могут войти в систему, но сервер управления не может проверить файл CRL, что может вызвать проблемы с безопасностью.
Настройка сервера управления для выполнения проверки отзыва (только для сетей даркнет)
  1. На этом сервере управления откройте следующий файл:
    путь установки Symantec Endpoint Protection Manager
    \tomcat\etc\conf.properties
  2. В файле
    conf.properties
    добавьте строку
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    и сохраните файл.
  3. Перезапустите службу сервера управления.
Шаг 3. (необязательно) Настройте сервер управления для выполнения проверки отзыва (только для сетей даркнет)
Этот шаг проверяет администратора как пользователя смарт-карты посредством настройки аутентификации PIV. Для аутентификации PIV требуется сертификат и пара ключей, которые используются для проверки того, что учетные данные PIV были выпущены уполномоченным объектом, их срок действия не истек и они не были отозваны. Учетные данные PIV также проверяют, является ли администратор тем пользователем, для которого они были выпущены.
Кроме этого, благодаря данному шагу для входа в Symantec Endpoint Protection Manager достаточно ввести свое имя пользователя, вставить карту и ввести PIN-код смарт-карты. Не нужно вводить пароль Symantec Endpoint Protection Manager.
Аутентификация смарт-карт не поддерживается в IPv6.
  1. В консоли выберите
    Админ > Серверы > Администраторы
    .
  2. Добавьте нового администратора или измените существующего администратора.
  3. На вкладке
    Аутентификация
    выберите
    Включить аутентификацию смарт-карты
    .
  4. Перейдите к файлу сертификата аутентификации для карты PIV или CAC для этого администратора и нажмите кнопку
    ОК
    .
  5. В диалоговом окне
    Подтвердить изменени
    е введите пароль администратора и нажмите кнопку
    ОК
    .
    Выполните этот шаг для каждого администратора, который использует смарт-карту для входа в
    Symantec Endpoint Protection Manager
    .
Шаг 4. Войдите в систему
Symantec Endpoint Protection Manager
с помощью смарт-карты
Чтобы войти в систему
Symantec Endpoint Protection Manager
, администратор может вставить смарт-карту в устройство чтения и ввести PIN-код смарт-карты. Смарт-карта всегда должна быть вставлена ​​в считывающее устройство, когда администратор смарт-карты входит в систему и использует сервер управления. Если администратор удаляет смарт-карту,
Symantec Endpoint Protection Manager
выводит администратора из системы в течение 30 секунд.
Консоль Java и веб-консоль поддерживают аутентификацию смарт-карт. Консоль RMM и REST API не поддерживают аутентификацию смарт-карт.
Устранение неполадок и репликация
Если два сайта реплицируют друг друга, сайт с файлом CA, который был наиболее недавно настроен, перезаписывает файл CA на всех других сайтах.