Dobrodošli u četvrti članak u nizu o rješenju Check Point SandBlast Agent Management Platforme. U prethodnim člancima (, , ) detaljno smo opisali interfejs i mogućnosti web konzole za upravljanje, a takođe smo pregledali politiku prevencije pretnji i testirali je kako bi se suprotstavili raznim pretnjama. Ovaj članak je posvećen drugoj sigurnosnoj komponenti - politici zaštite podataka, koja je odgovorna za zaštitu podataka pohranjenih na korisničkom stroju. Također u ovom članku ćemo pogledati odjeljke Implementacija i Globalne postavke politike.
Politika zaštite podataka
Politika zaštite podataka vam omogućava da konfigurirate pristup podacima pohranjenim na radnoj mašini samo ovlaštenim korisnicima, koristeći funkcije Full Disk Encryption i Boot Protection. Trenutno su podržane sljedeće opcije za postavljanje šifriranja diska: za Windows - Check Point enkripcija ili BitLocker enkripcija, za MacOS - Trezor datoteka. Pogledajmo bliže mogućnosti i postavke svake opcije.
Check Point Encryption
Check Point Encryption je standardna metoda šifriranja diska u politici zaštite podataka i omogućava šifriranje svih sistemskih datoteka (privremenih, sistemskih, udaljenih) u pozadini bez utjecaja na performanse korisničkog stroja. Nakon šifriranja, disk postaje nedostupan neovlaštenim korisnicima.
Glavna postavka za Check Point Encryption je "Omogući pre-boot", što omogućava da se korisnici provjere autentičnosti prije pokretanja operativnog sistema. Ova opcija je preporučljiva za korištenje, jer onemogućuje mogućnost korištenja alata za zaobilaženje autentifikacije na nivou operativnog sistema. Također je moguće konfigurirati privremene parametre zaobilaženja za funkciju prije pokretanja:
- Dozvolite prijavu na OS nakon privremenog zaobilaženja — onemogućavanje funkcije Pre-boot i prelazak na autentifikaciju u operativnom sistemu;
- Dozvoli zaobilaženje prije pokretanja (Wake On LAN – WOL) — onemogućavanje funkcije pre pokretanja na računarima povezanim na server za upravljanje preko Etherneta;
- Dozvoli zaobilaznu skriptu — omogućava vam da konfigurišete zaobilaženje funkcije pre pokretanja, naznačujući vreme i datum kada je skripta počela da se pokreće i parametre za kraj zaobilaženja pre pokretanja;
- Dozvoli LAN bypass — onemogućite funkciju pre-boot kada se povezujete na lokalnu mrežu.
Gore navedene privremene opcije zaobilaženja za pre-boot se ne preporučuju osim ako ne postoji očigledan razlog (na primjer, održavanje ili rješavanje problema), a najbolje rješenje sa sigurnosne točke gledišta je omogućiti prethodno pokretanje bez specificiranja privremenih pravila zaobilaženja. Ako je potrebno zaobići Pre-boot, preporučuje se postavljanje minimalnog potrebnog vremenskog okvira u privremenim parametrima zaobilaženja kako se ne bi smanjio nivo zaštite na duže vrijeme.
Također, kada koristite Check Point Encryption, moguće je konfigurirati napredne postavke politike zaštite podataka, na primjer, fleksibilnije konfigurirati postavke šifriranja, konfigurirati različite aspekte funkcije prije pokretanja i Windows autentifikaciju.
BitLocker enkripcija
BitLocker je dio Windows operativnog sistema i omogućava vam šifriranje tvrdih diskova i prenosivih medija. Check Point BitLocker Management je komponenta Windows usluga koja se automatski pokreće sa SandBlast Agent klijentom i koristi API za upravljanje BitLocker tehnologijom.
