Guida di riferimento di Symantec Client Security
Guida di riferimento di Symantec Client Security Il software descritto nel presente manuale viene fornito in conformità a un contratto di licenza e può essere utilizzato esclusivamente ai sensi di tale accordo. Documentazione versione 3.0 Informazioni sul copyright Copyright 2005 Symantec Corporation. Tutti i diritti riservati. La documentazione tecnica messa a disposizione da Symantec Corporation è di proprietà esclusiva di Symantec Corporation. ESCLUSIONE DELLA GARANZIA. La documentazione tecnica viene fornita senza garanzia di alcun tipo. Symantec Corporation non fornisce alcuna garanzia sulla precisione o l'utilizzo di tali informazioni. L'uso della documentazione tecnica o delle informazioni in essa contenute sono a rischio dell'utente. La documentazione potrebbe contenere imprecisioni tecniche o di altro tipo, oppure errori tipografici. Symantec si riserva il diritto di apportare modifiche senza preavviso. Nessuna parte di questa pubblicazione può essere copiata senza l'esplicito consenso scritto di Symantec Corporation, 20330 Stevens Creek Blvd., Cupertino, CA 95014, USA. Marchi Symantec, il logo Symantec, LiveUpdate e Norton AntiVirus sono marchi registrati negli Stati Uniti di Symantec Corporation. Norton Internet Security, Norton Personal Firewall, Symantec AntiVirus, Symantec Client Firewall, Symantec Client Security e Symantec Security Response sono marchi di Symantec Corporation. Gli altri marchi e nomi di prodotti citati nel presente manuale possono essere marchi o marchi registrati appartenenti ai rispettivi proprietari. 10 9 8 7 6 5 4 3 2 1
Sommario Capitolo 1 Capitolo 2 Capitolo 3 Capitolo 4 Capitolo 5 Introduzione alla Guida di riferimento Contenuto della guida... 5 Protezione antivirus e server di e-mail Configurazione di Symantec Client Security sui server di e-mail... 7 Configurazione server stand-alone... 8 Configurazione client gestito... 9 Configurazione client non gestito... 9 Scansione di file su server Exchange... 10 Directory da includere... 11 File e directory da escludere... 11 Estensioni da escludere... 14 Directory da escludere in presenza di altri prodotti Symantec... 14 Strumento Reset ACL Informazioni sullo strumento Reset ACL... 15 Limitazione dell'accesso al registro tramite lo strumento Reset ACL... 15 Strumento Importer Informazioni sullo strumento Importer... 17 Funzionamento dello strumento Importer... 18 Posizione dello strumento Importer... 18 Importazione di indirizzi tramite lo strumento Importer... 18 Eliminazione di voci dalla cache degli indirizzi... 20 Utilizzo avanzato... 20 Visualizzazione della Guida durante l'utilizzo dello strumento Importer... 21 Problemi noti... 22 Servizi Windows Servizi di Symantec Client Security... 25 Servizi di Symantec System Center... 28
4 Sommario Capitolo 6 Capitolo 7 Concetti fondamentali di crittografia Panoramica... 31 Chiavi e algoritmi crittografici... 32 Hash unidirezionali e firme digitali... 33 Certificati digitali e PKI... 34 Il protocollo SSL... 37 Implementazione dei certificati Creazione di una rete di attendibilità tramite i certificati... 39 Autenticazione dei certificati da parte di client e server... 41 Percorsi e metodi di autenticazione... 43 Archivi di certificati... 43 Convenzioni di denominazione dei file... 45 Certificati di origine dei gruppi di server e chiavi private... 45 Certificati server e chiavi private... 46 Certificati dell'autorità di certificazione per l'accesso e chiavi private... 46 Richieste di firma di certificati... 46 Altre informazioni sui certificati... 47 Contatori per certificati e richieste CSR... 47 Formati di file dei certificati e delle chiavi... 47 Archiviazione della chiave principale di un gruppo di server... 48 Promozione di un server da secondario a primario... 48 Visualizzazione dei certificati... 48 Conservazione dei certificati e ora di emissione... 49 Installazione di un server primario e di un server secondario in ciascun gruppo di server... 49 Indice Soluzioni di servizio e supporto
Capitolo 1 Introduzione alla Guida di riferimento Questo capitolo comprende i seguenti argomenti: Contenuto della guida Questa Guida di riferimento contiene informazioni tecniche su Symantec Client Security, incluse le informazioni sugli strumenti contenuti nel CD di Symantec Client Security. Il documento è destinato agli amministratori di sistema e ad altri operatori responsabili dell'installazione e della gestione del prodotto in un ambiente di rete aziendale. Contenuto della guida Nella Tabella 1-1 sono elencati e descritti gli argomenti contenuti nella guida. Tabella 1-1 Argomento Argomenti della Guida di riferimento Descrizione Protezione antivirus e server di e-mail Strumento Reset ACL In questo capitolo vengono forniti esempi di implementazione della protezione antivirus sui server di e-mail. Molte delle impostazioni di configurazione di Symantec Client Security sono memorizzate nel registro di Windows. Reset ACL consente di limitare l'accesso alle impostazioni del registro sui sistemi operativi Windows XP/2000 per impedire agli utenti non autorizzati di apportare modifiche.
6 Introduzione alla Guida di riferimento Contenuto della guida Tabella 1-1 Argomento Argomenti della Guida di riferimento (Continua) Descrizione Strumento Importer Servizi Windows Voci del Registro eventi Concetti fondamentali di crittografia Implementazione dei certificati Lo strumento Importer è un'utilità della riga di comando da utilizzare specificatamente con Symantec System Center. Lo strumento Importer consente di importare nomi di computer e indirizzi IP in una cache degli indirizzi per permettere a Symantec Client Security di identificare i computer durante il processo di rilevazione nei casi in cui i nomi di computer non possono essere risolti tramite WINS/DNS. In questo capitolo sono elencati i nomi dei servizi eseguiti automaticamente da Symantec Client Security e Symantec System Center, disponibili nel Pannello di controllo dei servizi di Windows. In questo capitolo sono elencati gli eventi scritti da Symantec Client Security nel Registro eventi di Windows. Questo capitolo fornisce una panoramica sui concetti fondamentali di crittografia necessari per gli amministratori che non abbiano ben chiara la differenza tra una firma digitale e un certificato digitale. Tale conoscenza è fondamentale per comprendere l'uso che Symantec Client Security fa dei certificati. Questo capitolo fornisce una panoramica sull'implementazione dei certificati digitali da parte di Symantec Client Security allo scopo di proteggere le comunicazioni tra i server, i client e Symantec System Center tramite il protocollo SSL.
