4. Àrd-ùrlar Riaghlaidh Àidseant SandBlast Check Point. Poileasaidh Dìon Dàta. Cleachdadh agus Roghainnean Poileasaidh Cruinneil

Fàilte don cheathramh artaigil san t-sreath mu fhuasgladh Àrd-ùrlar Riaghlaidh Àidseant Check Point SandBlast. Ann an artaigilean roimhe (an toiseach, an dàrna fear, an treas fear) thug sinn cunntas mionaideach air eadar-aghaidh agus comasan a’ chonsail riaghlaidh lìn, agus rinn sinn ath-sgrùdadh cuideachd air a’ phoileasaidh Casg Cunnart agus rinn sinn deuchainn air gus cuir an-aghaidh diofar chunnartan. Tha an artaigil seo air a choisrigeadh don dàrna pàirt tèarainteachd - am poileasaidh Dìon Dàta, air a bheil uallach airson dàta a tha air a stòradh air inneal an neach-cleachdaidh a dhìon. Cuideachd san artaigil seo bheir sinn sùil air na h-earrannan Cleachdadh agus Roghainnean Poileasaidh Cruinneil.

Poileasaidh Dìon Dàta

Leigidh am poileasaidh Dìon Dàta leat cothrom air dàta a tha air a stòradh air an inneal obrach a rèiteachadh a-mhàin do luchd-cleachdaidh ùghdarraichte, a’ cleachdadh na gnìomhan Làn-chrioptachadh diosc agus Dìon Boot. An-dràsta, thathas a’ toirt taic do na roghainnean a leanas airson crioptachadh diosc a stèidheachadh: airson Windows - Check Point Encryption no BitLocker Encryption, airson MacOS - File Vault. Bheir sinn sùil nas mionaidiche air comasan agus roghainnean gach roghainn.

Thoir sùil air crioptachadh puing

Tha Check Point Encryption na dhòigh crioptachaidh diosc àbhaisteach anns a’ phoileasaidh Dìon Dàta agus a ’toirt seachad crioptachadh de na faidhlichean siostam gu lèir (sealach, siostam, iomallach) air a’ chùl gun a bhith a ’toirt buaidh air coileanadh an inneal cleachdaiche. Às deidh crioptachadh, bidh an diosc ruigsinneach do luchd-cleachdaidh gun chead.

Is e am prìomh shuidheachadh airson Check Point Encryption “Enable Pre-boot”, a leigeas leis an riatanas gum bi luchd-cleachdaidh air an dearbhadh mus tòisich an siostam obrachaidh. Tha an roghainn seo air a mholadh airson a chleachdadh, leis gu bheil e a’ cur casg air comasachd innealan seach-rathad dearbhaidh a chleachdadh aig ìre an t-siostaim obrachaidh. Tha e comasach cuideachd paramadairean seach-rathad sealach a rèiteachadh airson a’ ghnìomh Pre-boot:

• Leig le logadh a-steach OS às deidh seach-rathad sealach - a’ cuir à comas gnìomh Pre-boot agus ag atharrachadh gu dearbhadh san t-siostam obrachaidh;

• Ceadaich seach-rathad ro-boot (Wake On LAN - WOL) - a’ cur dheth a’ ghnìomh ro-bhròg air coimpiutairean ceangailte ris an t-seirbheisiche riaghlaidh tro Ethernet;

• Ceadaich sgriobt seach-rathad - a’ leigeil leat seach-rathad na h-obrach Pre-boot a rèiteachadh, a’ nochdadh an uair agus an ceann-latha a thòisich an sgriobt a’ ruith agus na crìochan airson deireadh seach-rathad Pre-boot;

• Ceadaich seach-rathad LAN - cuir à comas an gnìomh ro-bhròg nuair a nì thu ceangal ri lìonra ionadail.

Chan eilear a’ moladh na roghainnean seach-rathad sealach gu h-àrd airson Pre-boot mura h-eil adhbhar follaiseach ann (mar eisimpleir, cumail suas no fuasgladh cheistean) agus is e am fuasgladh as fheàrr bho shealladh tèarainteachd leigeil le Pre-boot gun a bhith a’ sònrachadh riaghailtean seach-rathad sealach. Ma tha feum air faighinn seachad air Pre-boot, thathas a’ moladh an clàr-ama as ìsle a tha a dhìth a shuidheachadh anns na paramadairean seach-rathad sealach gus nach lughdaich thu an ìre dìon airson ùine mhòr.

