Сардэчна запрашаем на чацвёрты артыкул цыклу аб рашэнні Check Point SandBlast Agent Management Platform. У папярэдніх артыкулах (, , ) мы дэталёва апісалі інтэрфейс і магчымасці вэб-кансолі кіравання, а таксама разгледзелі палітыку Threat Prevention і пратэставалі яе на прадмет процідзеяння розным пагрозам. Дадзены артыкул прысвечана другому кампаненту бяспекі – палітыцы Data Protection, якая адказвае за абарону захоўваемых на карыстацкай машыне дадзеных. Таксама ў рамках дадзенага артыкула мы разгледзім раздзелы Deployment і Global Policy Settings.
Палітыка Data Protection
Палітыка Data Protection дазваляе наладзіць доступ да захоўваемых на працоўнай машыне дадзеным толькі аўтарызаваным карыстачам, выкарыстаючы функцыі поўнага шыфравання дыска (Full Disk Encryption) і абароны працэсу загрузкі (Boot Protection). На бягучы момант падтрымліваюцца наступныя варыянты налады шыфравання дыска: для Windows - Check Point Encryption або BitLocker Encryption, для MacOS - File Vault. Разгледзім падрабязней магчымасці і налады кожнага з варыянтаў.
Check Point Encryption
Check Point Encryption з'яўляецца стандартным метадам шыфравання дыска ў палітыцы Data Protection і забяспечвае шыфраванне ўсіх файлаў сістэмы (часовыя, сістэмныя, выдаленыя) у фонавым рэжыме без уплыву на працаздольнасць карыстацкай машыны. Пасля шыфравання дыск становіцца недаступным для неаўтарызаваных карыстальнікаў.
Асноўнай наладай для Check Point Encryption з'яўляецца «Enable Pre-boot», якая ўключае неабходнасць аўтэнтыфікацыі карыстальнікаў да загрузкі аперацыйнай сістэмы.
- Allow OS login after temporary bypass - адключэнне функцыі Pre-boot і пераход да аўтэнтыфікацыі ў аперацыйнай сістэме;
- Allow pre-boot bypass (Wake On LAN – WOL) - адключэнне функцыі pre-boot на кампутарах, якія падлучаныя да сервера кіравання праз Ethernet;
- Allow bypass script - дазваляе наладзіць абыход функцыі Pre-boot з указаннем часу і даты пачатку працы скрыпту і параметры канчатка абыходу Pre-boot;
- Allow LAN bypass - адключэнне функцыі pre-boot пры падлучэнні да лакальнай сеткі.
Вышэйпералічаныя опцыі часавага абыходу функцыі Pre-boot не рэкамендуецца выкарыстоўваць без відавочных чыннікаў (напрыклад, тэхнічныя працы ці пошук і ўхіленне праблем) і лепшым рашэннем з пункта гледжання бяспекі з'яўляецца ўключэнне функцыі Pre-boot без указання часавых правіл абыходу. У выпадку неабходнасці абыходзіць Pre-boot рэкамендуецца ўсталёўваць мінімальна неабходныя часавыя рамкі ў параметрах часавага абыходу, каб не змяншаць узровень абароны на працяглы час.
Таксама пры выкарыстанні Check Point Encryption ёсць магчымасць наладжваць пашыраныя налады палітыкі Data Protection, напрыклад, больш гнутка канфігураваць параметры шыфравання, наладжваць розныя аспекты функцыі Pre-boot і аўтэнтыфікацыі Windows.
BitLocker Encryption
BitLocker з'яўляецца часткай аперацыйнай сістэмы Windows і дазваляе шыфраваць цвёрдыя кружэлкі і здымныя носьбіты BitLocker Management з'яўляецца кампанентам службаў Windows, аўтаматычна запускаецца разам з кліентам SandBlast Agent і выкарыстае API для кіравання тэхналогіяй BitLocker.
