Tính năng mới trong Symantec Endpoint Protection 14.2

Những tính năng mới trong Symantec Endpoint Protection 14.2

Symantec Endpoint Protection 14.2 gồm 6 cải tiến:

I. Cải tiến tích hợp công nghệ đám mây.

Hỗ trợ cloud cho bản sao Symantec Endpoint Protection Main

  • Tự động tính toán và đưa các mối đe dọa zero-day vào các sandbox (cơ chế bảo mật tách riêng với hệ thống) động và kiểm tra trước khi gửi nội dung cho người dùng.
  • Phân tích nội dung không xác định từ một vị trí trung tâm.
  • Sử dụng các công cụ kiểm tra nhiều tầng và tiếp cận sandbox kép để phát hiện hành vi nguy hiểm và phơi bày các mối đe dọa zero-day và tiêu diệt một cách an toàn các tập tin và URL đáng ngờ.
  • Tích hợp SEP cho phép quản trị viên gửi các tệp đáng ngờ được phát hiện trên máy khách SEP tới máy chủ CAS / MA để phân tích thêm qua bảng điều khiển cloud.
  • Các tệp đã gửi được phát hiện là độc hại sẽ tự động được thêm vào tệp đánh dấu của SEPM sẽ đưa vào danh sách đen.

 

Quá trình Symantec Security Cloud phát hiện các tệp đáng ngờ

1.Client gửi sự kiện phát hiện tới SEPM

2. SEPM Bridge gửi sự kiện tới Cloud

3. Admin quyết định gửi file để phân tích thêm – lệnh được gửi đến SEPM

4. SEPM nhận file từ client

5. SEPM tải file lên CASMA

6. SEPM đợi phản hồi

7. SEPM gửi kết quả tới Cloud

8. Admin sẽ quyết định xử lí như thế nào

 

( SEP Hardening Changes) SEP thay đổi cách thức hoạt động trong Symantec Endpoint Protection:

  • Khi nâng cấp client bằng tính năng Tự động nâng cấp, tính năng SEP Hardening sẽ tự động được cài đặt
  • Ngay cả khi “Duy trì các tính năng hiện có được chọn” (Maintain existing features was checked).
  • Việc lựa chọn tập hợp tính năng tùy chỉnh sẽ ngăn cản cài đặt tính năng này.

 

Chuyển vùng Client

 

II. Xác thực đa yếu tố

  • Xác thực đa yếu số là một thủ tục bảo mật xác thực người dùng thông qua nhiều phương thức xác thực.
  • Một trong các trường hợp sử dụng phổ biến hơn là xác thực hai yếu tố, kết hợp giữa:
    • Mật khẩu của bạn
    • Cái bạn có
    • Sử dụng cái gì (vân tay, chữ kí điện tử,…).

Symantec Endpoint Protection hiện hỗ trợ các phương thức mới để xác thực quản trị viên:

    • Symantec VIP
    • PIV/CAC Smart Cards

Symantec VIP xác thực hai yếu tố:

Công nghệ linh hoạt, đa dạng tùy vào nhu cầu sử dụng

  • Tùy chọn dựa trên phần cứng hoặc phần mềm được sử dụng để xác thực người dùng một cách an toàn.
  • Tùy chọn xác thực quản trị viên SEPM trong Endpoint Protection Manager.
  • Hai bước để bật VIP:
    • Nhập VIP chứng nhận trên SEPM.
    • Bật tính năng VIP 2FA cho administrator cá nhân

 

a. Nhập VIP chứng nhận trên SEPM theo các bước:

  • Click vào Admin > Servers > chọn SEPM > Cấu hình VIP xác thực.
  • Tìm vị trí file PKCS:
  • Chứng chỉ được xuất từ người quản lý VIP

 Chứng chỉ phải được định dạng PKCS # 12 với mật khẩu.

  • Chứng chỉ VIP được lưu trữ trên đĩa khi được nhập, chứ không phải trong SEPM
  • Nhập mật khẩu keystore.
  • Chỉ cần nhập chứng chỉ VIP vào một SEPM.
  • Các client khác và SEPM trên cùng một trang web sẽ tự động nhận được.

 

b. Bật tính năng VIP 2FA cho administrator cá nhân

  • Click vào Admin > Administrators > Thêm một administrator hoặc tùy chỉnh một administrator có sẵn.
  • Chọn tab Authentication.
  • Check vào ô Enable two-factor authentication using Symantec VIP

Tên người dùng SEPM phải trùng với tên người dùng trong VIP.