Cuideachd, nuair a bhios tu a’ cleachdadh Check Point Encryption, tha e comasach roghainnean poileasaidh dìon dàta adhartach a rèiteachadh, mar eisimpleir, roghainnean crioptachaidh a rèiteachadh nas sùbailte, diofar thaobhan den ghnìomh Pre-boot agus dearbhadh Windows a rèiteachadh.

crioptachadh BitLocker

Tha BitLocker na phàirt de shiostam-obrachaidh Windows agus leigidh e leat draibhearan cruaidh agus meadhanan a ghabhas toirt air falbh a chrioptachadh. Tha Check Point BitLocker Management na phàirt de Sheirbheisean Windows a thòisicheas gu fèin-ghluasadach leis an neach-dèiligidh SandBlast Agent agus a’ cleachdadh API gus teicneòlas BitLocker a riaghladh.

Nuair a thaghas tu BitLocker Encryption mar an dòigh crioptachaidh draibhidh anns a’ phoileasaidh Dìon Dàta, faodaidh tu na roghainnean a leanas a rèiteachadh:

• Crioptachadh tùsail - leigidh roghainnean crioptachaidh tùsail dhut an draibhear gu lèir a chrioptachadh (Crioptachadh an draibhear slàn), a thathas a’ moladh airson innealan le dàta cleachdaiche a th ’ann mar-thà (faidhlichean, sgrìobhainnean, msaa), no dìreach an dàta a chrioptachadh (Crioptachadh àite diosc cleachdte a-mhàin), is e sin air a mholadh airson ionadan ùra Windows;

• Draibhearan airson a chrioptachadh - taghadh diosgan / sgaradh airson crioptachadh, a’ leigeil leat a h-uile draibhear (A h-uile draibhear) a chrioptachadh no dìreach an sgaradh leis an t-siostam obrachaidh (dràibhear OS a-mhàin);

• Algairim crioptachaidh - taghadh algairim crioptachaidh, is e Windows Default an roghainn a thathar a’ moladh, tha e comasach cuideachd XTS-AES-128 no XTS-AES-256 a shònrachadh.

Cruth faidhle

Is e File Vault an inneal crioptachaidh àbhaisteach aig Apple agus nì e cinnteach nach fhaigh ach luchd-cleachdaidh ùghdarraichte cothrom air dàta coimpiutair luchd-cleachdaidh. Le File Vault air a chuir a-steach, feumaidh an neach-cleachdaidh facal-faire a chuir a-steach gus an siostam a thòiseachadh agus faighinn gu faidhlichean crioptaichte. Is e cleachdadh File Vault an aon dòigh air dèanamh cinnteach à dìon dàta a tha air a stòradh sa phoileasaidh Dìon Dàta airson luchd-cleachdaidh siostam-obrachaidh MacOS.

Airson File Vault, tha an suidheachadh “Cuir an comas togail cleachdaiche fèin-ghluasadach” ri fhaighinn, a dh’ fheumas cead neach-cleachdaidh mus tòisich am pròiseas crioptachaidh diosc. Ma tha am feart seo air a chomasachadh, tha e comasach an àireamh de luchd-cleachdaidh a dh’ fheumas logadh a-steach a shònrachadh mus cuir SandBlast Agent am feart Pre-boot an sàs, no sònraich an àireamh de làithean às deidh sin thèid am feart Pre-boot a chuir an gnìomh gu fèin-ghluasadach airson a h-uile neach-cleachdaidh ùghdarraichte ma tha co-dhiù aon neach-cleachdaidh air logadh a-steach don t-siostam rè na h-ùine seo.

Ath-bheothachadh dàta

Ma tha duilgheadas agad leis an t-siostam agad a thòiseachadh, faodaidh tu diofar dhòighean ath-bheothachaidh dàta a chleachdadh. Faodaidh an rianaire am pròiseas ath-nuadhachadh dàta crioptaichte a thòiseachadh bhon roinn Riaghladh Coimpiutaireachd → Gnìomhan Làn-chrioptachaidh Dick. Ma chleachdas tu Check Point Encryption, faodaidh tu diosc a chaidh a chrioptachadh roimhe a dhì-chrioptachadh agus faighinn chun a h-uile faidhle a tha air a stòradh. Às deidh a’ mhodh-obrachaidh seo, feumaidh tu am pròiseas crioptachaidh diosc ath-thòiseachadh gus am bi am poileasaidh Dìon Dàta ag obair.

Nuair a thaghas tu BitLocker mar dhòigh crioptachaidh diosc airson dàta fhaighinn air ais, feumaidh tu ID Key Recovery a’ choimpiutair trioblaid a chuir a-steach gus iuchair ath-bheothachaidh a ghineadh, a dh’ fheumas an neach-cleachdaidh a chuir a-steach gus faighinn chun diosc crioptaichte.