Capitolo 2 Protezione antivirus e server di e-mail Questo capitolo comprende i seguenti argomenti: Configurazione di Symantec Client Security sui server di e-mail Scansione di file su server Exchange Configurazione di Symantec Client Security sui server di e-mail Symantec Client Security è un software antivirus per file system e non è progettato per la gestione delle funzioni di server, come fanno invece prodotti sviluppati appositamente per la protezione di Microsoft Exchange, Domino e altri server gateway. Se viene consentita la scansione di alcune parti di un server di e-mail da parte di Symantec AntiVirus, si possono verificare comportamenti imprevisti, problemi e persino la perdita totale dei dati. Se si installa il software antivirus Symantec Client Security su un server di e-mail, è necessario prendere alcune precauzioni per prevenire eventuali danni ai dati contenuti nel server. È importante escludere alcuni file e directory dalla scansione. La modalità di esclusione dipende dai seguenti fattori: Installazione del server o del client Symantec Client Security sui server di e-mail Gestione dei server di e-mail da Symantec System Center Nota: per informazioni aggiornate sui file e le directory che è necessario escludere dalla scansione, consultare la Symantec Knowledge Base sul sito Web di Symantec.
8 Protezione antivirus e server di e-mail Configurazione di Symantec Client Security sui server di e-mail Il software client Symantec Client Security utilizza anche la funzione- Auto-Protect che controlla le porte standard della posta elettronica. Se installato e attivato su un server di e-mail, Auto-Protect può provocare errori o deterioramento delle prestazioni. È pertanto necessario disattivare tale funzione se si installa il software client su un server di e-mail. È possibile installare il software Symantec Client Security nelle seguenti configurazioni: Configurazione server stand-alone Configurazione client gestito Configurazione client non gestito Configurazione server stand-alone In una configurazione server stand-alone, il software server antivirus viene installato su un server di e-mail, quindi il server viene inserito in un gruppo di server a parte dedicato ai server di e-mail. Tale configurazione è preferibile perché genera il minor rischio di errore. Denominare il gruppo di server in modo che sia ben chiaro che contiene dei server di e-mail. Configurare le opzioni di Auto-Protect del file system, le opzioni di scansione pianificata e le opzioni di scansione manuale del gruppo di server in modo da escludere la struttura di directory del software server di e-mail e la cartella di elaborazione temporanea del server di e-mail. Il server antivirus Symantec Client Security non include opzioni di-auto-protect per la posta elettronica fornite dal client antivirus, pertanto non è necessario disattivare questa funzione. Configurare i server del gruppo di server per la ricezione degli aggiornamenti delle definizioni dei virus dal server primario attraverso VDTM (Virus Definition Transport Manager). Se è installato anche un prodotto antivirus Symantec per i server di e-mail, disattivare la pianificazione di LiveUpdate per quel prodotto. Le definizioni dei virus scaricabili sono identiche, pertanto LiveUpdate dovrebbe essere eseguito da una sola applicazione. Tutti i prodotti antivirus Symantec installati condividono le stesse definizioni dei virus.
Protezione antivirus e server di e-mail Configurazione di Symantec Client Security sui server di e-mail 9 Configurazione client gestito In una configurazione client gestito, il software client antivirus Symantec Client Security viene installato su un server Exchange, quindi il server viene inserito in un gruppo di client a parte dedicato ai server Exchange. Denominare il gruppo di client in modo che sia ben chiaro che contiene dei server Exchange. Configurare le opzioni di Auto-Protect del file system, le opzioni di scansione pianificata e le opzioni di scansione manuale del gruppo di client in modo da escludere la struttura di directory del software server di e-mail e la cartella di elaborazione temporanea del programma antivirus. Disattivare tutte le opzioni di posta elettronica di-auto-protect se installate e attivate. Avvertimento: se si configura Symantec Client Security come client su un server di e-mail, disattivare-auto-protect per la posta elettronica, se installato. Questa funzione controlla le porte standard della posta elettronica e, se installata su un server di e-mail, può provocare errori o deterioramento delle prestazioni. Configurare i client del gruppo di client per la ricezione degli aggiornamenti delle definizioni dei virus dal server di appartenenza attraverso VDTM. Se è installato anche un prodotto antivirus Symantec per i server di e-mail, disattivare la pianificazione di LiveUpdate per quel prodotto. Le definizioni dei virus scaricabili per Symantec Client Security e per i prodotti antivirus per i server di e-mail sono identiche, pertanto LiveUpdate dovrebbe essere eseguito da una sola applicazione. Tutti i prodotti antivirus Symantec installati condividono le stesse definizioni dei virus. Configurazione client non gestito Nella configurazione client non gestito, il software client antivirus Symantec Client Security è installato da CD e il file Setup.exe viene eseguito nella directory SAV. Se si utilizzano i file di installazione da un server Symantec Client Security installato o si utilizza lo strumento di installazione ClientRemote, il client prenderà automaticamente le informazioni di configurazione dal server di appartenenza selezionato e diventerà un client gestito. Configurare le opzioni di Auto-Protect del file system, le opzioni di scansione pianificata e le opzioni di scansione manuale del client in modo da escludere la struttura di directory del software server di e-mail e la cartella di elaborazione temporanea del programma antivirus. Disattivare tutte le opzioni di posta elettronica di-auto-protect se installate e attivate.
10 Protezione antivirus e server di e-mail Scansione di file su server Exchange Avvertimento: se si configura Symantec Client Security come client su un server di e-mail, disattivare-auto-protect per la posta elettronica, se installato. Questa funzione controlla le porte standard della posta elettronica e, se installata su un server di e-mail, può provocare errori o deterioramento delle prestazioni. Configurare il software client per l'utilizzo di LiveUpdate per prelevare gli aggiornamenti da Symantec con regolarità. Se è installato anche un prodotto antivirus Symantec per i server di e-mail, disattivare la pianificazione di LiveUpdate per quel prodotto e configurare Symantec Client Security per l'esecuzione di LiveUpdate. Le definizioni dei virus scaricabili per Symantec Client Security e per i prodotti antivirus per i server di e-mail sono identiche, pertanto LiveUpdate dovrebbe essere eseguito da una sola applicazione. Tutti i prodotti antivirus Symantec installati condividono le stesse definizioni dei virus. Scansione di file su server Exchange Symantec Client Security può soltanto proteggere il file system su un server Exchange, non il server Exchange stesso, per la cui protezione esistono prodotti quali Symantec Mail Security per Microsoft Exchange. Per prevenire l'insorgere di problemi relativi ai servizi Internet Mail Connector o Information Store (IS), è necessario escludere alcune directory dalla scansione con Symantec AntiVirus. Una scansione della struttura della directory di Exchange o della directory di elaborazione di Symantec Mail Security con Auto-Protect può dare luogo a: Falsi allarmi Comportamenti imprevisti del server Exchange Danni ai database di Exchange Per configurare correttamente la scansione dei file è necessario conoscere quanto segue: Directory da includere File e directory da escludere Estensioni da escludere Directory da escludere in presenza di altri prodotti Symantec Nota: per informazioni aggiornate sui file e le directory da escludere dalla scansione, consultare la Symantec Knowledge Base sul sito Web di Symantec.