Kada odaberete BitLocker šifriranje kao metod šifriranja disk jedinice u politici zaštite podataka, možete konfigurirati sljedeće postavke:
- Initial Encryption — početne postavke šifriranja vam omogućavaju da šifrirate cijeli disk (Encrypt whole drive), što se preporučuje za mašine sa postojećim korisničkim podacima (datoteke, dokumenti, itd.), ili šifrirate samo podatke (Encrypt used disk space), što je preporučuje se za nove Windows instalacije;
- Pogoni za šifriranje — izbor diskova/particija za šifrovanje, omogućava vam da šifrujete sve diskove (Svi diskovi) ili samo particiju sa operativnim sistemom (samo OS disk);
- Algoritam šifriranja — izbor algoritma za šifrovanje, preporučena opcija je Windows Default, takođe je moguće odrediti XTS-AES-128 ili XTS-AES-256.
Trezor datoteka
File Vault je Apple-ov standardni alat za šifriranje i osigurava da samo ovlašteni korisnici mogu pristupiti podacima korisnika računala. Kada je File Vault instaliran, korisnik mora uneti lozinku da pokrene sistem i dobije pristup šifrovanim datotekama. Korišćenje trezora datoteka je jedini način da se osigura zaštita pohranjenih podataka u politici zaštite podataka za korisnike MacOS operativnog sistema.
Za Trezor datoteka dostupna je postavka „Omogući automatsku akviziciju korisnika“, koja zahtijeva autorizaciju korisnika prije početka procesa šifriranja diska. Ako je ova funkcija omogućena, moguće je odrediti broj korisnika koji se moraju prijaviti prije nego što SandBlast Agent primijeni funkciju prije pokretanja ili navesti broj dana nakon kojih će funkcija prije pokretanja biti automatski implementirana za sve ovlaštene korisnike ako se tokom ovog perioda barem jedan korisnik prijavio na sistem.
Oporavak podataka
Ako imate problema s pokretanjem sistema, možete koristiti različite metode oporavka podataka. Administrator može pokrenuti proces vraćanja šifriranih podataka iz odjeljka Upravljanje računarom → Akcije potpunog šifriranja. Ako koristite Check Point Encryption, možete dešifrirati prethodno šifrirani disk i dobiti pristup svim pohranjenim datotekama. Nakon ove procedure, morate ponovo pokrenuti proces šifriranja diska da bi politika zaštite podataka radila.
Kada birate BitLocker kao metod šifrovanja diska za oporavak podataka, morate da unesete ID ključa za oporavak problematičnog računara da biste generisali ključ za oporavak, koji korisnik mora da unese da bi dobio pristup šifrovanom disku.
Za korisnike MacOS-a koji koriste Trezor datoteka za zaštitu pohranjenih informacija, proces oporavka uključuje administratora koji generiše ključ za oporavak na osnovu serijskog broja problematične mašine i unosi ovaj ključ, nakon čega slijedi resetiranje lozinke.
Politika implementacije
Od izlaska , koji je raspravljao o interfejsu konzole za upravljanje web-om, Check Point je uspio napraviti neke promjene u odjeljku Deployment - sada sadrži pododjeljak Primjena softvera, u kojem je konfiguracija (omogućavanje/onemogućavanje blejdova) konfigurirana za već instalirane agente, a pododjeljak Izvozni paket, u kojem možete kreirati pakete sa unaprijed instaliranim blejdovima za dalju instalaciju na korisničke mašine, na primjer, koristeći Active Directory grupne politike. Pogledajmo pododjeljak Software Deployment, koji uključuje sve oštrice SandBlast Agenta.
Dozvolite mi da vas podsjetim da standardna politika implementacije uključuje samo blejdove u kategoriji prevencije prijetnji. Uzimajući u obzir prethodno razmatranu politiku zaštite podataka, sada možete omogućiti ovu kategoriju za instalaciju i rad na klijentskoj mašini sa SandBlast Agentom. Ima smisla uključiti VPN funkciju za daljinski pristup, koja će omogućiti korisniku da se poveže, na primjer, na korporativnu mrežu organizacije, kao i kategoriju Pristup i usklađenost, koja uključuje funkcije Firewall & Application Control i provjeru korisničkog stroja za usklađenost sa Politikom usklađenosti.
