
Croeso i'r bedwaredd erthygl yn y gyfres am y datrysiad Platfform Rheoli Asiantau Check Point SandBlast. Mewn erthyglau blaenorol (, , ) fe wnaethom ddisgrifio'n fanwl ryngwyneb a galluoedd y consol rheoli gwe, a hefyd adolygu'r polisi Atal Bygythiad a'i brofi i wrthsefyll bygythiadau amrywiol. Mae'r erthygl hon wedi'i neilltuo i'r ail gydran diogelwch - y polisi Diogelu Data, sy'n gyfrifol am ddiogelu data sydd wedi'i storio ar y peiriant defnyddiwr. Hefyd yn yr erthygl hon byddwn yn edrych ar yr adrannau Defnyddio a Gosodiadau Polisi Byd-eang.
Polisi Diogelu Data
Mae'r polisi Diogelu Data yn caniatΓ‘u ichi gyfyngu mynediad at ddata sydd wedi'i storio ar orsaf waith i ddefnyddwyr awdurdodedig gan ddefnyddio Amgryptio Disg Llawn ac Amddiffyniad Cychwyn. Cefnogir yr opsiynau ffurfweddu amgryptio disg canlynol ar hyn o bryd: Windows β Amgryptio Check Point neu Amgryptio BitLocker, ar gyfer macOS β File Vault. Gadewch i ni edrych yn agosach ar nodweddion a gosodiadau pob opsiwn.
Gwiriwch Amgryptio Pwynt
Mae Check Point Encryption yn ddull amgryptio disg safonol yn y polisi Diogelu Data ac mae'n darparu amgryptio holl ffeiliau system (dros dro, system, anghysbell) yn y cefndir heb effeithio ar berfformiad y peiriant defnyddiwr. Ar Γ΄l amgryptio, mae'r ddisg yn dod yn anhygyrch i ddefnyddwyr heb awdurdod.
Y prif osodiad ar gyfer Amgryptio Pwynt Gwirio yw "Galluogi Cyn-gist", sy'n galluogi'r gofyniad i ddefnyddwyr gael eu dilysu cyn cychwyn y system weithredu. Argymhellir defnyddio'r opsiwn hwn, gan ei fod yn atal y posibilrwydd o ddefnyddio offer ffordd osgoi dilysu ar lefel y system weithredu. Mae hefyd yn bosibl ffurfweddu paramedrau ffordd osgoi dros dro ar gyfer y swyddogaeth Pre-boot:
- CaniatΓ‘u mewngofnodi OS ar Γ΄l ffordd osgoi dros dro β analluogi'r swyddogaeth Pre-boot a newid i ddilysu yn y system weithredu;
- CaniatΓ‘u ffordd osgoi cyn cychwyn (Wake On LAN - WOL) β analluogi'r swyddogaeth cyn-cist ar gyfrifiaduron sydd wedi'u cysylltu Γ’'r gweinydd rheoli trwy Ethernet;
- CaniatΓ‘u sgript ffordd osgoi β yn caniatΓ‘u ichi ffurfweddu ffordd osgoi'r swyddogaeth Pre-boot, gan nodi'r amser a'r dyddiad y dechreuodd y sgript redeg a'r paramedrau ar gyfer diwedd y ffordd osgoi Pre-boot;
- CaniatΓ‘u ffordd osgoi LAN β analluogi'r swyddogaeth cyn-cychwyn wrth gysylltu Γ’ rhwydwaith lleol.
Ni argymhellir yr opsiynau ffordd osgoi dros dro uchod ar gyfer Pre-boot oni bai bod rheswm amlwg (er enghraifft, cynnal a chadw neu ddatrys problemau), a'r ateb gorau o safbwynt diogelwch yw galluogi Pre-boot heb nodi rheolau ffordd osgoi dros dro. Os oes angen osgoi Pre-boot, argymhellir gosod y ffrΓ’m amser gofynnol yn y paramedrau ffordd osgoi dros dro er mwyn peidio Γ’ lleihau lefel yr amddiffyniad am amser hir.