 

 Đăng nhập admin VIP bằng cách xác thực hai yếu tố

  • Khi người dùng đăng nhập bằng VIP 2FA
  • Mật khẩu người dùng hiện tại là mật khẩu + mã bảo mật.
  • Hỗ trợ các bảng điều khiển sau
  • Standard SEPM console, remote, web, và report.
  • Chế độ đẩy để xác minh mã thông báo được hỗ trợ
  • Nếu nhiều hơn 5 tin nhắn được gửi, chế độ tạm thời sẽ bị khóa trong 60 phút.

 

Hai bước để bật tính năng xác thực Smart Card:   

  1. Nhập chứng chỉ trên SEPM.
  2. Bật tính năng xác thực dựa trên thẻ thông minh cho admintrator cá nhân.

 

Cấu hình SEPM cho thẻ thông minh:

  • Nhấp vào Admin> Servers > chọn SEPM server > Cấu hình Smart Card Authentication.
  • Nhấn Browse để chọn file nếu cần
  • Bắt buộc – File chứng chỉ gốc hoặc file trung gian.
  • Tùy chọn – Danh sách thu hồi chứng chỉ (CRL)
  • Dành cho SEPM không thể truy cập Internet.
  • Khởi động lại dịch vụ SEPM để đăng nhập bảng điều khiển web.

 

Bật xác thực dựa trên thẻ thông minh cho adminstrator cá nhân

  • Nhấp vào Admin > Administrators > Thêm một administrator chỉnh sửa một administrator có sẵn.
  • Chọn tab Authentication.
  • Check vào ô Smart card-based Authentication
  • Click vào Browse và chỉ định đường dẫn đến vị trí tệp chứng chỉ xác thực.

 

Đăng nhập admin Smart Card SEPM:

  • Quản trị viên thêm một smart card vào đầu đọc.    .
  • Trên màn hình đăng nhập SEPM, nhấp vào Options.
  • Đánh dấu vào ô Log on with smart card.

Trường mật khẩu bị xóa.

  • Nhập Tên người dùng, nhấp vào Log On.
  • Người dùng sẽ được nhắc nhập mã PIN.
  • Smart Card phải được chèn vào đầu đọc khi người quản trị đăng nhập.
  • Quản trị viên sẽ bị đăng xuất trong vòng 30 giây nếu thẻ không được chèn.
  • Bảng điều khiển SEPM được hỗ trợ

 

Symantec Endpoint Protection                                                                                              

III. Hỗ trợ IPv6

Phiên bản mới nhất của Giao thức Internet (IP).

  • Phát triển như một giải pháp cho vấn đề cạn kiệt địa chỉ IPv4.
  • Sử dụng địa chỉ 128 bit.
  • IPv6 nhằm thay thế IPv4.

SEP và IPv6 – Tổng quan lịch sử

  • SEP 11.x – IPv6 được sử dụng làm loại giao thức chung trong quy tắc tường lửa:
  • Lưu lượng mạng IPv6 có thể bị chặn hoặc cho phép hoàn toàn.
  • SEP 12.1 – Hỗ trợ thêm cho IPv6:
  • Các công cụ tường lửa và IPS có thể giải mã và chặn lưu lượng.
  • Bảo vệ được cung cấp trên lưu lượng IPv6 trong SEP 12.1 giống như trên IPv4.
  • Log sẽ được hiển thị địa chỉ IPv6.
  • SEP 12.1 RU5 và mới hơn có thể tạo rule cho địa chỉ IPv6:
  • Có thể tạo một rule tường lửa để chặn lưu lượng IPv6 đến một hệ thống trên mạng trong khi cho phép lưu lượng IPv6 tương tự đến một hệ thống khác.
  • SEPM liên lạc với client:
  • Tất cả chức năng được hỗ trợ
  • Client ngăn xếp đơn hoặc kép.
  • Client bao gồm Linux, Mac và Windows

 Có thể thiết lập chính sách dựa trên giao thức mạng.

  • SEPM và Client đến Máy chủ LU nội bộ (LUA)
  • SEPM và Client để Symantec Backend truyền thông qua IPv6:
  • LiveUpdate

Tra cứu mức độ uy tín

  • Các dịch vụ backend là IPv4 ngày hôm nay

Symantec Endpoint Protection

IV. Mô-đun giao tiếp SEP

Symantec Endpoint Protection Communication Module là gì?

  • Module truyền thông là sự thay thế cho Sylink.
  • Sylink.xml lưu trữ cài đặt giao tiếp toàn cầu của client.

 Tại sao phải thay Sylink?

  • Đa nền tảng – Windows, Mac OS X, Linux
  • Cơ sở mã nguồn phổ biến, dễ bảo trì hơn.
  • Các tính năng mới có thể được hỗ trợ trên tất cả các nền tảng một cách nhanh chóng.