Airson luchd-cleachdaidh MacOS a 'cleachdadh File Vault gus fiosrachadh a tha air a stòradh a dhìon, tha am pròiseas ath-bheothachaidh a' toirt a-steach an rianadair a 'cruthachadh iuchair ath-bheothachaidh stèidhichte air Àireamh Sreathach an inneal duilgheadas agus a' dol a-steach don iuchair seo, agus an uairsin ath-shuidheachadh am facal-faire.

Poileasaidh Cleachdadh

Bho chaidh a leigeil ma sgaoil dàrna artaigil, a bheachdaich air eadar-aghaidh a’ chonsail riaghlaidh lìn, chaidh aig Check Point air beagan atharrachaidhean a dhèanamh air an roinn Cleachdadh - a-nis tha fo-earrann ann Cleachdadh bathar-bog, anns a bheil an rèiteachadh (lannan comasachaidh / à comas) air a rèiteachadh airson riochdairean a chaidh a chuir a-steach mu thràth, agus am fo-earrann Pasgan às-mhalairt, anns an urrainn dhut pasganan a chruthachadh le lannan ro-stàlaichte airson tuilleadh stàlaidh air innealan luchd-cleachdaidh, mar eisimpleir, a’ cleachdadh poileasaidhean buidhne Active Directory. Bheir sinn sùil air an fho-earrann cleachdadh bathar-bog, anns a bheil a h-uile lann SandBlast Agent.

Leig leam do chuimhneachadh nach eil am poileasaidh cleachdadh àbhaisteach a’ toirt a-steach ach lannan anns an roinn Bacadh Cunnart. A’ toirt aire don phoileasaidh Dìon Dàta a chaidh a dheasbad roimhe, faodaidh tu a-nis an roinn seo a chomasachadh airson stàladh agus obrachadh air inneal teachdaiche le SandBlast Agent. Tha e ciallach a bhith a’ toirt a-steach gnìomh Remote Access VPN, a leigeas leis an neach-cleachdaidh ceangal, mar eisimpleir, ri lìonra corporra na buidhne, a bharrachd air an roinn Ruigsinneachd is Gèilleadh, a tha a’ toirt a-steach gnìomhan Firewall & Application Control agus a’ sgrùdadh inneal an neach-cleachdaidh. airson gèilleadh ris a’ phoileasaidh Gèilleadh.

Pasgan às-mhalairt

Tha am fo-earrann Pasganan Às-mhalairt gu math furasta a chleachdadh: gus pasgan rèiteachaidh a chruthachadh, feumaidh tu ainm a shònrachadh, tagh an siostam obrachaidh (airson Windows, sònraich cuideachd am bitness) agus dreach an àidseant, agus an uairsin tagh na poileasaidhean tèarainteachd airson an toirt a-steach. a' phacaid. A bharrachd air an sin, faodaidh tu buidheann brìgheil a shònrachadh a bheir a-steach coimpiutairean leis a’ phacaid a chaidh a chuir a-steach, agus cuideachd làrach VPN a thaghadh le seòladh ceangail ro-shuidhichte agus paramadairean dearbhaidh (tha Làraich VPN air an rèiteachadh anns an roinn Pasganan Às-mhalairt → Stiùirich Làraichean VPN). Tha a’ phuing mu dheireadh gu sònraichte goireasach, leis gu bheil e a’ cuir às do chomas mearachd neach-cleachdaidh nuair a bhios tu a’ rèiteachadh roghainnean ceangail VPN.

Roghainnean Poileasaidh Cruinneil

Anns na Roghainnean Poileasaidh Cruinneil, tha aon de na paramadairean as cudromaiche air a rèiteachadh - am facal-faire airson SandBlast Agent a thoirt air falbh bhon inneal cleachdaiche. Aon uair ‘s gu bheil an neach-ionaid air a chuir a-steach, cha bhith e comasach don neach-cleachdaidh a thoirt air falbh gun a bhith a’ dol a-steach don fhacal-fhaire, a tha mar as trice “dìomhair" (gun luachan). Ach, tha am facal-faire àbhaisteach seo furasta a lorg ann an stòran fosgailte, agus nuair a bhios tu a’ cur an gnìomh fuasgladh SandBlast Agent, thathas a’ moladh am facal-faire àbhaisteach atharrachadh gus an àidseant a thoirt air falbh. Anns an Àrd-ùrlar Riaghlaidh, le facal-faire àbhaisteach, thèid an chan urrainnear poileasaidh a shuidheachadh ach 5 tursan, agus mar sin tha e do-sheachanta am facal-faire atharrachadh gus a thoirt air falbh.
A bharrachd air an sin, bidh Global Policy Settings a’ rèiteachadh paramadairean dàta a dh’ fhaodar a chuir gu Check Point gus gnìomhachd seirbheis ThreatCloud a sgrùdadh agus adhartachadh.