Hefyd, wrth ddefnyddio Amgryptio Pwynt Gwirio, mae'n bosibl ffurfweddu gosodiadau uwch y polisi Diogelu Data, er enghraifft, ffurfweddu paramedrau amgryptio yn fwy hyblyg, ffurfweddu gwahanol agweddau ar y swyddogaeth Cyn-gychwyn a dilysu. Windows.
Amgryptio BitLocker
Mae BitLocker yn rhan o'r system weithredu. Windows ac yn caniatΓ‘u ichi amgryptio gyriannau caled a chyfryngau symudadwy. Mae Check Point BitLocker Management yn elfen o'r gwasanaethau Windows, yn rhedeg yn awtomatig gyda'r cleient SandBlast Agent ac yn defnyddio API i reoli technoleg BitLocker.
Pan fyddwch chi'n dewis BitLocker Encryption fel y dull amgryptio gyriant yn y polisi Diogelu Data, gallwch chi ffurfweddu'r gosodiadau canlynol:
- Amgryptio Cychwynnol β mae gosodiadau amgryptio cychwynnol yn caniatΓ‘u ichi amgryptio'r gyriant cyfan (Amgryptio'r gyriant cyfan), a argymhellir ar gyfer peiriannau sydd Γ’ data defnyddiwr presennol (ffeiliau, dogfennau, ac ati), neu amgryptio data yn unig (Amgryptio lle disg a ddefnyddir yn unig), a argymhellir ar gyfer gosodiadau newydd Windows;
- Gyriannau i amgryptio - dewis disgiau / rhaniadau ar gyfer amgryptio, yn eich galluogi i amgryptio pob gyriant (Pob gyriant) neu dim ond y rhaniad gyda'r system weithredu (gyriant OS yn unig);
- Algorithm amgryptio β dewis algorithm amgryptio, yr opsiwn a argymhellir yw Windows Yn ddiofyn, gallwch hefyd nodi XTS-AES-128 neu XTS-AES-256.
Ffeil Vault
File Vault yw offeryn amgryptio safonol Apple ac mae'n sicrhau mai dim ond defnyddwyr awdurdodedig sy'n gallu cyrchu data cyfrifiadurol defnyddwyr. Gyda File Vault wedi'i osod, rhaid i'r defnyddiwr nodi cyfrinair i gychwyn y system a chael mynediad i ffeiliau wedi'u hamgryptio. Defnyddio File Vault yw'r unig ffordd i sicrhau bod data sydd wedi'i storio yn cael ei ddiogelu yn y polisi Diogelu Data ar gyfer defnyddwyr system weithredu MacOS.
Ar gyfer File Vault, mae'r gosodiad βGalluogi caffael defnyddiwr awtomatigβ ar gael, sy'n gofyn am awdurdodiad defnyddiwr cyn i'r broses amgryptio disg ddechrau. Os yw'r nodwedd hon wedi'i galluogi, mae'n bosibl nodi nifer y defnyddwyr y mae'n rhaid iddynt fewngofnodi cyn i SandBlast Agent gymhwyso'r nodwedd Pre-boot, neu nodi nifer y dyddiau y bydd y nodwedd Pre-boot yn cael ei gweithredu'n awtomatig ar Γ΄l hynny ar gyfer pob defnyddiwr awdurdodedig os yw o leiaf un defnyddiwr wedi mewngofnodi i'r system yn ystod y cyfnod hwn.
Adfer data
Os ydych chi'n cael problemau wrth gychwyn eich system, gallwch ddefnyddio amrywiol ddulliau adfer data. Gall y gweinyddwr gychwyn y broses o adfer data wedi'i amgryptio o'r adran Rheoli Cyfrifiaduron β Gweithrediadau Amgryptio Llawn Dick. Os ydych chi'n defnyddio Check Point Encryption, gallwch ddadgryptio disg sydd wedi'i hamgryptio o'r blaen a chael mynediad i'r holl ffeiliau sydd wedi'u storio. Ar Γ΄l y weithdrefn hon, rhaid i chi ailgychwyn y broses amgryptio disg er mwyn i'r polisi Diogelu Data weithio.
