DLP Agent OS support

What should I check before installing the Endpoint Agent on a machine?

Solution

Relevant version:  8.x and above
Before installing Endpoint Agent on a machine:

1. Check to see whether the agent machine meets the minimum hardware requirements of at least 256M RAM; 1.5GB hard drive free space; and at least a 300 MHz processor. Note: The agent installer does not validate these requirements, even though this is what the agent requires.
2. Check to see whether the machine has any third-party applications that might interfere with Endpoint, for example, anti-virus software. If anti-virus software is on the machine, add the Endpoint Agent as a "safe" application or set exclusions per TECH220235. If a firewall is installed on the machine, ensure the Endpoint Server port (usually 8000) is open so the agent can communicate with the Endpoint Server.
3.  
4. If Yahoo Desktop Search is running on the machine, you MUST ensure that the agent does not monitor the "Application Data\X1 Desktop Search" directory. This is done by adding an "ignore path filter" for hard drive monitoring on the Configure page of the Endpoint Server. Note: This only applies to Yahoo Desktop Search, and not Google.  Google Desktop Search should not be an issue. 

The supported operating systems for the Symantec DLP Agents are as follows:
8.1

• Microsoft Windows XP with Service Pack 2
• Microsoft Windows Server 2003 with Service Pack 1 or Microsoft Windows Server 2003 R2 with Service Pack 2
• Microsoft Windows Vista, optionally with Service Pack 1

Windows Vista users must use the Elevated Command Prompt mode.  See the 8.1 Admin Guide for further details.

9.x:

• Microsoft Windows XP with Service Pack 2 or SP3
• Microsoft Windows Server 2003 with Service Pack 1 or Microsoft Windows Server 2003 R2 with Service Pack 2
• Microsoft Windows Vista, optionally with Service Pack 1

10.0:

• Microsoft Windows XP with Service Pack 2 or SP3
• Microsoft Windows Server 2003 with Service Pack 1 or Microsoft Windows Server 2003 R2 with Service Pack 2
• Microsoft Windows Vista, optionally with Service Pack 1
• Windows 7 32-bit OS

10.5:

• Microsoft Windows XP with Service Pack 2 or SP3
• Microsoft Windows Server 2003 with R2 with Service Pack 2
• Microsoft Windows Vista, with Service Pack 1
• Windows 7 32-bit OS
• Windows 7 64-bit OS

11.0:

• Microsoft Windows XP with Service Pack 2 or SP3
• Microsoft Windows Server 2003 with R2 with Service Pack 2 
• Microsoft Windows Vista, with Service Pack 1
• Windows 7 32-bit OS
• Windows 7 64-bit OS

11.5/6:

• Microsoft Windows XP with Service Pack 2 or SP3
• Microsoft Windows Server 2003 with R2 with Service Pack 2 
• Microsoft Windows Server 2008 with R2 (64 bit)
• Microsoft Windows Vista, with Service Pack 1 or SP2
• Windows 7 32-bit OS
• Windows 7 64-bit OS
• Windows 8 (32-bit or 64-bit) as of DLP 11.6.3

12.0:

• Microsoft Windows XP with Service Pack 2 or SP3
• Microsoft Windows Server 2008 with R2 (64 bit)
• Microsoft Windows Vista, with Service Pack 1 or SP2
• Windows 7 32-bit OS
• Windows 7 64-bit OS
• Windows 8 (32-bit or 64-bit) as of DLP 12.0.1

Symantec File Share Encryption單一檔案及資料夾加密軟體 (安裝&加密篇)

超好用之Symantec File Share Encryption單一檔案及資料夾加密軟體

最近因客戶需求，特別測試Symantec PGP系列之檔案加密，重點如下：

1. 公加私解：公KEY加密，私KEY解密
2. 私簽公驗：私KEY簽章，公KEY驗證

直接於端點安裝 SymantecEncryptionDesktop

安裝完後需要重開機

第一次啟動需要用當時登入的帳戶來註冊PGP，此例是將PGP註冊到dean 這個帳戶

輸入序號後，會依照授權內容啟用相關功能

會詢問是否第一次使用PGP。

如果是，會建立新的公私KEY

如果不是，會要求匯入之前安裝PGP所建立金鑰

建立公私KEY 會需要輸入名稱及Email，可按Advanced 調整KEY的加密長度及種類

替該KEY 設定使用密碼

金鑰產生完成

可設定將公KEY上傳至Symantec PGP Server供其他用戶做加密或是驗證，如不需要可先按Skip

本次測試為檔案加密，所以先不勾選偵測Email 帳戶

設定結束後開啟PGP介面，可於All Keys 檢查金鑰是否已創建

可於File→New PGP Key 新增KEY功其他用戶使用

可點選Add Folder 新增要加密的資料夾

選擇該資料要用那些KEY來加密，可以用多個KEY

選擇要用哪把KEY來替加密檔加簽(Signing)，也可以不選，不會影響加解密

檔案加簽可以讓別人用公KEY來驗證這些檔案的加密者是誰，避免檔案被有心人掉包

設定完畢後可看到該資料夾內所有的檔案及資料夾都將被自動加密

若遇到無法加密的檔案，可將其搬移後重新放入加密資料夾

加密完畢後，可看到所有檔案圖示均出現鎖頭，加密檔案種類不限

於本機開啟檔案時，會自動解密

利用網路芳鄰或是其他 ”非FTP” 管道去瀏覽該檔案，即為加密

最後記得定期將金鑰進行備份，以防日後無法解密

*.pkr為公KEY，*.skr為私KEY

限制補充：

1. 受PGP管理的加密資料夾因被加密了，雖然可透過檔案總管順利瀏覽，但FTP軟體存取該資料夾會受到限制
2. 如果PGP 與 FTP 在同一台主機，用戶透過FTP Client 下載加密檔案時會自動解密，此動作彷彿直接到本機存取該檔案