Пры выбары BitLocker Encryption у якасці метаду шыфравання дыска ў палітыцы Data Protection можна наладзіць наступныя параметры:
- Initial Encryption - налады першапачатковага шыфравання, дазваляюць зашыфраваць увесь дыск (Encrypt entire drive), што рэкамендуецца для машын з ужо наяўнымі карыстацкімі дадзенымі (файлы, дакументы і іншае), або зашыфраваць толькі дадзеныя (Encrypt used disk space only), што рэкамендуецца для новых усталёвак Windows;
- Drives to encrypt - выбар дыскаў / раздзелаў для шыфравання, дазваляе зашыфраваць ўсе дыскі (All drives) або толькі раздзел з аперацыйнай сістэмай (OS drive only);
- Encryption algorithm - Выбар алгарытму шыфравання, рэкамендаваным з'яўляецца варыянт Windows Default, таксама ёсць магчымасць паказаць XTS-AES-128 або XTS-AES-256.
File Vault
File Vault з'яўляецца стандартным сродкам шыфравання ад кампаніі Apple і забяспечвае доступ да дадзеных карыстацкага кампутара толькі аўтарызаваным карыстачам. Пры ўсталяваным File Vault карыстачу неабходна ўвесці пароль для запуску сістэмы і атрыманні доступу да зашыфраваных файлаў.
Для File Vault даступная налада «Enable automatic user acquisition», якая патрабуе аўтарызацыі карыстача да пачатку працэсу шыфравання дыска. калі за гэты перыяд хаця б адзін карыстальнік аўтарызаваўся ў сістэме.
аднаўленне дадзеных
У выпадку ўзнікнення праблем з загрузкай сістэмы можна скарыстацца рознымі метадамі аднаўлення даных. Адміністратар можа ініцыяваць працэс аднаўлення зашыфраваных дадзеных з падзелу Computer Management → Full Dick Encryption Actions. У выпадку выкарыстання Check Point Encryption можна расшыфраваць раней зашыфраваны дыск і атрымаць доступ да ўсіх захоўваемых файлаў. Пасля дадзенай працэдуры неабходна зноўку запускаць працэс шыфравання дыска для працы палітыкі Data Protection.
Пры выбары BitLocker у якасці метаду шыфравання дыска для аднаўлення дадзеных неабходна ўвесці Recovery Key ID праблемнага кампутара для генерацыі Recovery Key, які павінен быць уведзены карыстачом для атрымання доступу да зашыфраванага дыска.
Для карыстачоў MacOS з выкарыстаннем File Vault для абароны захоўваемай інфармацыі працэс аднаўлення складаецца ў генерацыі адміністратарам Recovery Key на аснове Serial Number праблемнай машыны і ўводу дадзенага ключа з наступным скідам пароля.
Палітыка Deployment
З моманту выхаду , у якой разглядаўся інтэрфейс вэб-кансолі кіравання, Check Point паспелі ўнесці некаторыя змены ў раздзел Deployment – зараз у ім прысутнічаюць падраздзел Разгортванне праграмнага забеспячэння, у якім наладжваецца канфігурацыя (уключэнне/адключэнне блейдаў) для ўжо ўсталяваных агентаў, і падраздзел Export Package, у якім можна ствараць пакеты з прадусталяванымі блейдамі для далейшай усталёўкі на карыстацкія машыны, напрыклад, з дапамогай групавых палітык Active Directory Разгледзім падраздзел Software Deployment, у якім уключаюцца ўсе блейды SandBlast Agent.
Нагадаю, што ў стандартнай палітыцы Deployment уключаны толькі блейды катэгорыі Threat Prevention. З улікам разгледжанай раней палітыкі Data Protection зараз можна ўключыць дадзеную катэгорыю для ўсталёўкі і працы на кліенцкай машыне з SandBlast Agent. Мае сэнс уключыць функцыю Remote Access VPN, якая дазволіць карыстачу падлучацца, напрыклад, да карпаратыўнай сеткі арганізацыі, а таксама катэгорыю Access and Compliance, у якую ўваходзяць функцыі Firewall & Application Control і праверка карыстацкай машыны на адпаведнасць палітыцы Compliance.