Protezione antivirus e server di e-mail Scansione di file su server Exchange 11 Directory da includere I seguenti file e directory possono essere inclusi senza rischi nella scansione in tutte le versioni di Microsoft Exchange Server: Exchsrvr\Address Exchsrvr\Bin Exchsrvr\Conndata Exchsrvr\Exchweb Exchsrvr\Res Exchsrvr\Schema File e directory da escludere Eventuali directory aggiuntive non comprese nell'installazione standard di Exchange e non incluse nell'elenco dei file e directory da escludere possono essere incluse senza rischi. I file e le directory da escludere variano in base alla versione di Microsoft Exchange Server installata. Aggiungere tutti i file e le directory indicati agli elenchi di esclusione delle opzioni di Auto-Protect del file system, delle scansioni pianificate e delle scansioni manuali. Nota: il file Tmp.edb potrebbe trovarsi in più posizioni. Cercare il file ed escluderlo in tutte le posizioni trovate. È possibile escludere singoli file tramite il software client o server installato sul server Exchange, mentre non è possibile utilizzando Symantec System Center con configurazioni di gruppi di server e client. Per tutte e tre le configurazioni è quindi necessario escludere il file Tmp.edb tramite l'interfaccia utente di Symantec AntiVirus sul server Exchange.
12 Protezione antivirus e server di e-mail Scansione di file su server Exchange Microsoft Exchange Server 5.5 Nella Tabella 2-1 sono elencati i file e le directory che è necessario escludere per Microsoft Exchange Server 5.5. Tabella 2-1 File da escludere per Microsoft Exchange Server 5.5 File e directory Database di Exchange File MTA di Exchange File temporanei di Exchange File di registro aggiuntivi File di Site Replication Service (SRS) Posta in arrivo per Internet Mail Connector File di sistema di Microsoft Internet Information Service (IIS) Posta in uscita per Internet Mail Connector Percorso predefinito Percorso predefinito: Exchsrvr\Mdbdata Percorso predefinito: Exchsrvr\Mtadata Tmp.edb Nome e percorso predefinito: Exchsrvr\server_name.log Percorso predefinito: Exchsrvr\Srsdata Percorso predefinito: Exchsrvr\IMCDATA <Unità>:\Winnt\System32\Inetsrv Exchsrvr\IMCDATA\OUT director Microsoft Exchange Server 2000 Nella Tabella 2-2 sono elencati i file e le directory che è necessario escludere per Microsoft Exchange Server 2000. Tabella 2-2 File da escludere per Microsoft Exchange Server 2000 File e directory File system installabile (IFS) Database di Exchange File MTA di Exchange File temporanei di Exchange File di registro aggiuntivi Directory server virtuale Percorso predefinito Percorso predefinito: unità M Percorso predefinito: Exchsrvr\Mdbdata Percorso predefinito: Exchsrvr\Mtadata Tmp.edb Percorso predefinito: Exchsrvr\nome_server.log Percorso predefinito: Exchsrvr\Mailroot
Protezione antivirus e server di e-mail Scansione di file su server Exchange 13 Tabella 2-2 File e directory File da escludere per Microsoft Exchange Server 2000 (Continua) Percorso predefinito File di Site Replication Service (SRS) File di sistema di Internet Information Service (IIS) Percorso predefinito: Exchsrvr\Srsdata <Unità>:\Winnt\System32\Inetsrv Microsoft Exchange Server 2003 Nella Tabella 2-3 sono elencati i file e le directory che è necessario escludere per Microsoft Exchange Server 2003. Tabella 2-3 File da escludere per Microsoft Exchange Server 2003 File e directory Database di Exchange File MTA di Exchange File temporanei di Exchange File di registro aggiuntivi Directory server virtuale File di Site Replication Service (SRS) File di sistema di Internet Information Service (IIS) Directory di lavoro per i file di conversione messaggi.tmp La directory temporanea utilizzata con gli strumenti di manutenzione non in linea quali Eeseutil.exe La directory contenente il file del punto di arresto (.chk) Percorso predefinito Percorso predefinito: Exchsrvr\Mdbdata Percorso predefinito: Exchsrvr\Mtadata Tmp.edb Percorso predefinito: Exchsrvr\nome_server.log Percorso predefinito: Exchsrvr\Mailroot Percorso predefinito: Exchsrvr\Srsdata Percorso predefinito: Exchsrvr\Srsdata Percorso predefinito: Exchsrvr\Mdbdata È possibile modificare il percorso di questa directory. Per ulteriori informazioni consultare la Microsoft Knowledge Base. Per impostazione predefinita, è la directory da cui viene eseguito il file eseguibile; è tuttavia possibile specificare da dove si esegue il file all'avvio dello strumento. Per informazioni sulla posizione di questo file consultare la Microsoft Knowledge Base.