Wrth ddewis BitLocker fel dull amgryptio disg ar gyfer adfer data, rhaid i chi nodi ID Allwedd Adfer y cyfrifiadur problemus i gynhyrchu Allwedd Adfer, y mae'n rhaid i'r defnyddiwr ei nodi i gael mynediad i'r ddisg wedi'i hamgryptio.
Ar gyfer defnyddwyr MacOS sy'n defnyddio File Vault i ddiogelu gwybodaeth sydd wedi'i storio, mae'r broses adfer yn golygu bod y gweinyddwr yn cynhyrchu Allwedd Adfer yn seiliedig ar Rif Cyfresol y peiriant problemus ac yn mynd i mewn i'r allwedd hon, ac yna ailosod y cyfrinair.
Polisi Defnyddio
Ers rhyddhau , a drafododd ryngwyneb y consol rheoli gwe, llwyddodd Check Point i wneud rhai newidiadau i'r adran Defnyddio - nawr mae'n cynnwys is-adran Defnyddio Meddalwedd, lle mae'r cyfluniad (llafnau galluogi / analluogi) wedi'i ffurfweddu ar gyfer asiantau sydd eisoes wedi'u gosod, a'r is-adran Pecyn Allforio, lle gallwch greu pecynnau gyda llafnau wedi'u gosod ymlaen llaw i'w gosod ymhellach ar beiriannau defnyddwyr, er enghraifft, gan ddefnyddio polisΓ―au grΕ΅p Active Directory. Gadewch i ni edrych ar yr is-adran Defnyddio Meddalwedd, sy'n cynnwys holl lafnau Asiant SandBlast.
Gadewch imi eich atgoffa mai dim ond llafnau yn y categori Atal Bygythiad y maeβr polisi Defnyddio safonol yn eu cynnwys. Gan ystyried y polisi Diogelu Data a drafodwyd yn flaenorol, gallwch nawr alluogi'r categori hwn ar gyfer gosod a gweithredu ar beiriant cleient gydag Asiant SandBlast. Mae'n gwneud synnwyr i gynnwys y swyddogaeth VPN Mynediad o Bell, a fydd yn caniatΓ‘u i'r defnyddiwr gysylltu, er enghraifft, Γ’ rhwydwaith corfforaethol y sefydliad, yn ogystal Γ’'r categori Mynediad a Chydymffurfiaeth, sy'n cynnwys y swyddogaethau Firewall & Application Control a gwirio'r peiriant defnyddiwr am gydymffurfio Γ’'r polisi Cydymffurfio.
Pecyn Allforio
Mae'r is-adran Allforio Pecynnau yn hynod o hawdd i'w defnyddio: i greu pecyn ffurfweddu, mae angen i chi nodi ei enw, dewis y system weithredu (er enghraifft Windows (Nodwch hefyd y dyfnder bit) a fersiwn yr asiant, yna dewiswch y polisΓ―au diogelwch sydd wedi'u hymgorffori yn y pecyn. Gallwch hefyd nodi grΕ΅p rhithwir a fydd yn cynnwys cyfrifiaduron gyda'r pecyn wedi'i osod, a dewis Safle VPN gyda chyfeiriad cysylltiad a pharamedrau dilysu wedi'u diffinio ymlaen llaw (mae Safleoedd VPN wedi'u ffurfweddu yn Allforio Pecynnau β Rheoli Safleoedd VPN). Mae'r opsiwn olaf yn arbennig o gyfleus, gan ei fod yn dileu'r posibilrwydd o wall defnyddiwr wrth ffurfweddu paramedrau cysylltiad VPN.
Gosodiadau Polisi Byd-eang
Yn y Gosodiadau Polisi Byd-eang, mae un o'r paramedrau pwysicaf wedi'i ffurfweddu - y cyfrinair ar gyfer tynnu SandBlast Agent o'r peiriant defnyddiwr. Unwaith y bydd yr asiant wedi'i osod, ni fydd y defnyddiwr yn gallu ei dynnu heb nodi'r cyfrinair, sef "gyfrinachol" (heb ddyfynbrisiau). Fodd bynnag, mae'r cyfrinair safonol hwn yn hawdd i'w ddarganfod mewn ffynonellau agored, ac wrth weithredu'r datrysiad Asiant SandBlast, argymhellir newid y cyfrinair safonol i gael gwared ar yr asiant. Yn Platfform Rheoli, gyda chyfrinair safonol, mae'r dim ond 5 gwaith y gellir gosod polisi, felly mae newid y cyfrinair i gael gwared arno yn anochel.