透過其他非FTP方式去瀏覽加密資料夾內的檔案，內容均為加密

DLP 14.5 新功能 Form Recognition (表單偵測)

一開始聽到此功能，我的腦海立即浮現此畫面



好吧，開始記錄一下此功能重點

可支援的偵測種類有： Form Recognition is available for

Network Monitor

Network Prevent for Email

Network Prevent for Web

Network Discover.

It is not available for Endpoint or any cloud detectors -------馬ㄉ  居然不支援端點

可支援”偵測”的表單檔案格式倒是不少  (不是學習喔!!)
Symantec Data Loss Prevention can detect forms in the following image file types:

• PDF
• JPEG (.jpg, .jpeg)
• PNG
• TIFF (single page or multi-page, .tif or .tiff)
• Bitmap (.bmp, .dib)

啟動方式  (還滿搞笑的)     Enabling the Image Extractor plug-in (14.6 版之後預設為啟動)

1. On each detection server running Form Recognition detection rules, navigate to System > Servers and Detectors > Overview > Server/Detector Detail - Advanced Settings.
2. Remove "ImageExtractorPlugin" from the ContentExtraction.DisabledPlugins  field.
3. Click Save.
4. Restart the detection server to apply your changes.

 

限制事項

1. 將所需要偵測的檔案打包成ZIP檔後 上傳
2. 原廠建議 為了不影響效能，所有的表單加總不要超過500張

3. 建議少點Profile且每個Profile包含多些表單，也不要建立一堆Profile，然後每個Profile只有一點表單

4. PDF 解析度建議200 DPI 以上

5.表單內容盡量要有足夠的文字、表格或圖表，太單調的表單容易造成誤判

6. 每個表單內容不要太相似，不然也容易造成誤判

7. 每個表單內容應平均分佈，太集中或太鬆散都會造成偵測困難  <----這有點難控制

Each form should have content evenly distributed across the page. Forms with clustered content and sparse areas are more difficult to match.

8.表單背景應為白色或亮色，避免暗色系

9. 如果要偵測的表單有多頁，需分拆成多個檔案

10. ZIP 檔內只能有PDF檔，不能有其他檔案或資料夾

11. 要偵測的表單 應為空白表單，不可用已填寫內容的

12. If your form includes several pages of un-fillable boilerplate, you only need to add the
      fillable pages to your gallery archive. 自己翻譯
13. 從設定看來，只會針對附件進行偵測

實測

匯入原始表格供DLP學習，步驟如下：

將提供給DLP學習的空白PDF表用zip打包起來  並匯入DLP

其中的Fill Threshold 是設定此表偵測的相似度 (用過按鍵精靈寫外掛的 就知道此功能)

匯入後可看看Useable Forms Count 的數量，如果是0 代表你匯入的DPF無法被DLP學習

此次匯入的表如下

手寫一些資料上去後，用Email寄出  看DLP是否可以偵測到............
哈哈 還真的可以

那麼，非制式化表格呢?  例如圓形表格     要玩就玩大一點…………

人體穴道圖!!!

很不幸的，DLP無法學習此圖

此功能感覺跟OCR 還是有點差距，而且無法學習太過怪異的表單

希望之後版本可針對此功能進行加強

整死人系列之一：DLP + SMG 郵件偵測放行整合

本地Mail Domain: @playboy.dean
外部Mail Domain: @mail-server.dean

陷阱:
1.偵測伺服器更改設定值不是存檔就沒事了，一定要他媽的重啟服務才會套用
2. Exchange server 內部郵件帳戶互寄，信就會像服貿協議一樣偷偷寄出，根本不會走           Smart  Host 轉送至SMG，搞得我一定要再弄一台郵件伺服器當外部
3. plug-in 設定檔中的 certificates-store.credential = 憑證名稱
    其憑證名稱一定要跟DLP 憑證設定中的名稱相同，例如：

DLP中設定憑證名稱叫：email-quarantine-certificates
在設定EmailQuarantineConnectApproved.properties等三個檔案的內容時，就要設成一樣






設定大綱：
1. SMG 安裝及設定
2. DLP Email偵測伺服器安裝及設定
3. 於DLP Enforce Server中安裝 Email Quarantine plug-in
4. 設定 Email Quarantine plug-in的設定檔
5. DLP 及SMG 的憑證交換
6. DLP Enforce 新增 放行、拒絕等自動化回應規則
7. DLP Enforce 新增 對高風險信件 新增標頭及整合SMG 的回應規則

架設DLP + Detection server，一定要有 Inline SMTP 角色



進入進階設定，改下列兩個值

設定完儲存後  記得重啟服務方能生效


接下來是SMG設定，首先設定DLP連線

以下的DLP 伺服器就是指偵測伺服器，因為我環境的Enforce 跟Detection為同一台，所以才設定Enforce 的IP


從組態中設定SMTP 的 入阜 和 離阜




Exchange Smart Host 設定方式










寫累了，剩下的請參考
http://www.wellife.com.tw/symantec/?p=6673