14 Protezione antivirus e server di e-mail Scansione di file su server Exchange Estensioni da escludere Poiché alcuni file non vengono sempre salvati nel percorso previsto, è necessario escludere le seguenti estensioni di file per tutte le versioni di Microsoft Exchange Server:.log.edb Directory da escludere in presenza di altri prodotti Symantec Per il funzionamento del prodotto è essenziale escludere le directory indicate di seguito. Ciascun prodotto utilizza la propria cartella temp per le elaborazioni. Se tali cartelle temporanee non vengono escluse dalla scansione del file system, i programmi antivirus potrebbero entrare in conflitto e provocare comportamenti imprevisti e la possibile perdita dei dati. Norton AntiVirus 2.x per Microsoft Exchange Escludere le seguenti directory quando si utilizza questo prodotto: <unità>:\programmi\navmse\temp <unità>:\programmi\navmse\quarantine <unità>:\programmi\navmse\backup Symantec AntiVirus/Filtering 3.0 per Microsoft Exchange Escludere le seguenti directory quando si utilizza questo prodotto: <unità>:\programmi\symantec\savfmse\temp <unità>:\programmi\symantec\savfmse\quarantine Symantec Mail Security 4.0 per Microsoft Exchange Escludere le seguenti directory quando si utilizza questo prodotto: <unità>:\programmi\symantec\smsmse\4.0\server\temp <unità>:\programmi\symantec\smsmse\4.0\server\quarantine Symantec Mail Security 4.5 per Microsoft Exchange Escludere le seguenti directory quando si utilizza questo prodotto: <unità>:\programmi\symantec\smsmse\4.5\server\temp <unità>:\programmi\symantec\smsmse\4.5\server\quarantine
Capitolo 3 Strumento Reset ACL Questo capitolo comprende i seguenti argomenti: Informazioni sullo strumento Reset ACL Limitazione dell'accesso al registro tramite lo strumento Reset ACL Informazioni sullo strumento Reset ACL Lo strumento Reset ACL (Resetacl.exe) consente di limitare l'accesso alla chiave di registro di Symantec Client Security nei computer che eseguono Windows XP/2000. Per impostazione predefinita, questi computer consentono a tutti gli utenti di modificare i dati memorizzati nel registro di configurazione per qualsiasi applicazione, incluso Symantec Client Security. Reset ACL consente di rimuovere le autorizzazioni che concedono a tutti gli utenti l'accesso completo alle seguenti chiavi e sottochiavi di registro di Symantec Client Security: HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion Limitazione dell'accesso al registro tramite lo strumento Reset ACL Lo strumento Reset ACL consente di limitare l'accesso al registro. Per limitare l'accesso al registro tramite lo strumento Reset ACL 1 Distribuire Resetacl.exe, disponibile nella cartella Strumenti del CD di Symantec Client Security, sui computer non protetti. 2 Eseguire Resetacl.exe su ciascun computer.
16 Strumento Reset ACL Limitazione dell'accesso al registro tramite lo strumento Reset ACL Dopo l'esecuzione di Resetacl.exe, solo gli utenti con diritti di amministratore potranno modificare i valori delle chiavi di registro. Anche se lo strumento Reset ACL consente di migliorare la protezione per Symantec Client Security su questi computer, è necessario che gli amministratori prendano in considerazione alcuni vantaggi e svantaggi. Oltre a non disporre dell'accesso al registro, gli utenti senza diritti di amministratore non potranno effettuare le seguenti operazioni: Avviare o interrompere il servizio di Symantec Client Security. Eseguire LiveUpdate. Pianificare l'esecuzione di LiveUpdate. Configurare Symantec Client Security. Ad esempio, gli utenti non potranno impostare Auto-Protect o le opzioni di scansione della posta elettronica. Le opzioni associate a queste operazioni non sono disponibili nell'interfaccia di Symantec Client Security. Inoltre, l'utente può modificare le opzioni di scansione, ma le modifiche non vengono salvate nel registro né vengono elaborate. L'utente può inoltre salvare manualmente le opzioni di scansione come impostazioni predefinite, che però non vengono salvate nel registro.
Capitolo 4 Strumento Importer Questo capitolo comprende i seguenti argomenti: Informazioni sullo strumento Importer Importazione di indirizzi tramite lo strumento Importer Eliminazione di voci dalla cache degli indirizzi Utilizzo avanzato Visualizzazione della Guida durante l'utilizzo dello strumento Importer Informazioni sullo strumento Importer Lo strumento Importer (Importer.exe) identifica i computer di un ambiente non WINS per la console di Symantec System Center. Ciò consente a Symantec Client Security di individuare i computer durante il processo di rilevazione della rete quando non è possibile trovarne i nomi utilizzando WINS/DNS. Lo strumento Importer è una utilità della riga di comando. Oltre a importare le coppie di nomi e indirizzi IP dei computer presenti in un ambiente non WINS, è possibile aggiungere al file di testo qualsiasi altra coppia di nome computer e indirizzo IP, in modo che in seguito il computer possa essere rilevato regolarmente. È possibile, ad esempio, aggiungere il nome e l'indirizzo di un computer che non è stato rilevato nel modo corretto per una qualsiasi ragione. Nota: nella maggior parte dei casi non dovrebbe essere necessario utilizzare lo strumento Importer. La funzione Trova computer di Symantec System Center consente in genere di trovare e identificare i server Symantec Client Security presenti in rete tramite la memorizzazione nella cache degli indirizzi e il normale processo di rilevazione.
18 Strumento Importer Importazione di indirizzi tramite lo strumento Importer Funzionamento dello strumento Importer Lo strumento Importer viene eseguito su qualsiasi computer in cui sia installato Symantec System Center. Importer consente di importare coppie di nomi di computer e indirizzi IP da un file di testo nelle voci di registro della cache degli indirizzi utilizzata da Symantec System Center. Dopo l'importazione delle coppie di nomi di computer e indirizzi, vengono create le relative voci nella seguente chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\ CurrentVersion\AddressCache Dopo l'importazione del file di dati, è necessario eseguire una rilevazione locale o una rilevazione approfondita. La rilevazione ricerca gli indirizzi dei computer. I computer che eseguono il server Symantec Client Security vengono aggiunti al servizio Discovery in memoria; vengono inoltre create le relative voci complete nel registro. In seguito, ogni volta che si eseguirà il servizio Discovery i computer potranno essere rilevati correttamente. Posizione dello strumento Importer Lo strumento Importer è costituito da un singolo file denominato Importer.exe, che si trova nel CD di Symantec Client Security all'interno della cartella Strumenti. È possibile copiare il file Importer.exe in qualsiasi cartella di un computer in cui sia installato Symantec System Center ed eseguirlo. Importazione di indirizzi tramite lo strumento Importer Per importare gli indirizzi nella cache degli indirizzi è necessario aver eseguito l'accesso con i diritti di amministratore in modo da disporre dell'accesso in scrittura a HKEY_LOCAL_MACHINE. Importazione degli indirizzi tramite lo strumento Importer Per importare gli indirizzi utilizzando lo strumento Importer, effettuare le seguenti operazioni: Creare un file di dati contenente coppie di nomi di computer e indirizzi IP. Eseguire lo strumento Importer. Nota: lo strumento Importer deve essere eseguito dal prompt dei comandi. Eseguire il servizio Discovery.
