X-FORT在7.0版本,針對新時代的資安需求作了多方面強化,包含生成式AI管理、資料安全,端點零信任以及自身的系統管理。建議盡快升級至X-FORT最新版7.0.2.3,享受新版帶來的豐富新功能。
以下介紹重點項目:
生成式AI管理
生成式人工智能(AI)於2023年迅速崛起,在企業積極採用如ChatGPT等人工智能技術的同時,亦對於內部資料可能被上傳至外部AI平台進行訓練表示擔憂。X-FORT 7.0提供生成式AI的控管與記錄,讓企業在能見、可控的情況下,實現AI轉型戰略。
網頁上傳檔案的控管、記錄與備份
| 情境 |
說明 |
|
記錄並備份上傳檔案到網頁的行為
|
- 當透過瀏覽器將檔案上傳到內部網站、ChatGPT或雲端硬碟時,可記錄檔案名稱,並備份實體檔案
|
|
禁止上傳檔案到生成式AI網站
|
- 可允許員工用問答方式與生成式AI互動,但禁止上傳公司內部檔案。避免內部資料外流,甚至成為AI後續訓練資料
|
|
只允許在內部網站上傳檔案,
其他網站的上傳行為一律阻擋
|
- 為避免員工將檔案上傳到未知的AI服務、雲端硬碟,可禁止所有網站的上傳檔案行為,只允許上傳檔案到已知的內部網站
|
網頁控管模組支援HTTP2
| 情境 |
說明 |
|
記錄發問內容
|
- 當公司開放使用生成式AI服務(例如ChatGPT),可記錄員工對AI的發問次數、以及提問內容
|
|
可禁止生成式AI網站
|
- 當公司有自建AI模型,不需要也不允許使用外部AI服務時,可禁止員工瀏覽外部的生成式AI網站
|
強化資料保護
企業資料在過去數年持續面臨勒索軟體和Insider的威脅,資料是多數惡意活動的終極目標,也是X-FORT DLP資料防外洩的核心價值,在7.0版持續深化,用檔案加密幫企業從源頭保護好資料
| 功能 |
說明 |
|
File Locker
|
- File Locker為檔案加密的解決方案。目的是防止勒索軟體破壞或竊取檔案,以及滿足資安法規、供應鏈要求。特點是對使用者干擾最小化,雙擊加密檔即自動解密,關閉檔案即自動恢復加密。符合使用者原有操作習慣,且無AP版本支援問題,IT導入容易
- 與X-FORT的DLP、資產管理系統完美整合,一個用戶端程式(Agent),即可滿足對使用者端點的各種管理需求
- 滿足企業級中央控管,管理人員可指定資料夾路徑及檔案類型,將企業內所有電腦的重要檔案就地自動加密
- 亦開放使用者自主管理,由員工自行判斷,手動加密重要檔案
- 不論明文、密文,所有檔案的加密、解密以及使用,皆會留下完整軌跡記錄,方便稽核與追蹤檔案流向
- 與Windows檔案總管的搜尋功能高度整合,檔案加密後仍可搜尋內容,在安全與工作效率間取得平衡
- 也可針對雲端同步目錄,在檔案上傳到雲端硬碟時自動加密。確保員工在家工作,只能使用公司配發且有X-FORT Agent的電腦才可使用加密文件,強化遠距工作安全
|
|
內容過濾
|
- 內建11種台灣常用資料類型,如身分證號、電話、Email、信用卡、護照號碼等機敏內容
- 亦可擴充資料類型,如特定銀行帳號、公司內程式碼特徵等。客戶可自行定義機敏資料的格式
- 針對常見的檔案交換管道,例如IM即時通訊、Outlook郵件、Webmail及USB隨身碟,在寫出檔案前,過濾檔案或文字內容,依據機敏內容的組合與出現次數,決定阻擋、放行或留下記錄
- 與File Locker檔案加密系統高度整合,檔案加密後仍可過濾檔案內容
|
強化零信任
零信任成熟度模型的五大支柱,分別為身份、設備、網路、應用與工作負載、資料,當檔案經由File Locker加密受到良好保護後,X-FORT還提供軟體/硬體白名單功能,降低端點設備面臨未知裝置與應用程式的風險。
| 功能 |
說明 |
|
裝置控管、鎖定 (Lockdown)
|
- X-FORT的硬體白名單功能,名為裝置鎖定(Lockdown)
- 可清查使用者電腦現有裝置資訊,全部設為信任名單後鎖定(Lockdown)該電腦,後續新增裝置一律禁用。經IT確認後加入白名單,或使用者提出申請,由主管核准開放才可使用
|
|
應用程式控管 (AZT)
|
- 6.0版有提供軟體白名單功能,只允許執行白名單內執行檔,其餘未知的執行檔一律禁止安裝或執行
- 7.0版進一步增加管理範本(Template)的使用情境。由IT準備好1台電腦當部門或全公司的工作電腦範本,由X-FORT Agent清查該電腦內所有執行檔,並將清單匯入X-FORT中控管理工具,即可作為公司內可執行軟體的預設白名單
