
Willkommen zum vierten Artikel der Serie über die Check Point SandBlast Agent Management Platform-Lösung. In früheren Artikeln (, , ) haben wir die Benutzeroberfläche und die Funktionen der Web-Management-Konsole ausführlich beschrieben, außerdem die Richtlinie zur Bedrohungsverhinderung überprüft und getestet, um verschiedenen Bedrohungen entgegenzuwirken. Dieser Artikel ist der zweiten Sicherheitskomponente gewidmet – der Datenschutzrichtlinie, die für den Schutz der auf dem Benutzercomputer gespeicherten Daten verantwortlich ist. Außerdem werden wir uns in diesem Artikel mit den Abschnitten „Bereitstellung“ und „Globale Richtlinieneinstellungen“ befassen.
Datenschutzrichtlinie
Die Datenschutzrichtlinie ermöglicht es Ihnen, den Zugriff auf Daten, die auf einer Workstation gespeichert sind, mithilfe von vollständiger Festplattenverschlüsselung und Startschutz auf autorisierte Benutzer zu beschränken. Folgende Konfigurationsoptionen für die Festplattenverschlüsselung werden derzeit unterstützt: Windows — Check Point-Verschlüsselung oder BitLocker-Verschlüsselung für macOS — Datei-Tresor. Sehen wir uns die Funktionen und Einstellungen der einzelnen Optionen genauer an.
Check Point-Verschlüsselung
Check Point Encryption ist eine standardmäßige Festplattenverschlüsselungsmethode in der Datenschutzrichtlinie und ermöglicht die Verschlüsselung aller Systemdateien (temporär, System, Remote) im Hintergrund, ohne die Leistung des Benutzercomputers zu beeinträchtigen. Nach der Verschlüsselung ist die Festplatte für nicht autorisierte Benutzer unzugänglich.
Die Haupteinstellung für Check Point Encryption ist „Pre-Boot aktivieren“, wodurch die Anforderung aktiviert wird, dass Benutzer vor dem Start des Betriebssystems authentifiziert werden müssen. Die Verwendung dieser Option wird empfohlen, da sie die Möglichkeit der Verwendung von Authentifizierungsumgehungstools auf Betriebssystemebene verhindert. Es ist auch möglich, temporäre Bypass-Parameter für die Pre-Boot-Funktion zu konfigurieren:
- Erlauben Sie die Betriebssystemanmeldung nach vorübergehender Umgehung — Deaktivieren der Pre-Boot-Funktion und Umschalten auf Authentifizierung im Betriebssystem;
- Pre-Boot-Bypass zulassen (Wake On LAN – WOL) — Deaktivieren der Pre-Boot-Funktion auf Computern, die über Ethernet mit dem Verwaltungsserver verbunden sind;
- Umgehungsskript zulassen – ermöglicht Ihnen die Konfiguration der Umgehung der Pre-Boot-Funktion unter Angabe der Uhrzeit und des Datums, an dem die Ausführung des Skripts gestartet wurde, sowie der Parameter für das Ende der Pre-Boot-Umgehung;
- LAN-Bypass zulassen — Deaktivieren Sie die Pre-Boot-Funktion, wenn Sie eine Verbindung zu einem lokalen Netzwerk herstellen.
Die oben genannten temporären Bypass-Optionen für Pre-Boot werden nicht empfohlen, es sei denn, es gibt einen offensichtlichen Grund (z. B. Wartung oder Fehlerbehebung). Aus Sicherheitsgründen besteht die beste Lösung darin, Pre-Boot zu aktivieren, ohne temporäre Bypass-Regeln anzugeben. Wenn eine Umgehung des Pre-Boot-Vorgangs erforderlich ist, wird empfohlen, in den temporären Umgehungsparametern den minimal erforderlichen Zeitrahmen festzulegen, um das Schutzniveau nicht über einen längeren Zeitraum zu verringern.
Bei Verwendung von Check Point Encryption können zudem erweiterte Einstellungen der Datenschutzrichtlinie konfiguriert werden, beispielsweise eine flexiblere Konfiguration der Verschlüsselungsparameter, die Konfiguration verschiedener Aspekte der Pre-Boot-Funktion und der Authentifizierung. Windows.
BitLocker-Verschlüsselung
BitLocker ist Teil des Betriebssystems. Windows und ermöglicht die Verschlüsselung von Festplatten und Wechseldatenträgern. Check Point BitLocker Management ist eine Komponente der Dienste. Windows, läuft automatisch mit dem SandBlast Agent-Client und verwendet eine API zur Verwaltung der BitLocker-Technologie.