Tuân thủ FIPS / Common Criteria

  • Hỗ trợ IPv6
  • Cơ sở mã nguồn hiện đại
  • Khả năng ghi mở rộng
  • Không thay đổi SEPM
  • SEPM có thể giao tiếp với Client của mô-đun Sylink và Communication Module cùng một lúc.

 

V. Tích hợp dịch vụ WEB Security (WSS) – Xác thực Client

Xác thực ứng dụng khách – Tổng quan

  • SEP 14 RU1 MP1 đã giới thiệu chính sách Tích hợp chuyển hướng lưu lượng truy cập WSS để thực thi phân bổ file tự động cấu hình proxy (PAC) qua SEP.
  • SEP 14.2 mở rộng khả năng này với các cải tiến bổ sung để giúp quá trình Client- Xác thực ID.

Xác thực ID ứng dụng Client bao gồm hai thành phần:

   –  Dịch vụ proxy cục bộ (LPS):

   – Một dịch vụ proxy trong các sản phẩm của SEP. Được gọi là “Traffic Interception Port” trong policy.

Đại lý ID khách hàng để xác thực (CIA):

Được gọi là ‘mã thông báo tích hợp WSS’ (WSS integration token) trong policy.

Chính sách tích hợp – Chuyển hướng lưu lượng truy cập WSS

  • Policy Tích hợp đã được mở rộng để bao gồm các tùy chọn Xác thực Client.
  • Bạn phải chỉ định số ‘cổng chặn giao thông'(Traffic interception port) lớn hơn 1024 mặc định là 2968
  • Phải có ‘mã thông báo tích hợp WSS'(WSS integration token) được cung cấp để sử dụng xác thực ứng dụng client. Mã thông báo này có nguồn gốc từ WSS.
  • Nếu không có cấu hình xác thực client, tất cả lưu lượng truy cập trình duyệt web sẽ định tuyến thông qua proxy WSS, dựa trên file PAC được cấu hình.
  • Với cấu hình xác thực ứng dụng client, hai thứ sẽ thay đổi:
  • Lưu lượng truy cập trình duyệt web sử dụng tệp PAC được lưu trữ cục bộ do LPS lưu trữ
  • Mã thông báo và khóa chia sẻ trước được cung cấp cho CIA, tạo ra một xác nhận để xác định người dùng cá nhân đã đăng nhập.
  • Điều này cho phép cài đặt proxy cụ thể của người dùng có hiệu lực.  

Symantec Endpoint Protection                            

Xác thực Client – Cân nhắc

  • ProxySG và WSS được yêu cầu để tận dụng các tùy chọn xác thực Client.
  • WSS được sử dụng để tạo mã thông báo tích hợp và xác định các cài đặt cụ thể theo ngữ cảnh người dùng.
  • Xác thực client là tính năng chỉ dành cho Windows. Máy khách Mac sẽ bỏ qua các cài đặt này.
  • Client Authentication là một phần của gói cài đặt máy khách SEP cơ sở.
  • Unmanaged clients không thể sử dụng chức năng này. Phải có policy được xác định SEPM.
  • CIA thực hiện cuộc gọi đến https://client—id.wss.svmantec.com/sso với yêu cầu của client. URL phải được cho phép thông qua tường lửa và proxy.

VI. Update mới trên MAC client

Tường lửa Mac

  • Symantec 14.2 giờ đã bao gồm Cài đặt Mac trong Policy tường lửa.
  • Quản lý chính sách qua SEPM và cung cấp quy tắc kết nối.
  • Chính sách chi tiết để cấu hình kết nối (cổng, địa chỉ IP) và quy tắc ứng dụng.
  • Hỗ trợ các quy tắc tường lửa động thay đổi tự động dựa trên các thay đổi mạng (DNS, DHCP).
  • Khi được sử dụng cùng với IPS, tự động chặn IP của kẻ tấn công kết nối với máy Mac.

Symantec Endpoint Protection

Mac Port Firewall

  • Cài đặt bảo vệ mối đe dọa mạng trên máy khách Mac hiện bao gồm một nút chuyển đổi cho tường lửa.

Symantec Endpoint Protection

  • Các quy tắc tường lửa tích hợp hoặc tùy chỉnh

Symantec Endpoint Protection

Chuyển hướng lưu lượng truy cập WSS cho Mac

Chức năng WSS Traffic Redirection (WTR) đã được chuyển đến SEP cho máy khách Mac.

  • Hỗ trợ trình duyệt bao gồm Chrome, Firefox và Safari.

Symantec Endpoint Protection

Lê Nguyễn Đình Khánh – Pacisoft Vietnam

Nguồn: PACISOFT.vn | PACISOFT.com