Bho Roghainnean Poileasaidh Cruinneil faodaidh tu cuideachd cuid de pharaimearan poileasaidh crioptachaidh diosc a rèiteachadh, is e sin riatanasan facal-faire: iom-fhillteachd, fad cleachdaidh, an comas facal-faire a bha dligheach roimhe a chleachdadh, msaa. Anns an earrainn seo, faodaidh tu na h-ìomhaighean agad fhèin a luchdachadh suas an àite an fheadhainn àbhaisteach airson Pre-boot no OneCheck.

A 'suidheachadh a' phoileasaidh

Às deidh dhut eòlas fhaighinn air comasan a’ phoileasaidh Dìon Dàta agus na roghainnean iomchaidh a rèiteachadh anns an roinn Cleachdadh, faodaidh tu tòiseachadh air poileasaidh ùr a chuir a-steach a tha a’ toirt a-steach crioptachadh diosc a’ cleachdadh Check Point Encryption agus an còrr de lannan SandBlast Agent. Às deidh dhaibh poileasaidh a chuir a-steach san Àrd-ùrlar Riaghlaidh, gheibh an neach-dèiligidh teachdaireachd ag iarraidh orra an dreach ùr den phoileasaidh a chuir a-steach an-dràsta no an stàladh ath-eagrachadh gu àm eile (2 latha aig a’ char as àirde).

Às deidh dhut am poileasaidh ùr a luchdachadh sìos agus a chuir a-steach, brosnaichidh SandBlast Agent an neach-cleachdaidh an coimpiutair ath-thòiseachadh gus dìon làn chrioptachadh diosc a chomasachadh.

Às deidh an ath-thòiseachadh, feumaidh an neach-cleachdaidh na teisteanasan aige a chuir a-steach san uinneag dearbhaidh tèarainteachd Check Point Endpoint - nochdaidh an uinneag seo a h-uile uair mus tòisich e air an t-siostam obrachaidh (Pre-boot). Tha e comasach an roghainn Singilte Sign-On (SSO) a thaghadh gus teisteanasan a chleachdadh gu fèin-ghluasadach airson dearbhadh ann an Windows.

Ma shoirbhicheas leis an dearbhadh, gheibh an neach-cleachdaidh cothrom air an t-siostam aige, agus air cùl na seallaidhean tòisichidh am pròiseas crioptachaidh diosc. Chan eil an obrachadh seo a 'toirt buaidh air coileanadh an inneil ann an dòigh sam bith, ged a dh' fhaodadh e mairsinn airson ùine mhòr (a rèir na tha de dh 'àite diosg). Aon uair ‘s gu bheil am pròiseas crioptachaidh deiseil, is urrainn dhuinn dearbhadh gu bheil na lannan uile air an cumhachdachadh agus ag obair, gu bheil an draibhear air a chrioptachadh, agus gu bheil inneal an neach-cleachdaidh tèarainte.

co-dhùnadh

Bheir sinn geàrr-chunntas: san artaigil seo thug sinn sùil air comasan SandBlast Agent gus fiosrachadh a tha air a stòradh air inneal an neach-cleachdaidh a dhìon le bhith a’ cleachdadh crioptachadh diosc sa phoileasaidh Dìon Dàta, rinn sinn sgrùdadh air na roghainnean airson a bhith a’ sgaoileadh phoileasaidhean agus àidseantan tron ​​roinn Cleachdadh agus chuir sinn a-steach poileasaidh ùr le diosc. riaghailtean crioptachaidh agus lannan a bharrachd air inneal an neach-cleachdaidh. Anns an ath artaigil san t-sreath, bheir sinn sùil mhionaideach air na comasan clàraidh agus aithris anns an Àrd-ùrlar Riaghlaidh agus teachdaiche SandBlast Agent.

Taghadh mòr de stuthan air Check Point bho TS Solution. Gus nach caill thu na h-ath fhoillseachaidhean air a’ chuspair SandBlast Agent Management Platform, lean na h-ùrachaidhean air na lìonraidhean sòisealta againn (teileagram, Facebook, VK, Blog Fuasgladh TS, Yandex Zen).

Source: www.habr.com