30-March-2023

Endpoint Protector – Produkt-Update

Server Version: 5.8.0.0
Windows Client: 5.9.1.7
Mac Client: 2.8.1.4
Linux Client: 2.1.0.3
Enforced Encryption: 2.0.3.3

Allgemein

Neue Funktionen

• Der Endpoint Protector Linux-Agent kann jetzt über den DEB-Paket-Installer installiert werden
• Der Endpoint Protector FAT Linux Agent kann jetzt mit einem einzigen DEB-Paket installiert werden
• Eine Security Belt-Funktionalität wurde implementiert, um zu verhindern, dass der Speicherplatz knapp wird und den Administrator auffordert, die notwendigen Maßnahmen zu ergreifen
• Die Endpoint Protector Systemwarnung für den Festplattenspeicher des Servers wurde erweitert, um epp-, root- und Boot-Partitionen zu überwachen
• Die Endpoint Protector Client-Installation wurde mit einem neuen Endpoint Protector-Tool optimiert, mit dem Sie installationsbezogene Aktionen durchführen, Ihre Linux-Distributionen identifizieren und die Endpoint Protector Release Notes einsehen können.
• Weitere Verbesserungen beinhalten die Reduzierung der DEB/RPM-Dateien im Endpoint Protector-Installationspaket.
• Hinzufügen einer neuen Funktion zu den File Shadows Repositories, die die Verwendung von AWS S3 Buckets für Windows und macOS ermöglicht
• Umgehung der Proxy-Einstellungen direkt während der Installationsphase mit dem Endpoint Protector Client Wizard Installer, der für Windows, Linux und macOS verfügbar ist
• Die neue DPI-Bypass-Funktionalität ermöglicht es, nicht identifizierbaren Datenverkehr durchzulassen, wird aber dennoch als Ereignis protokolliert
• Verwenden Sie die neu implementierte Update-Statistik-Warnung aus dem Modul Berichte und Analyse, um den Administrator zu benachrichtigen, wenn die Statistikseite aktualisiert wird.
• Sie können Sicherheitsupdates direkt aus dem LiveUpdate-Bereich in der Endpoint Protector Server-Benutzeroberfläche anwenden
• Endpoint Protector Server verwendet jetzt die Betriebssystemversion als Parameter, um einen Computer zu identifizieren
• Es wurde eine neue Funktion eingeführt, mit der Sie die Datenverschleierung in Protokolldateien verwalten können
• Unterstützung von TLS 1.3 auf neuen 5.8.0.0 OS-Images und höher

Verbesserungen

• Endpoint Protector kann jetzt Ereignisse verknüpfen, die die gleichen Fileshadow-Artefakte enthalten
• Der Abschnitt "View History Alerts" wurde erweitert, um mit dem in v5.7.0.0 eingeführten Content Aware Protection Report übereinzustimmen
• Um den Benutzer daran zu hindern, den Endpoint Protector Client unter macOS Ventura zu beenden, wurde die CoSoSys-Einstellung implementiert, die unter Allgemeine Einstellungen, Anmeldeelemente verfügbar ist
• Die Sicherheit des Standard-Passworts für Systemadministratoren wurde durch erhöhte Komplexität verstärkt
• Der Schwellenwert für Bedrohungen in der Einstellung Schwellenwerte ignorieren in der Systemkonfiguration, Abschnitt Systemeinstellungen wurde aktualisiert, um die Meldung von bis zu 100.000 Bedrohungen zu ermöglichen
• Das File Shadowing wurde unter macOS und Linux zuverlässiger gemacht, indem es sich zunächst auf die Betriebssystemfunktionen stützt, um die Dateien zu übertragen
• Die Logik der Alarmbenachrichtigung wurde verbessert, um Deadlocks des Endpoint Protector Servers zu vermeiden, wenn dieser mit voller Kapazität arbeitet
• Neues Protokoll im Abschnitt Berichte und Analysen, Admin-Aktionen für den Zugriff auf die Option "Weitere Lizenzen erhalten" hinzugefügt
• Alle Such- und Filterinstanzen auf dem Endpoint Protector Server wurden überarbeitet, um Elemente in alphabetischer und aufsteigender Reihenfolge anzuzeigen
• Deaktivierung der Schaltfläche Zurück in der Systemkonfiguration auf der Seite Systemadministratoren, um eine Kennwortänderung zu erzwingen
• Umbenennung des selbstsignierenden Zertifikats in Serverzertifikat im Abschnitt "Appliance" auf der Seite "Serverwartung
• Implementierung einer Backup-Lösung, um den Endpunkt innerhalb der Datenbank zu finden, falls der Server-Cache abgelaufen ist
• Sie können die OKTA/Azure SSO Administratoren, die vorher nur als Superadministratoren eingestellt waren, in andere spezifische Administratorrollen (Nur Lesen oder Berichte und Analyse) konfigurieren
• Verbesserter Workflow für die Passwortkomplexität der Systemsicherheit
• Aktualisierter Nachrichtentext für die Popup-Meldung der globalen kontextuellen Erkennung im Abschnitt Systemparameter der Endpoint Protector Server UI