Wenn Sie in der Datenschutzrichtlinie die BitLocker-Verschlüsselung als Laufwerkverschlüsselungsmethode auswählen, können Sie die folgenden Einstellungen konfigurieren:
- Erstverschlüsselung — Die anfänglichen Verschlüsselungseinstellungen ermöglichen es Ihnen, das gesamte Laufwerk zu verschlüsseln (Gesamtes Laufwerk verschlüsseln), was für Rechner mit vorhandenen Benutzerdaten (Dateien, Dokumente usw.) empfohlen wird, oder nur die Daten zu verschlüsseln (Nur belegten Speicherplatz verschlüsseln), was für Neuinstallationen empfohlen wird. Windows;
- Laufwerke zum Verschlüsseln — Auswahl der Festplatten/Partitionen für die Verschlüsselung, ermöglicht die Verschlüsselung aller Laufwerke (Alle Laufwerke) oder nur der Partition mit dem Betriebssystem (nur Betriebssystemlaufwerk);
- Verschlüsselungsalgorithmus — Auswahl des Verschlüsselungsalgorithmus, die empfohlene Option ist Windows Standardmäßig können Sie auch XTS-AES-128 oder XTS-AES-256 angeben.
Datentresor
File Vault ist Apples Standard-Verschlüsselungstool und stellt sicher, dass nur autorisierte Benutzer auf Benutzercomputerdaten zugreifen können. Wenn File Vault installiert ist, muss der Benutzer ein Passwort eingeben, um das System zu starten und Zugriff auf verschlüsselte Dateien zu erhalten. Die Verwendung von File Vault ist die einzige Möglichkeit, den Schutz der gespeicherten Daten in der Datenschutzrichtlinie für Benutzer des MacOS-Betriebssystems sicherzustellen.
Für File Vault ist die Einstellung „Automatische Benutzerakquise aktivieren“ verfügbar, die eine Benutzerautorisierung erfordert, bevor der Festplattenverschlüsselungsprozess beginnt. Wenn diese Funktion aktiviert ist, ist es möglich, die Anzahl der Benutzer anzugeben, die sich anmelden müssen, bevor SandBlast Agent die Pre-Boot-Funktion anwendet, oder die Anzahl der Tage anzugeben, nach denen die Pre-Boot-Funktion automatisch für alle autorisierten Benutzer implementiert wird wenn sich in diesem Zeitraum mindestens ein Benutzer am System angemeldet hat.
Восстановление данных
Wenn Sie Probleme beim Booten Ihres Systems haben, können Sie verschiedene Methoden zur Datenwiederherstellung verwenden. Der Administrator kann den Prozess der Wiederherstellung verschlüsselter Daten über den Abschnitt Computerverwaltung → Vollständige Dick-Verschlüsselungsaktionen initiieren. Wenn Sie Check Point Encryption verwenden, können Sie eine zuvor verschlüsselte Festplatte entschlüsseln und Zugriff auf alle gespeicherten Dateien erhalten. Nach diesem Vorgang müssen Sie den Festplattenverschlüsselungsprozess neu starten, damit die Datenschutzrichtlinie funktioniert.
Wenn Sie BitLocker als Festplattenverschlüsselungsmethode für die Datenwiederherstellung auswählen, müssen Sie die Wiederherstellungsschlüssel-ID des Problemcomputers eingeben, um einen Wiederherstellungsschlüssel zu generieren, den der Benutzer eingeben muss, um Zugriff auf die verschlüsselte Festplatte zu erhalten.
Für MacOS-Benutzer, die File Vault zum Schutz gespeicherter Informationen verwenden, umfasst der Wiederherstellungsprozess, dass der Administrator einen Wiederherstellungsschlüssel basierend auf der Seriennummer des problematischen Computers generiert, diesen Schlüssel eingibt und anschließend das Kennwort zurücksetzt.
Bereitstellungsrichtlinie
Seit der Veröffentlichung , in dem die Schnittstelle der Web-Management-Konsole besprochen wurde, gelang es Check Point, einige Änderungen am Abschnitt „Bereitstellung“ vorzunehmen – er enthält jetzt einen Unterabschnitt Software-Bereitstellung, in dem die Konfiguration (Aktivieren/Deaktivieren von Blades) für bereits installierte Agents konfiguriert wird, und den Unterabschnitt Paket exportieren, in dem Sie Pakete mit vorinstallierten Blades für die weitere Installation auf Benutzercomputern erstellen können, beispielsweise mithilfe von Active Directory-Gruppenrichtlinien. Schauen wir uns den Unterabschnitt „Softwarebereitstellung“ an, der alle SandBlast Agent-Blades umfasst.
Ich möchte Sie daran erinnern, dass die Standard-Bereitstellungsrichtlinie nur Blades in der Kategorie „Bedrohungsprävention“ umfasst. Unter Berücksichtigung der zuvor besprochenen Datenschutzrichtlinie können Sie diese Kategorie jetzt für die Installation und den Betrieb auf einem Client-Computer mit SandBlast Agent aktivieren. Es ist sinnvoll, die Funktion „Remote Access VPN“ einzubeziehen, die es dem Benutzer ermöglicht, sich beispielsweise mit dem Unternehmensnetzwerk der Organisation zu verbinden, sowie die Kategorie „Zugriff und Compliance“, die die Funktionen „Firewall & Anwendungskontrolle“ und „Überprüfung des Benutzercomputers“ umfasst für die Einhaltung der Compliance-Richtlinie.