Export Package
Падраздзел Export Packages лімітава просты ў выкарыстанні: для стварэння пакета канфігурацыі неабходна паказаць яго назоў, абраць аперацыйную сістэму (для Windows таксама паказаць разраднасць) і версію агента, пасля чаго абраць убудавальныя ў пакет палітыкі бяспекі. (VPN Site наладжваюцца ў падзеле Export Packages → Manage VPN Sites) Апошні пункт асабліва зручны, бо ўхіляе верагоднасць памылкі карыстача пры канфігурацыі параметраў падлучэння па VPN.
Global Policy Settings
У наладах Global Policy Settings наладжваецца адзін з найважнейшых параметраў – пароль для выдалення SandBlast Agent з карыстацкай машыны.таямніца(без двукоссяў). Аднак гэты стандартны пароль лёгка знайсці ў адкрытых крыніцах, і пры ўкараненні рашэння SandBlast Agent рэкамендуецца змяніць стандартны пароль для выдалення агента. У Management Platform пры стандартным паролі палітыку можна ўсталяваць толькі 5 разоў, так што змена пароля для выдалення непазбежная.
Апроч гэтага, у Global Policy Settings наладжваюцца параметры дадзеных, якія могуць адпраўляцца ў Check Point для аналізу і паляпшэнні працы сэрвісу ThreatCloud.
З Global Policy Settings таксама наладжваюцца некаторыя параметры палітыкі шыфравання дыска, а менавіта патрабаванні да пароля: складанасць, працягласць выкарыстання, магчымасць выкарыстоўваць раней дзейны пароль і іншае. У дадзеным раздзеле можна загрузіць уласныя выявы замест стандартных для Pre-boot або OneCheck.
Ўстаноўка палітыкі
Азнаёміўшыся з магчымасцямі палітыкі Data Protection і наладзіўшы якія адпавядаюць параметры ў падзеле Deployment можна прыступаць да ўсталёўкі новай палітыкі, улучальнай у сябе шыфраванне дыска з дапамогай Check Point Encryption і астатнія блейды SandBlast Agent. Пасля ўстаноўкі палітыкі ў Management Platform кліент атрымае паведамленне аб неабходнасці ўсталяваць новую версію палітыкі зараз або перанесці ўстаноўку на іншы час (максімум 2 дні).
Завяршыўшы спампоўку і ўстаноўку новай палітыкі SandBlast Agent прапануе карыстачу перазагрузіць кампутар для ўключэння абароны Full Disk Encryption.
Пасля перазагрузкі карыстачу неабходна будзе ўвесці свае ўліковыя дадзеныя ў акне аўтэнтыфікацыі Check Point Endpoint Security – дадзенае акно будзе з'яўляцца кожны раз перад стартам аперацыйнай сістэмы (Pre-boot). Ёсць магчымасць абраць опцыю Single Sign-On (SSO) для аўтаматычнага выкарыстання уліковых дадзеных пры аўтэнтыфікацыі ў Windows.
У выпадку паспяховай аўтэнтыфікацыі карыстач атрымлівае доступ да сваёй сістэмы, а "за кадрам" пачынаецца працэс шыфравання дыска. Дадзеная аперацыя ніяк не ўплывае на працаздольнасць машыны, хоць і можа працягвацца працяглы час (у залежнасці ад аб'ёмаў дыскавай прасторы). Па завяршэнні працэсу шыфравання мы можам пераканацца, што ўсе блейды ўключаны і функцыянуюць, дыск зашыфраваны, і карыстацкая машына абаронена.
Заключэнне
Падвядзем вынікі: у дадзеным артыкуле мы разгледзелі магчымасці SandBlast Agent па абароне захоўваемай на карыстацкай машыне інфармацыі з дапамогай шыфравання дыска ў палітыцы Data Protection, вывучылі налады распаўсюджвання палітык і агентаў праз раздзел Deployment і ўсталявалі новую палітыку з правіламі шыфравання дыска і дадатковымі блейдамі на машыну. У наступным артыкуле цыклу мы дэталёва разгледзім магчымасці лагавання і справаздачнасці ў Management Platform і кліенце SandBlast Agent.
. Каб не прапусціць наступныя публікацыі па тэме SandBlast Agent Management Platform – сачыце за абнаўленнямі ў нашых сацыяльных сетках (, , , , ).
Крыніца: habr.com
