架構
Symantec Endpoint Protection Manager
以驗證使用智慧卡登入的管理員

在版本 14.2 或更新版本,在美國聯邦機構工作的管理員可以使用智慧卡登入
Symantec Endpoint Protection Manager
若要設定智慧卡驗證,管理員需要執行下列步驟:
關於智慧卡
美國聯邦機構現在針對 HSPD-12 需求使用允許智慧卡驗證的軟體系統。美國聯邦智慧卡包含將被授予聯邦機構和資訊系統存取權的持卡人的必要資料。此存取權可確保所有適用的聯邦應用程式享有適當的安全層級。
某些 Windows 用戶端電腦或工作站的鍵盤中已內建 PIV 或 CAC 讀取裝置。
Symantec Endpoint Protection Manager
會驗證使用下列類型智慧卡的管理員:
  • 個人身分驗證 (PIV) 卡 (適用於平民)
  • 通用存取卡 (CAC) (適用於軍事人員)
  • 在 FIPS 模式下:
    Symantec Endpoint Protection Manager
    不支援使用 ECDSA 和 RSASSA-PSS 簽署的智慧卡。
  • 在非 FIPS 模式下:
    Symantec Endpoint Protection Manager
    不支援使用 RSASSA-PSS 簽署的智慧卡。
請參閱:HSPD-12
步驟 1:針對智慧卡驗證架構
Symantec Endpoint Protection Manager
此步驟會驗證由正確授權中心核發的卡憑證。之後,在管理員登入時,管理伺服器讀取智慧卡的憑證,並對照這些 CA 憑證進行驗證。
若要驗證憑證檔案,管理伺服器會確認此憑證檔案是否未列於 Internet 上的憑證撤銷清單 (CRL) 中。
請確定所有根檔案和中間檔案皆位於管理員的電腦上,否則他們無法登入。
針對智慧卡驗證架構
Symantec Endpoint Protection Manager
  1. 在主控台中,按一下「
    管理員 > 伺服器
    」,然後選取本機管理伺服器名稱。
  2. 在「
    工作
    」下方,按一下「
    架構智慧卡驗證
    」。
  3. 在「
    指定根憑證及 (或) 中間憑證檔案的路徑
    」文字方塊中,瀏覽至一或多個憑證檔案,然後按一下「
    確定
    」。
    選取需要檢查是否撤銷的所有憑證檔案。若要選取多個檔案,請按下
    Ctrl
    選擇性
    :如果管理員登入的管理伺服器無法存取 Internet,請在「
    指定憑證撤銷清單的路徑
    」文字方塊中新增 .crl 或 .pem 檔案。還必須在這些管理伺服器上執行下列工作。步驟 2:將管理伺服器架構為執行撤銷檢查 (僅限暗網)
  4. 按下「
    確定
    」。
  5. 如果管理員使用 Web 主控台遠端登入
    Symantec Endpoint Protection Manager
    ,則必須重新啟動
    Symantec Endpoint Protection Manager
    服務與
    Symantec Endpoint Protection Manager
    Web 服務。
步驟 2 (選擇性):將管理伺服器架構為執行撤銷檢查 (暗網所需)
如果管理伺服器沒有 Internet 存取權,您必須將其架構為改成檢查管理伺服器電腦上的 CRL 檔案。如果未執行此檢查,管理員仍可登入,但管理伺服器無法檢查 CRL 檔案,可能會導致安全問題。
將管理伺服器架構為執行撤銷檢查 (僅限暗網)
  1. 在此管理伺服器上,開啟下列檔案:
    Symantec Endpoint Protection Manager 安裝路徑
    \tomcat\etc\conf.properties
  2. conf.properties
    檔案中,新增
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    並儲存檔案。
  3. 重新啟動管理伺服器服務。
步驟 3 (選擇性):將管理伺服器架構為執行撤銷檢查 (暗網所需)
此步驟透過設定 PIV 驗證,將管理員驗證為智慧卡的使用者。PIV 驗證需要用來確認 PIV 憑證由授權實體核發的憑證和金鑰組尚未到期,且未遭到撤銷。PIV 憑證還會識別向其核發相同個別憑證的管理員。
此步驟也可確保使用者只需輸入其使用者名稱、插入卡,然後輸入智慧卡 PIN 即可登入 Symantec Endpoint Protection Manager。他們無需輸入 Symantec Endpoint Protection Manager 密碼。
不支援透過 IPv6 進行智慧卡驗證。
  1. 在主控台中,按下
    「管理員」>「伺服器」>「管理員」
  2. 新增管理員,或編輯現有管理員。
  3. 在「
    驗證
    」標籤上,按一下「
    啟用智慧卡驗證
    」。
  4. 瀏覽至該管理員的 PIV 卡或 CAC 的驗證憑證檔案,然後按一下「
    確定
    」。
  5. 在「
    確認變更
    」對話方塊中,輸入管理員的密碼,然後按一下「
    確定
    」。
    對於使用智慧卡登入
    Symantec Endpoint Protection Manager
    的每個管理員,請遵循此步驟。
步驟 4:使用智慧卡登入
Symantec Endpoint Protection Manager
若要登入
Symantec Endpoint Protection Manager
,管理員會將卡插入智慧卡讀取裝置,並輸入 PIN 號碼。當智慧卡管理員登入和使用管理伺服器時,必須始終將智慧卡插入讀取裝置。如果管理員移除智慧卡,
Symantec Endpoint Protection Manager
會在 30 秒內將管理員登出。
Java 主控台和 Web 主控台支援智慧卡驗證。RMM 主控台和 REST API 不支援智慧卡驗證。
疑難排解和遠端複製
如果兩個站台彼此遠端複製,則具有最近架構的 CA 檔案的站台會覆寫所有其他站台上的 CA 檔案。