Paket exportieren
Der Unterabschnitt „Exportpakete“ ist äußerst benutzerfreundlich: Um ein Konfigurationspaket zu erstellen, müssen Sie dessen Namen angeben und das Betriebssystem auswählen (für Windows Geben Sie auch die Bittiefe und die Agentenversion an und wählen Sie anschließend die im Paket enthaltenen Sicherheitsrichtlinien aus. Sie können außerdem eine virtuelle Gruppe festlegen, die Computer mit installiertem Paket umfasst, und einen VPN-Standort mit vordefinierter Verbindungsadresse und Authentifizierungsparametern auswählen (VPN-Standorte werden unter „Pakete exportieren“ → „VPN-Standorte verwalten“ konfiguriert). Letztere Option ist besonders praktisch, da sie Benutzerfehler bei der Konfiguration der VPN-Verbindungsparameter ausschließt.
Globale Richtlinieneinstellungen
In den globalen Richtlinieneinstellungen wird einer der wichtigsten Parameter konfiguriert – das Passwort zum Entfernen des SandBlast-Agenten vom Benutzercomputer. Sobald der Agent installiert ist, kann der Benutzer ihn nicht mehr entfernen, ohne das Passwort einzugeben, das standardmäßig „secret" (ohne Anführungszeichen). Dieses Standardkennwort ist jedoch in offenen Quellen leicht zu finden, und bei der Implementierung der SandBlast Agent-Lösung wird empfohlen, das Standardkennwort zu ändern, um den Agenten zu entfernen. In der Managementplattform wird mit einem Standardkennwort das Die Richtlinie kann nur fünfmal festgelegt werden, daher ist es unvermeidlich, das Kennwort zu ändern, um sie zu entfernen.
Darüber hinaus konfigurieren die globalen Richtlinieneinstellungen Datenparameter, die an Check Point gesendet werden können, um den Betrieb des ThreatCloud-Dienstes zu analysieren und zu verbessern.
In den globalen Richtlinieneinstellungen können Sie auch einige Parameter der Festplattenverschlüsselungsrichtlinie konfigurieren, nämlich Kennwortanforderungen: Komplexität, Nutzungsdauer, die Möglichkeit, ein zuvor gültiges Kennwort zu verwenden usw. In diesem Abschnitt können Sie Ihre eigenen Bilder anstelle der Standardbilder für Pre-Boot oder OneCheck hochladen.
Festlegen der Richtlinie
Nachdem Sie sich mit den Funktionen der Datenschutzrichtlinie vertraut gemacht und die entsprechenden Einstellungen im Abschnitt „Bereitstellung“ konfiguriert haben, können Sie mit der Installation einer neuen Richtlinie beginnen, die die Festplattenverschlüsselung mithilfe von Check Point Encryption und den übrigen SandBlast Agent-Blades umfasst. Nach der Installation einer Richtlinie auf der Verwaltungsplattform erhält der Kunde eine Nachricht, in der er aufgefordert wird, die neue Version der Richtlinie jetzt zu installieren oder die Installation auf einen anderen Zeitpunkt (maximal 2 Tage) zu verschieben.
Nach dem Herunterladen und Installieren der neuen Richtlinie fordert SandBlast Agent den Benutzer auf, den Computer neu zu starten, um den Schutz durch vollständige Festplattenverschlüsselung zu aktivieren.
Nach dem Neustart muss der Benutzer seine Anmeldeinformationen im Authentifizierungsfenster von Check Point Endpoint Security eingeben. Dieses Fenster wird jedes Mal vor dem Start des Betriebssystems (Pre-Boot) angezeigt. Es besteht die Möglichkeit, die Option „Single Sign-On (SSO)“ auszuwählen, um die Anmeldeinformationen automatisch zur Authentifizierung zu verwenden. Windows.
Bei erfolgreicher Authentifizierung erhält der Benutzer Zugriff auf sein System und hinter den Kulissen beginnt der Prozess der Festplattenverschlüsselung. Dieser Vorgang beeinträchtigt die Leistung der Maschine in keiner Weise, kann jedoch (abhängig von der Größe des Festplattenspeichers) lange dauern. Sobald der Verschlüsselungsprozess abgeschlossen ist, können wir überprüfen, ob alle Blades eingeschaltet sind und funktionieren, das Laufwerk verschlüsselt ist und der Computer des Benutzers sicher ist.
Fazit
Fassen wir zusammen: In diesem Artikel haben wir uns die Fähigkeiten des SandBlast-Agenten zum Schutz der auf dem Computer des Benutzers gespeicherten Informationen mithilfe der Festplattenverschlüsselung in der Datenschutzrichtlinie angesehen, die Einstellungen für die Verteilung von Richtlinien und Agenten über den Abschnitt „Bereitstellung“ untersucht und eine neue Richtlinie mit der Festplatte installiert Verschlüsselungsregeln und zusätzliche Blades auf dem Computer des Benutzers. Im nächsten Artikel der Serie werfen wir einen detaillierten Blick auf die Protokollierungs- und Berichtsfunktionen in der Managementplattform und im SandBlast Agent-Client.
. Um die nächsten Veröffentlichungen zum Thema SandBlast Agent Management Platform nicht zu verpassen, verfolgen Sie die Updates in unseren sozialen Netzwerken (, , , , ).
Source: habr.com