Strumento Importer Importazione di indirizzi tramite lo strumento Importer 19 Per creare un file di dati 1 Creare un nuovo file con un editor di testo, ad esempio Blocco note. 2 Digitare i dati nel seguente formato: <nome server><virgola><indirizzo IP><avanzamento riga> Fare attenzione a non immettere indirizzi IP dei server errati. Non viene infatti eseguita alcuna convalida per determinare se a due server è stato assegnato lo stesso indirizzo IP nel file di testo di Importer. 3 Salvare il file. Ad esempio, un file di dati denominato Computer.txt potrebbe avere il seguente aspetto: Computer 1, 192.168.3.121 Computer 2, 192.168.3.122 Computer 3, 192.168.3.123 Computer 4, 192.168.3.124 Computer 5, 192.168.3.125 Computer 6, 192.168.3.126 Nota: è possibile digitare un punto e virgola o due punti a sinistra di un indirizzo per impostarlo come commento. Se ad esempio un segmento della rete è inattivo, è possibile impostare come commenti gli indirizzi della subnet associata. Per eseguire lo strumento Importer 1 Al prompt della riga di comando digitare: <percorso> importer <nome file> dove <percorso> è il percorso completo dello strumento Importer e <nome file> è il percorso completo del file da importare, ad esempio C:\Computer\Computer.txt. 2 Premere Invio.
20 Strumento Importer Eliminazione di voci dalla cache degli indirizzi Eliminazione di voci dalla cache degli indirizzi I dati importati dal file di dati non sovrascrivono le informazioni già memorizzate nella cache degli indirizzi. Se si desidera sovrascrivere dei dati, ad esempio un indirizzo di computer errato, cancellare la cache prima di eseguire Importer. Nota: dopo aver importato il contenuto del file di dati, non fare clic su Azzera cache. Con questa operazione, viene eliminato il contenuto della cache degli indirizzi, insieme ai dati importati. Utilizzo avanzato Per eliminare voci dalla cache degli indirizzi 1 Nella console di Symantec System Center, nel menu Strumenti fare clic su Servizio Discovery. 2 In Informazioni della cache, fare clic su Azzera cache. Una volta eseguito il servizio Discovery dopo l'importazione dei dati, i dati corretti saranno disponibili per le sessioni di rilevazione successive. La riga di comando accetta quattro parametri: Percorso del file da importare Primo delimitatore Secondo delimitatore Ordine (1 = nome computer/indirizzo IP, 2 = indirizzo IP/nome computer; l'impostazione predefinita è 1) Nota: il secondo delimitatore deve essere un singolo carattere. Ad esempio, non è possibile utilizzare la "e" commerciale in quanto sarebbe necessario immettere: "&" Un file di importazione denominato Computer.txt, in C:\COMPUTER, potrebbe presentare la seguente forma: 192.168.3.121/Server 1 192.168.3.122/Server 2 192.168.3.123/Server 3
Strumento Importer Visualizzazione della Guida durante l'utilizzo dello strumento Importer 21 Nell'esempio precedente viene utilizzato l'ordine indirizzo IP/nome computer (2). Il primo delimitatore è una barra (/) e il secondo è un avanzamento riga. La sintassi della riga di comando corrispondente è la seguente: importer C:\COMPUTER\Computer.txt / LF 2 Dopo l'importazione delle coppie di nomi di computer e indirizzi IP, vengono create le relative voci nella seguente chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\ CurrentVersion\AddressCache Dopo l'importazione del file di dati, è necessario eseguire una rilevazione locale o una rilevazione approfondita. La rilevazione ricerca gli indirizzi IP dei computer. I computer che eseguono Symantec Client Security vengono aggiunti al servizio Discovery in memoria; vengono inoltre create le relative voci complete nel registro. In seguito, ogni volta che si eseguirà il servizio Discovery i computer potranno essere rilevati correttamente. Visualizzazione della Guida durante l'utilizzo dello strumento Importer È possibile accedere alla Guida relativa al comando Importer e alle informazioni sulla sintassi. Per visualizzare la Guida durante l'utilizzo dello strumento Importer 1 Nella riga di comando digitare: Importer 2 Premere Invio. Vengono visualizzate le seguenti informazioni: Sintassi: IMPORTER <nome file> <nome file> : Percorso completo del file di importazione Formato di file : <nome server><virgola><indirizzo ip><avanzamento riga> File di esempio: Server 1,192.168.3.121 Server 2,192.168.3.122 Server 3,192.168.3.123 Per istruzioni sulla sintassi avanzata premere "a" Quando si preme "a" per la sintassi avanzata, vengono visualizzate le seguenti informazioni: Sintassi avanzata: IMPORTER <nome file> <delimitatore 1> <delimitatore 2> <ordine>
22 Strumento Importer Visualizzazione della Guida durante l'utilizzo dello strumento Importer <nome file> : Percorso completo del file di importazione <delimitatore 1> : Separatore tra 1a e 2a voce nella coppia <delimitatore 2> : Separatore tra le coppie NOTA: per i delimitatori ritorno a capo/avanzamento riga utilizzare LF Per i delimitatori spazio utilizzare SP Per la virgola utilizzare, <ordine> : Ordine delle coppie nome computer/indirizzo ip 1 = Ordine nome computer/indirizzo ip 2 = Ordine indirizzo ip/nome computer ESEMPIO - Contenuto del file: 192.168.3.121/Server 1 192.168.3.122/Server 2 192.168.3.123/Server 3 Riga di comando : IMPORTER C:\MyFolder\MyFile.txt / LF 2 Problemi noti L'esecuzione di Importer dipende dalla chiave HKLM\SOFTWARE\Intel\ LANDesk\VirusProtect6\CurrentVersion\AddressCache utilizzata da Symantec System Center. Se questa chiave non è presente, viene visualizzato un messaggio di errore. Importer modifica la chiave AddressCache in HKLM, in modo che vengano richiesti agli utenti i diritti di amministratore locale. Lo strumento Importer semplifica il processo di rilevazione di Symantec System Center. Importer determina se Symantec System Center è presente nel computer locale. In caso contrario, viene visualizzato un messaggio di errore. Dopo l'importazione, le coppie di nomi di computer/indirizzi IP inserite nel registro non sono complete: viene visualizzato solo il computer in corrispondenza dei valori dword Address_0 e Protocol. Per completare il processo è necessario eseguire una rilevazione utilizzando il pulsante Esegui rilevazione della finestra di dialogo Proprietà - Servizio Discovery. Non fare clic sull'opzione Azzera cache nella finestra di dialogo Proprietà - Servizio Discovery. Con questa operazione, viene eliminato il contenuto della cache degli indirizzi, insieme ai dati importati. Importer non consente di individuare i computer durante il processo di installazione.