Izvozni paket
Pododjeljak Export Packages je izuzetno jednostavan za korištenje: da biste kreirali konfiguracijski paket, potrebno je navesti njegovo ime, odabrati operativni sistem (za Windows, također navesti bitnost) i verziju agenta, a zatim odabrati sigurnosne politike koje će se ugraditi u paket. Dodatno, možete odrediti virtuelnu grupu koja će uključivati računare sa instaliranim paketom, kao i odabrati VPN lokaciju sa unapred postavljenom adresom veze i parametrima autentifikacije (VPN lokacije su konfigurisane u odeljku Izvoz paketa → Upravljanje VPN lokacijama). Posljednja točka je posebno zgodna, jer eliminira mogućnost greške korisnika prilikom konfiguriranja postavki VPN veze.
Postavke globalne politike
U Globalnim postavkama politike konfiguriše se jedan od najvažnijih parametara – lozinka za uklanjanje SandBlast Agenta sa korisničkog uređaja. Nakon što je agent instaliran, korisnik ga neće moći ukloniti bez unošenja lozinke, koja je po defaultu "tajna" (bez navodnika). Međutim, ovu standardnu lozinku je lako pronaći u otvorenim izvorima, a prilikom implementacije rješenja SandBlast Agent preporučuje se promjena standardne lozinke da biste uklonili agenta. U Platformi za upravljanje, sa standardnom lozinkom, politika se može postaviti samo 5 puta, tako da je promjena lozinke za njeno uklanjanje neizbježna.
Pored toga, Globalna podešavanja politike konfigurišu parametre podataka koji se mogu poslati u Check Point radi analize i poboljšanja rada usluge ThreatCloud.
Iz Globalnih postavki politike također možete konfigurirati neke parametre politike šifriranja diska, odnosno zahtjeve lozinke: složenost, trajanje korištenja, mogućnost korištenja prethodno važeće lozinke, itd. U ovom odeljku možete da otpremite sopstvene slike umesto standardnih za Pre-boot ili OneCheck.
Postavljanje politike
Nakon što ste se upoznali sa mogućnostima politike zaštite podataka i konfigurisali odgovarajuće postavke u odjeljku Deployment, možete započeti instalaciju nove politike koja uključuje šifriranje diska koristeći Check Point Encryption i ostatak SandBlast Agent bladeova. Nakon instaliranja politike u Platformu za upravljanje, klijent će dobiti poruku u kojoj se od njega traži da instalira novu verziju politike sada ili da ponovo zakaže instalaciju na neko drugo vrijeme (maksimalno 2 dana).
Nakon preuzimanja i instaliranja nove politike, SandBlast Agent će zatražiti od korisnika da ponovo pokrene računar kako bi omogućio zaštitu pune šifre diska.
Nakon ponovnog pokretanja, korisnik će morati da unese svoje akreditive u prozor za provjeru autentičnosti Check Point Endpoint Security - ovaj prozor će se pojaviti svaki put prije pokretanja operativnog sistema (Pre-boot). Moguće je odabrati opciju Single Sign-On (SSO) da biste automatski koristili vjerodajnice za autentifikaciju u Windowsu.
Ako je autentifikacija uspješna, korisnik dobiva pristup svom sistemu, a iza scene počinje proces šifriranja diska. Ova operacija ni na koji način ne utiče na performanse mašine, iako može trajati dugo (ovisno o količini prostora na disku). Kada se proces šifriranja završi, možemo provjeriti da li su svi blejdovi uključeni i funkcionišu, da je disk šifriran i da je korisnikova mašina sigurna.
zaključak
Da rezimiramo: u ovom članku smo pogledali mogućnosti SandBlast Agenta da zaštiti informacije pohranjene na korisnikovom stroju korištenjem šifriranja diska u politici zaštite podataka, proučili smo postavke za distribuciju politika i agenata kroz odjeljak Deployment i instalirali novu politiku s diskom pravila šifriranja i dodatni blejdovi na korisnikovoj mašini. U sljedećem članku iz serije, detaljno ćemo pogledati mogućnosti evidentiranja i izvještavanja u platformi za upravljanje i klijentu SandBlast Agent.
. Kako ne biste propustili sljedeće objave na temu SandBlast Agent Management Platforma, pratite ažuriranja na našim društvenim mrežama (, , , , ).
izvor: www.habr.com