Fehlerbehebungen

• Ein Problem wurde behoben, das es dem Endbenutzer ermöglichte, den Endpoint Protector Client gewaltsam zu löschen
• Verbessertes Verhalten des Endpoint Protector Servers, um Audioanfragen von veralteten Agenten zu ignorieren
• Verbesserte Erkennung von Prozessnamen unter Windows 11
• File Hash wird automatisch aktiviert und kann nur deaktiviert werden, wenn auf dem Endpoint Protector Server der Typ External Storage oder File Shadow Repository konfiguriert ist
• Es wurde ein Problem im Abschnitt Azure Active Directory behoben, bei dem nach der Auswahl eines API-Verbrauchers standardmäßig Gruppen überprüft wurden.
• Es wurde ein Problem behoben, bei dem die Einstellung Kennwortänderung bei der nächsten Anmeldung verlangen standardmäßig aktiviert war, wenn sich der Benutzer zum ersten Mal anmeldete
• Admin-Aktionen werden im Abschnitt "Globale Einstellungen" korrekt protokolliert, wenn der Server auf 100 % Speicherplatz steht
• Es wurde ein Problem behoben, bei dem hochgeladene Dateischatten in einigen Fällen nicht korrekt an externe Repositories gemeldet wurden
• Es wurden Fälle behoben, in denen die "Domain und URL" Denyliste des Content Aware Protection nicht blockiert wurde
• Es wurde ein Problem beim Hochladen von Dateischatten behoben, wenn Artefakte nicht sofort gesendet werden konnten
• Es wurde ein Problem behoben, bei dem die Funktion "Zeitmaschine blockieren" eine Kernel-Panik unter macOS Ventura auslöste
• Es wurde ein Problem behoben, das es Anwendungen von Drittanbietern wie Geek Uninstaller ermöglichte, den Endpoint Protector Client zu beenden, selbst wenn ein Deinstallationspasswort definiert und der Manipulationsmodus aktiviert war

Device Control

Neue Funktionen

• Beginnend mit Endpoint Protector Server Version 5.8.0.0 profitiert der Endpoint Protector Agent von einer zusätzlichen Sicherheitsmaßnahme, der Tamper Mode Einstellung, die unautorisierte Änderungen oder Beendigungen des Agenten verhindert und über Device Control auf der Seite Globale Einstellungen verfügbar ist
• Die Endpoint Protector Server Prozedur zur Behandlung von Anfragen für mehrere verbundene Geräte wurde verbessert
• Optimierung des Endpoint Protector-Prozesses für angeschlossene Geräte, um das Auftreten von Ereignissen zu reduzieren
• Die Debug Logging-Funktionalität wurde um neue Remote-Funktionen erweitert, um Protokolle abzurufen, den Endpoint Protector Client zu beenden, den Neustart des Benutzercomputers zu erzwingen, bestimmte Protokolltypen zu sammeln und die abgerufenen sensiblen Daten zu verschleiern.
  Wesentlich: Kunden mit einer benutzerdefinierten Nginx-Port-Separationskonfiguration (benutzerdefinierte Ports) müssen sich vor der Anwendung des Patches an den Support wenden, um weitere Unterstützung zu erhalten.