Strumento Importer Visualizzazione della Guida durante l'utilizzo dello strumento Importer 23 Nota: quando si esegue l'installazione push del client e del server Symantec Client Security su computer remoti, nella finestra di dialogo Seleziona computer viene visualizzata l'opzione Importa. Questa opzione Importa ha una funzione diversa dall'opzione Importa delle schermate di installazione di ClientRemote e di Distribuzione AV Server. Grazie a una funzione progettata appositamente, Importer non sovrascrive gli indirizzi IP esistenti nella cache degli indirizzi. Tuttavia, è possibile che la cache contenga un indirizzo IP errato. In questo caso, Importer non è in grado di correggerlo.
Capitolo 5 Servizi Windows Questo capitolo comprende i seguenti argomenti: Servizi di Symantec Client Security Servizi di Symantec System Center Servizi di Symantec Client Security Nella Tabella 5-1 sono elencati e descritti i servizi server di Symantec Client Security. Gli stessi servizi sono visualizzati nel Pannello di controllo dei servizi di Windows. Tabella 5-1 Servizi server di Symantec Client Security Nome servizio Nome file binario Descrizione Applicazione client comune Applicazione di gestione eventi client comune Applicazione di gestione impostazioni client comune ccapp.exe CcEvtMgr.exe CcSetMgr.exe Applicazione client primaria utilizzata anche da Auto-Protect per i file system e la posta elettronica. Servizio utilizzato per la scansione dei messaggi POP3. Servizio utilizzato per la memorizzazione delle impostazioni crittografate. Defwatch Defwatch.exe Servizio che controlla l'arrivo di nuove definizioni dei virus. Avvia una scansione dei file in quarantena alla ricezione delle nuove definizioni dei virus.
26 Servizi Windows Servizi di Symantec Client Security Tabella 5-1 Servizi server di Symantec Client Security (Continua) Nome servizio Nome file binario Descrizione Protezione contro le manomissioni SPBBCSvc.exe Servizio che protegge i processi Symantec. Intel PDS Pds.exe (Ping Discovery Service) Consente l'esecuzione del servizio Discovery di Symantec Client Security sul computer in uso. Le applicazioni vengono registrate nel servizio con un ID APP e un pacchetto pong da restituire in risposta alle richieste ping. Symantec AntiVirus Server Icona protezione antivirus nella barra delle applicazioni Rtvscan.exe VPtray.exe Servizio principale di Symantec Client Security. La maggior parte delle operazioni relative al server Symantec Client Security viene eseguita da questo servizio. Servizio che fornisce l'icona nella barra delle applicazioni. Nella Tabella 5-2 sono elencati e descritti i servizi client di Symantec Client Security. Gli stessi servizi sono visualizzati nel Pannello di controllo dei servizi di Windows. Tabella 5-2 Servizi client di Symantec Client Security Nome servizio Nome file binario Descrizione Applicazione client comune Applicazione di gestione eventi client comune Servizio proxy di rete client comune ccapp.exe CcEvtMgr.exe ccproxy.exe Applicazione client primaria utilizzata anche da Auto-Protect per i file system e la posta elettronica. Servizio utilizzato per la scansione dei messaggi POP3. Servizio proxy di rete utilizzato per la scansione del firewall e della posta elettronica.
Servizi Windows Servizi di Symantec Client Security 27 Tabella 5-2 Servizi client di Symantec Client Security (Continua) Nome servizio Nome file binario Descrizione Servizio di password client comune Applicazione di gestione impostazioni client comune CcPwdSvc.exe CcSetMgr.exe Servizio utilizzato per la scansione dei messaggi POP3 di servizio password client. Servizio utilizzato per la memorizzazione delle impostazioni crittografate. Configurazione guidata CfgWzSvc.exe Questo servizio compare tra i processi nel Task Manager di Windows quando una installazione non riesce. In genere il servizio viene eliminato al termine della configurazione guidata di Symantec Client Security. Defwatch Defwatch.exe Servizio che controlla l'arrivo di nuove definizioni dei virus. Avvia una scansione dei file in quarantena alla ricezione delle nuove definizioni dei virus. Protezione contro le manomissioni SPBBCSvc.exe Servizio che protegge i processi Symantec. Servizio IS ISSVC.exe Servizio che utilizza il firewall. Symantec Integrator nmain.exe Servizio che integra vari componenti. Symantec AntiVirus Client Servizio di roaming del client Driver di rete Symantec client comune Tecnologia Secure Port del firewall di Symantec Client Security Rtvscan.exe Savroam.exe SNDSrvc.exe SymsPort.exe Uno dei principali servizi di scansione antivirus di Symantec Client Security. La maggior parte delle operazioni relative al client Symantec Client Security viene eseguita da questo servizio. Fornisce i dati dei server di connessione remota ai client remoti. Driver di rete Symantec. Impedisce ad altre applicazioni di utilizzare le porte bloccate.
28 Servizi Windows Servizi di Symantec System Center Tabella 5-2 Servizi client di Symantec Client Security (Continua) Nome servizio Nome file binario Descrizione Protezione antivirus sui sistemi operativi a 32-bit Icona protezione antivirus nella barra delle applicazioni VPC32.exe VPtray.exe Uno dei principali servizi di Symantec Client Security. Servizio che fornisce l'icona nella barra delle applicazioni. Servizi di Symantec System Center Nella Tabella 5-3 sono elencati e descritti i servizi di Symantec System Center. Gli stessi servizi sono visualizzati nel Pannello di controllo dei servizi di Windows. Tabella 5-3 Servizi di Symantec System Center Nome servizio Nome file binario Descrizione Servizio Discovery di Symantec System Center Nsctop.exe Servizio di rilevazione utilizzato per individuare i server Symantec Client Security sulla rete. Il servizio Discovery aggiunge oggetti alla console. Nella Tabella 5-4 sono elencati e descritti i servizi di Alert Management System 2. Gli stessi servizi sono visualizzati nel Pannello di controllo dei servizi di Windows. Tabella 5-4 Servizi di Alert Management System 2 Nome servizio Nome file binario Descrizione Intel Alert Handler Hndlrsvc.exe Servizio di gestione degli avvisi AMS 2. Fornisce azioni di avviso quali finestre di messaggio, messaggi di cercapersone, e-mail e così via.