Yn ogystal, mae Global Policy Settings yn ffurfweddu paramedrau data y gellir eu hanfon at Check Point i ddadansoddi a gwella gweithrediad gwasanaeth ThreatCloud.
O'r Gosodiadau Polisi Byd-eang gallwch hefyd ffurfweddu rhai paramedrau polisi amgryptio disg, sef gofynion cyfrinair: cymhlethdod, hyd y defnydd, y gallu i ddefnyddio cyfrinair a oedd yn ddilys yn flaenorol, ac ati. Yn yr adran hon, gallwch uwchlwytho'ch delweddau eich hun yn lle'r rhai safonol ar gyfer Pre-boot neu OneCheck.
Gosod y Polisi
Ar Γ΄l ymgyfarwyddo Γ’ galluoedd y polisi Diogelu Data a ffurfweddu'r gosodiadau priodol yn yr adran Defnyddio, gallwch ddechrau gosod polisi newydd sy'n cynnwys amgryptio disg gan ddefnyddio Check Point Encryption a gweddill llafnau Asiant SandBlast. Ar Γ΄l gosod polisi yn y Llwyfan Rheoli, bydd y cleient yn derbyn neges yn gofyn iddynt osod y fersiwn newydd o'r polisi nawr neu aildrefnu'r gosodiad i amser arall (uchafswm o 2 ddiwrnod).
Ar Γ΄l lawrlwytho a gosod y polisi newydd, bydd Asiant SandBlast yn annog y defnyddiwr i ailgychwyn y cyfrifiadur i alluogi amddiffyniad Amgryptio Disg Llawn.
Ar Γ΄l ailgychwyn, bydd gofyn i'r defnyddiwr nodi ei gymwysterau yn ffenestr ddilysu Check Point Endpoint Security. Bydd y ffenestr hon yn ymddangos bob tro cyn i'r system weithredu gychwyn (Cyn-gychwyn). Mae'n bosibl dewis yr opsiwn Mewngofnodi Sengl (SSO) i ddefnyddio cymwysterau yn awtomatig ar gyfer dilysu. Windows.
Os bydd dilysu'n llwyddiannus, mae'r defnyddiwr yn cael mynediad i'w system, a thu Γ΄l i'r llenni mae'r broses amgryptio disg yn cychwyn. Nid yw'r llawdriniaeth hon yn effeithio ar berfformiad y peiriant mewn unrhyw ffordd, er y gall bara am amser hir (yn dibynnu ar faint o le ar y ddisg). Unwaith y bydd y broses amgryptio wedi'i chwblhau, gallwn wirio bod yr holl lafnau wedi'u pweru ac yn gweithio, bod y gyriant wedi'i amgryptio, a bod peiriant y defnyddiwr yn ddiogel.
Casgliad
Gadewch i ni grynhoi: yn yr erthygl hon fe wnaethom edrych ar alluoedd Asiant SandBlast i ddiogelu gwybodaeth sydd wedi'i storio ar beiriant y defnyddiwr gan ddefnyddio amgryptio disg yn y polisi Diogelu Data, astudio'r gosodiadau ar gyfer dosbarthu polisΓ―au ac asiantau trwy'r adran Defnyddio a gosod polisi newydd gyda disg rheolau amgryptio a llafnau ychwanegol ar beiriant y defnyddiwr . Yn yr erthygl nesaf yn y gyfres, byddwn yn edrych yn fanwl ar y galluoedd logio ac adrodd yn y Platfform Rheoli a'r cleient Asiant SandBlast.
. Er mwyn peidio Γ’ cholli'r cyhoeddiadau nesaf ar y pwnc Platfform Rheoli Asiant SandBlast, dilynwch y diweddariadau ar ein rhwydweithiau cymdeithasol (, , , , ).
Ffynhonnell: hab.com