|
優化管理工具
- W-Console代理人
部門主管在請假或出差期間可以設定代理人,以此協助審核員工申請,進而保證即便在主管缺席的情況下,工作流程亦能繼續進行無延誤。而X-FORT系統管理員除了請假期間指派代理人,也可在平常依專案需要,暫時將管理權限委託給第一線人員。
例如:總部IT可暫時委派權限給採購,請採購人員協助填寫採購資料;另外,可將資產管理權限委託給外點負責人,請當地人員協助盤點軟體、指派授權。於委託期間結束後,自動收回管理權限,大幅增加管理彈性。
- 自訂資料計算欄位,提供運算功能
在W-Console資料中心,除了允許管理者新增自訂欄位,7.0版更開放使用運算式進行數據分析,包括計算指定欄位的總和、平均值、百分比,以及計算日期差等運算,以滿足公司不同的業務需求。
例如:管理者可以透過自訂欄位的運算結果,得知員工使用電腦的頻率,檢視員工電腦Agent最後一次連線、上傳記錄的時間差等。
- 保留管理者的檢視設定
管理者或主管在W-Console資料中心檢視記錄時,可自由調整顯示欄位與順序,W-Console會保留檢視設定,下次登入時會擁有一致的瀏覽體驗。
- 支援Microsoft Entra ID
Microsoft Entra ID前身為AzureAD,是託管在Azure雲端平台的帳號管理與身分認證服務。從X-FORT 7.0.2.0開始,搭配Entra ID的Domain Services服務,可使用LDAPS (安全性輕量級目錄存取協定)與Entra ID同步使用者帳號,並支援單一簽入SSO。當使用者在有加入Entra ID網域的電腦安裝X-FORT Agent,將自動讀取Entra ID帳號並與X-FORT系統完成身分認證。
升級注意事項
| 項目 |
注意事項 |
|
X-FORT Server作業系統
|
- 安裝W-Console,建議OS版本為Windows Server 2016(含以上)
- 因Chrome 瀏覽器從117版本起,預設不信任SHA1憑證。較早版本例如:Server 2012 R2的自建憑證是SHA1,無法用Chrome存取 W-Console。而Server 2016以後版本自建憑證皆為SHA256,符合Chrome安全性要求。
- 若近期內無法升級Windows Server作業系統,可手動產生SHA256憑證再重建W-Console的SSL繫結,亦可滿足Chrome安全性要求
|
|
伺服器執行環境
|
- X-FORT 7.0版,請使用.NET Framework版本4.8
- 執行X-FORT出貨光碟內的pre-install程式,將自動更新.NET Framework版本及組態設定
|
|
Java版本
|
- X-FORT 7.0版,請使用JDK 17版本(含以上)
- JAVA 17預設僅支援TLS 1.2通訊協定,若仍需要TLS 1.0或1.1,須自行手動啟用
|
|
Microsoft SQL Server
|
- 升級X-FORT 7.0前,請先將SQL Server更新至2016版本(含以上),以確保TLS 1.2正常運作。(SQL 2012不支援TLS 1.2通訊協定)
|
|
有使用軟體、硬體資產模組
|
- Server升級7.0後,Agent也務必升級成最新版本,並從W-Console下達掃描命令更新軟體、硬體資產,以確保資產及Hotfix管理功能正常運作
|
|
Agent
|
- 用戶端電腦的作業系統若為新安裝,非從舊版Windows升級而來。建議使用x64版本,X-FORT不支援x86版作業系統的政策同步
|
|
授權
|
- X-FORT的備援伺服器,以及Windows Server版作業系統的Agent授權模式皆有調整,升級前請聯繫業務窗口,更新授權數量
|
用戶端OS注意事項
| OS版本 |
注意事項 |
|
Windows 10 1803
|
- 微軟從Windows 10 1803起,宣告終止SRP(Software Restriction Policy)功能,因此新安裝的Windows 10、11作業系統,無法使用X-FORT啟動Windows SRP控管功能
|
|
Windows 11
|
- 新版記事本為UWP(Universal Windows Platform)應用程式,X-FORT不支援UWP的剪貼簿文字記錄
|
上述情報,以發文前最新版7.0.2.3 Patch2為準。後續7.0新功能及升級注意事項,請持續關注精品科技最新公告及月刊。