Servizi Windows Servizi di Symantec System Center 29 Tabella 5-4 Servizi di Alert Management System 2 (Continua) Nome servizio Nome file binario Descrizione Intel Alert Originator Iao.exe Servizio di creazione degli avvisi AMS 2. Consente la ricezione degli avvisi sul computer. Gli avvisi possono essere ricevuti sia dal computer locale (nel caso di un server primario) sia da un computer remoto (nel caso di client non gestiti che utilizzano un server AMS 2 centralizzato). Intel File Transfer Xfr.exe Servizio di trasferimento file. Fornisce ad AMS 2 le funzionalità di trasferimento dei file. Intel PDS Pds.exe (Ping Discovery Service) Consente l'esecuzione del servizio Discovery di Symantec Client Security sul computer in uso. Le applicazioni vengono registrate nel servizio con un ID APP e un pacchetto pong da restituire in risposta alle richieste ping.
Capitolo 6 Concetti fondamentali di crittografia Questo capitolo comprende i seguenti argomenti: Panoramica Chiavi e algoritmi crittografici Hash unidirezionali e firme digitali Certificati digitali e PKI Il protocollo SSL Panoramica Per le comunicazioni Symantec Client Security utilizza il protocollo SSL (Secure Sockets Layer), creato da Netscape allo scopo di garantire la sicurezza delle transazioni tra server e client Web. La maggior parte delle transazioni on-line che comportano lo spostamento di somme di denaro via Internet è protetta mediante il protocollo SSL. Il protocollo SSL fa uso di PKI (Public Key Infrastructure), certificati digitali e crittografia. Per scopi amministrativi può essere necessario comprendere in che modo il protocollo SSL utilizza i certificati, ad esempio perché potrebbe rendersi necessario gestire o creare dei certificati. Per capire cosa sia un certificato e come venga utilizzato è necessario familiarizzare con i concetti fondamentali della crittografia utilizzata dal protocollo SSL.
32 Concetti fondamentali di crittografia Chiavi e algoritmi crittografici Chiavi e algoritmi crittografici Nella sua forma più semplice, una chiave crittografica è un codice segreto utilizzato da un algoritmo crittografico (ossia una sequenza di istruzioni) per crittografare e decrittografare i messaggi. L'algoritmo può consistere semplicemente nella sostituzione di una lettera dell'alfabeto con un'altra, in questo caso la chiave per risolvere l'algoritmo è sapere quale lettera sostituisce l'altra. Ad esempio è possibile sostituire la lettera A con la B, la lettera B con la C e così via. Chiavi e algoritmi più complicati dividono il messaggio in una serie di gruppi, ciascuno contenente lo stesso numero di lettere. L'algoritmo assegna a ogni gruppo una chiave univoca che riorganizza la sequenza numerata. Ad esempio, la prima lettera del primo gruppo viene spostata in luogo della terza lettera, la seconda in luogo della prima e la terza lettera viene spostata in luogo della seconda. Per decodificare il messaggio è necessario conoscere l'algoritmo e la chiave di ciascun gruppo. Questi esempi illustrano un algoritmo e una chiave simmetrici, in cui la stessa chiave è utilizzata per crittografare e decrittografare i messaggi. Per motivi di sicurezza questa chiave deve essere tenuta segreta e nascosta, e va comunicata unicamente al destinatario. In crittografia si fa ricorso anche a chiavi e algoritmi asimmetrici, in cui si utilizzano due chiavi diverse per crittografare e decrittografare i messaggi. Una delle due chiavi è definita "chiave privata" e va tenuta segreta, mentre l'altra è definita "chiave pubblica" e deve essere distribuita a chiunque intenda inviare o leggere messaggi crittografati. La chiave privata decodifica i messaggi crittografati con la chiave pubblica e la chiave pubblica decodifica i messaggi crittografati con la chiave privata. Una chiave pubblica e una privata costituiscono una "coppia di chiavi". Distribuendo la propria chiave pubblica a tutti i destinatari o salvandola dove tutti possano reperirla è possibile crittografare un messaggio e inviarlo a tutti i propri destinatari, che potranno ottenere la chiave pubblica e decrittografare il messaggio. La provenienza del messaggio è chiaramente identificabile perché soltanto la chiave privata dell'utente può crittografare il messaggio e soltanto l'utente la conosce. Se qualcuno desidera inviare un messaggio che solo l'utente sia in grado di leggere, può farlo crittografando il messaggio con la chiave pubblica dell'utente, che sarà l'unico a poterlo decrittografare dal momento che nessun altro conosce la sua chiave privata. Se una terza persona dovesse intercettare il messaggio, non sarebbe comunque in grado di leggerlo senza conoscere la chiave privata dell'utente.
Concetti fondamentali di crittografia Hash unidirezionali e firme digitali 33 Sono questi i concetti fondamentali necessari a comprendere il funzionamento del protocollo SSL. Tra i moderni algoritmi a chiave simmetrica figurano Triple-DES, RC5 e AES (Advanced Encryption Standard), l'attuale standard del NIST (National Institute of Standards and Technology). RSA, ECC ed El Gamal sono tra le moderne implementazioni di algoritmi a chiave asimmetrica. Hash unidirezionali e firme digitali Un hash unidirezionale è un algoritmo che dai contenuti di un file di lunghezza variabile (messaggio) ricava un valore-di lunghezza fissa, che viene definito in almeno tre modi: hash, valore hash e message digest. Modificando anche un solo bit nel file ed eseguendo nuovamente l'algoritmo di hashing sul file, il secondo valore risulta differente dal primo. Si supponga ad esempio di creare un file non crittografato contenente il nome di un-algoritmo di hashing unidirezionale, generare un valore hash per il file e inviare il file e il valore hash a qualcuno. Al momento della ricezione il destinatario legge il file, annota il nome dell'algoritmo di hashing, utilizza l'algoritmo per generare un valore hash per lo stesso file e mette a confronto i valori. Se i valori coincidono il destinatario saprà con certezza che il contenuto del file non è stato alterato o manomesso in alcun modo. Se i valori non coincidono il destinatario saprà che il contenuto del file è stato alterato e giudicherà inattendibili le informazioni in esso contenute. Per far conoscere con certezza al destinatario la provenienza del messaggio non crittografato è possibile crittografare il valore hash con la propria chiave privata. Alla ricezione, il destinatario decrittografa il valore hash utilizzando la chiave pubblica dell'utente. Se la decrittografia è corretta, il destinatario saprà con certezza che il messaggio proviene dall'utente dal momento che questi è l'unico a conoscere la propria chiave privata. Per verificare l'integrità del file, il destinatario potrà ricalcolare il valore hash e confrontare il risultato con il valore inviato nel messaggio dall'utente. Un valore hash crittografato con una chiave privata è detto firma digitale. La parola "digitale" implica l'uso di codice binario, mentre la parola "firma" richiama l'unicità di un'impronta digitale, che consente di identificare con certezza la persona che ha crittografato il valore hash. L'azione di crittografare un valore hash con una chiave privata viene definita come apposizione della firma. Sono questi i concetti fondamentali necessari a comprendere l'utilizzo dei certificati digitali da parte del protocollo SSL. MD4, MD5 e SHA sono tra le moderne implementazioni degli algoritmi di hashing unidirezionali.