Bug Fixes

• Es wurde ein Problem behoben, das die Rechte von Endpoint Protector für NTFS-formatierte USB-Speichergeräte unter macOS beeinträchtigte

Content Aware Protection

Allgemein

• Implementierung neuer Funktionen für die Funktion "Drucken von Browsern blockieren", um den Inhalt von Dokumenten zu scannen, die über den Google Chrome-Webbrowser an Drucker gesendet werden
• Zusätzliche PII-Kategorien hinzugefügt - Telefonnummer für Mexiko, Reisepass/Indien
• Verwendung der neuen Einstellung "Bilder erkennen", um das Kopieren und Einfügen von Bildern in von Content Aware Protection überwachte Ausgangspunkte zu verhindern
• Einführung der Option zum Ausschluss von Richtlinienentitäten aus der Liste der Content Aware Protection- und eDiscovery-Richtlinienzuweisungen
• Erweiterung der Policy Exit Points im Modul Content Aware Protection um die Prozesse WinSCP/SCP/SFTP/SSH
• Hinzufügen einer neuen vordefinierten Richtlinie für die International Traffic in Arms Regulations (ITAR), die die Übertragung von personenbezogenen Daten an alle Ziele blockiert
• Einfacheres Filtern von Berichten im Abschnitt "Content Aware Report" mit der Dropdown-Liste für den Zieltyp
• Verwenden Sie die neue Option "Alle auswählen", um mehrere Dateitypen aus dem Abschnitt "Policy Denylists" in den Content Aware Protection Policies auszuwählen
• Kreditkarten, persönlich identifizierbare Informationen und andere Identifikatoren werden auf nachgestellte Trennzeichen geprüft
• Die Verwendung von Content Aware Protection-Richtlinien wurde erweitert, um Slack-Daten bei ausgewählter Textinspektion zu blockieren.
• Erweiterte Funktionen zur Erkennung von Quellcode in Verbindung mit Monitor Webmail zur Erkennung von Quellcode im E-Mail-Betreff und -Text in Webbrowsern

Fehlerbehebungen

• Ein Problem wurde behoben, das 7Z-Passwort-geschützte Dateien nicht richtig erkannte
• Korrekturen zur Reduzierung von Fehlalarmen für Gmail in Chrome hinzugefügt
• Content Aware Protection Policies funktionieren bei Verwendung von Steuernummern wie erwartet
• Es wurde ein Problem mit dem Content Aware Protection behoben, bei dem sensible Dateien, die aus nativen Anwendungen gedruckt werden, nicht korrekt gemeldet und blockiert wurden
• Es wurde ein Problem mit Adobe Creative Cloud behoben, das sich auf die Leistung und die Protokollerstellung auswirkte
• Verbesserte Erkennung des Prozessnamens von Content Aware Protection unter Windows 11
• Verbessertes Microsoft Detouring erhöht die Prozessausführung

Deep Packet Inspection

Allgemein

• Hinzufügen einer neuen Deep Packet Inspection-Option, die Änderungen an JSON-Mustern für das Parsen von Webmail-Domain-Details ermöglicht
• Verwendung der neu implementierten Funktion Deep Packet Inspection Auto-Refresh, die eine automatische Zertifikatserneuerung ermöglicht
• Verwenden Sie die neu implementierte Deep Packet Inspection-Einstellung "Detaillierte Slack-Berichterstattung", um weitere Informationen zur Slack-Nutzung auf der Seite "Content Aware Report" im Abschnitt "Berichte und Analysen" anzuzeigen.
• Verbesserungen für den neuen "stealthy" Deep Packet Inspection-Treiber

Fehlerbehebungen

• Es wurde ein Problem mit Deep Packet Inspection behoben, das bei der Verwendung von Microsoft Edge zu falsch positiven Ergebnissen führte.
• Es wurde ein Problem für Java-basierte Anwendungen behoben, bei dem Verbindungen vom Remote-Host während des Handshakes geschlossen wurden.

Enforced Encryption

Allgemein

• Die Einstellungen für die erzwungene Verschlüsselung aus dem Modul Erzwungene Verschlüsselung wurden in die Globalen Einstellungen verschoben, um mehr Flexibilität für Gruppen, Computer und Benutzer zu ermöglichen
• Wenden Sie die Einstellung "Erzwungene Verschlüsselung - Installation und Ausführung/Endpoint Protector Client Präsenz erforderlich" granular auf Gruppen-, Computer- und Benutzerebene im Abschnitt "Globale Einstellungen" des Moduls "Device Control" an.