34 Concetti fondamentali di crittografia Certificati digitali e PKI Certificati digitali e PKI Un certificato digitale è un file che contiene: Una chiave pubblica Informazioni di identificazione sul presunto proprietario del certificato Un hash unidirezionale crittografato con la chiave privata del presunto proprietario (firma digitale) Altre informazioni, quali il nome dell'algoritmo di hashing unidirezionale e il livello di crittografia asimmetrica. Le autorità di certificazione (CA, Certificate Authority) principali forniscono certificati digitali a chi faccia richiesta e acquisti dei certificati. Le autorità di certificazione principali possono creare e firmare certificati che consentano anche ad altre autorità di certificazione di creare certificati, formando in tal modo un gerarchia di autorità di certificazione. L'autorità di certificazione principale è sempre al vertice della gerarchia e firma il proprio certificato, detto "certificato autofirmato". Due tra le autorità di certificazione più diffuse in Internet sono VeriSign ed Entrust. La Figura 6-1 illustra il tipo di certificato digitale utilizzato da Symantec Client Security e basato sullo standard X.509v3. Si tratta di un certificato-di origine del gruppo di server autofirmato.
Concetti fondamentali di crittografia Certificati digitali e PKI 35 Figura 6-1 Esempio di certificato digitale Certificate: Data: Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1withrsaencryption // Algoritmi asimmetrici e hash Issuer: OU=Server Group Root CA, CN=4930435c2aa91e4abb4e6c9d527eb762 Validity Not Before: Nov 20 05:47:44 2001 GMT Not After: Nov 20 05:47:44 2002 GMT Subject: Subject: OU=Server Group Root CA, CN=4930435c2aa91e4abb4e6c9d527eb762 Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): // Chiave pubblica utilizzata per crittografia e decrittografia 00:ba:54:2c:ab:88:74:aa:6b:35:a5:a9:c1:d0:5a: 9c:fb:6b:b5:71:bc:ef:d3:ab:15:cc:5b:75:73:36: b8:01:d1:59:3f:c1:88:c0:33:91:04:f1:bf:1a:b4: 7b:c8:39:c2:89:1f:87:0f:91:19:81:09:46:0c:86: 08:d8:75:c4:6f:5a:98:4a:f9:f8:f7:38:24:fc:bd: 99:24:37:ab:f1:1c:d8:91:ee:fb:1b:9f:88:ba:25: da:f6:21:7f:04:32:35:17:3d:36:1c:fb:b7:32:9e: 42:af:77:b6:25:1c:59:69:af:be:00:a1:f8:b0:1a: 6c:14:e2:ae:62:e7:6b:30:e9 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE, pathlen:1 X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 Subject Key Identifier: FE:04:46:ED:A0:15:BE:C1:4B:59:03:F8:2D:0D:ED:2A:E0:ED:F9:2F X509v3 Subject Key Identifier: keyid:e6:12:7c:3d:a1:02:e5:ba:1f:da:9e:37:be:e3:45:3e:9b:ae:e5:a6 Signature Algorithm: sha1withrsaencryption 34:8d:fb:65:0b:85:5b:e2:44:09:f0:55:31:3b:29:2b:f4:fd: aa:5f:db:b8:11:1a:c6:ab:33:67:59:c1:04:de:34:df:08:57: 2e:c6:60:dc:f7:d4:e2:f1:73:97:57:23:50:02:63:fc:78:96: 34:b3:ca:c4:1b:c5:4c:c8:16:69:bb:9c:4a:7e:00:19:48:62: e2:51:ab:3a:fa:fd:88:cd:e0:9d:ef:67:50:da:fe:4b:13:c5: 0c:8c:fc:ad:6e:b5:ee:40:e3:fd:34:10:9f:ad:34:bd:db:06: ed:09:3d:f2:a6:81:22:63:16:dc:ae:33:0c:70:fd:0a:6c:af: bc:5a -----BEGIN CERTIFICATE----- // Certificato in formato codificato MIIDoTCCAwqgAwIBAgIBATANBgkqhkiG9w0BAQQFADCBiTELMAkGA1UEBhMCRkox DTALBgNVBAgTBEZpamkxDTALBgNVBAcTBFN1dmExDjAMBgNVBAoTBVNPUEFDMQww CgYDVQQLEwNJQ1QxFjAUBgNVBAMTDVNPUEFDIFJvb3QgQ0ExJjAkBgkqhkiG9w0B CQEWF2FkbWluaXN0cmF0b3JAc29wYWMub3JnMB4XDTAxMTEyMDA1NDc0NFoXDTAy MTEyMDA1NDc0NFowgYkxCzAJBgNVBAYTAkZKMQ0wCwYDVQQIEwRGaWppMQ0wCwYD VQQHEwRTdXZhMQ4wDAYDVQQKEwVTT1BBQzEMMAoGA1UECxMDSUNUMRYwFAYDVQQD Ew13d3cuc29wYWMub3JnMSYwJAYJKoZIhvcNAQkBFhdhZG1pbmlzdHJhdG9yQHNv cgfjlm9yzzcbnzanbgkqhkig9w0baqefaaobjqawgykcgyeaulqsq4h0qms1panb 0Fqb+2u1cbzv06sVzFt1cza4AdFZP8GIwDORBPG/GrR6yDnCiR+HD5EZgQlGDIYI 2HXEb1qYSvn49zgk/L2UJDer8RzYke77G5+IuiXa9iF/BDI1Fz02HPu3Mp5Cr3e2 JRxZaa++AKH4sBpsFOKuYudrMOkCAwEAAaOCARUwggERMAkGA1UdEwQCMAAwLAYJ YIZIAYb4QgENBB8WHU9wZW5TU0wgR2VuZXJhdGVkIENlcnRpZmljYXRlMB0GA1Ud DgQWBBT+BEbtoBW+wUtZA/gtDe0q4O35LzCBtgYDVR0jBIGuMIGrgBTmEnw9oQLl -----END CERTIFICATE-----