Fehlerbehebungen

• Enforced Encryption entschlüsselt jetzt Dateien mit langen Dateinamen korrekt

Verbesserungen der Benutzerfreundlichkeit

Allgemein

• Die neueste Version von Endpoint Protector Server enthält jetzt Verbesserungen für die Benutzerfreundlichkeit des eDiscovery Moduls, das neu strukturiert wurde, um die Anzeige von detaillierten Protokollen und das schnelle Laden von großen Berichten zu ermöglichen
• Veraltete Funktionen wurden aus der Endpoint Protector Server Benutzeroberfläche entfernt
• Modifizierung der Benutzeroberfläche des Endpoint Protector Notifier, um sicherzustellen, dass der Verweis auf das temporäre Offline-Kennwort mit dem Endpoint Protector Client übereinstimmt
• Verbesserung der Benutzerfreundlichkeit der Endpoint Protector Server Ui mit neuen Select all Optionen für alle Tabellen und für die Definition von Dateitypen im Abschnitt File Denylists im Abschnitt Content Aware Protection.
• Konsolidierung der Endpoint Protector Server UI Berichte durch Entfernen der verknüpften Dateischatten aus den Abschnitten Dateiverfolgung und Content Aware Protection
• Aktualisierte Namen für die Dateischatten-Repository-Typen im Abschnitt Systemwartung der Endpoint Protector Server-Benutzeroberfläche
• Spezifische Fehlermeldungen auf der Webseite wurden der Endpoint Protector Server UI hinzugefügt
• Die Benutzeroberfläche von Endpoint Protector Server wurde im Abschnitt Berichte und Analyse, auf der Seite Statistik und im Abschnitt Alarme auf der Seite Content Aware Alerts verbessert.
• Die Endpoint Protector Server UI zeigt nun an, dass die Einstellung Bluetooth File Transfer deaktivieren, die auf der Seite Device Control, Global Settings verfügbar ist, nur unter Windows verwendet werden kann. Weitere Informationen sind auch für Content Aware Protection, Policy Denylists über die unterstützten Autocad Dateitypen verfügbar.

Bekannte Einschränkungen

Device Control

• In seltenen Fällen können vorhandene Dateien (vor allem Bilddateien) auf Wechsellaufwerken zusammen mit Dateien, die auf Wechsellaufwerke übertragen werden, beschattet werden.

Content Aware Protection

• Unter macOS und Linux werden keine Dateischatten an den Endpoint Protector Server gesendet, wenn die Option Content Aware Protection File Shadowing aktiviert ist. Die Einfügefunktion funktioniert unter Linux nur, wenn die Standard-Gnome-Sitzung Xorg ist. Bei anderen Gnome-Sitzungen ist die Einfügefunktionalität deaktiviert (z.B. Wayland).
• Aufgrund der jüngsten Änderungen in Google Suite Docs können bei der Verwendung ungesicherter Dokumente sensible Informationen nach außen dringen. um solche Fälle zu verhindern, empfiehlt CoSoSys die Verwendung einer Zwischenablage-Richtlinie für Webbrowser mit höherer Priorität
• Aufgrund der Beschaffenheit dynamischer Webseiten von Chrome-Webbrowsern unter Windows ist die Benutzeranpassung für das Drucken nicht verfügbar. User Remediation funktioniert weiterhin für unterstützte Browser unter macOS beim Drucken
• Auf Client-Versionen kleiner als macOS 2.8.1.4, Windows 5.9.1.7 und Linux 2.1.0.3 kann bei aktiviertem File Shadowing und konfigurierter maximaler Dateigröße das Download-Symbol für die entsprechenden Artefakte sichtbar sein und die Meldung "Datei nicht gefunden" im Berichtsabschnitt anzeigen. Um solche Fälle zu vermeiden, empfehlen wir Ihnen, Ihre Endpunkte mit den oben aufgeführten Agent-Versionen zu aktualisieren, die das Problem beheben