
Benvido ao cuarto artigo da serie sobre a solución Check Point SandBlast Agent Management Platform. En artigos anteriores (, , ) describimos en detalle a interface e as capacidades da consola de xestión web, e tamén revisamos a política de prevención de ameazas e probámola para contrarrestar diversas ameazas. Este artigo está dedicado ao segundo compoñente de seguridade: a política de protección de datos, que se encarga de protexer os datos almacenados na máquina do usuario. Tamén neste artigo veremos as seccións de Implementación e Configuración de políticas globais.
Política de protección de datos
A política de protección de datos permítelle restrinxir o acceso aos datos almacenados nunha estación de traballo a usuarios autorizados mediante o cifrado completo do disco e a protección de arranque. Actualmente admítense as seguintes opcións de configuración de cifrado de disco: Windows — Cifrado de Check Point ou Cifrado de BitLocker, para macOS — Caixa forte de ficheiros. Vexamos con máis detalle as características e a configuración de cada opción.
Cifrado do punto de verificación
Check Point Encryption é un método de cifrado de disco estándar na política de protección de datos e proporciona o cifrado de todos os ficheiros do sistema (temporais, do sistema, remotos) en segundo plano sen afectar o rendemento da máquina do usuario. Despois do cifrado, o disco pasa a ser inaccesible para usuarios non autorizados.
A configuración principal de Check Point Encryption é "Activar prearranque", que permite que os usuarios se autentiquen antes de iniciar o sistema operativo. Recoméndase utilizar esta opción, xa que impide a posibilidade de utilizar ferramentas de bypass de autenticación a nivel de sistema operativo. Tamén é posible configurar parámetros de bypass temporais para a función de prearranque:
- Permitir o inicio de sesión do SO despois da omisión temporal — desactivar a función de prearranque e cambiar á autenticación no sistema operativo;
- Permitir omisión previa ao arranque (Wake On LAN – WOL) — desactivar a función de prearranque en ordenadores conectados ao servidor de xestión mediante Ethernet;
- Permitir omitir o script — permítelle configurar a anulación da función de prearranque, indicando a hora e a data na que comezou a executarse o script e os parámetros para o final da anulación de prearranque;
- Permitir a derivación da LAN — desactive a función de prearranque ao conectarse a unha rede local.
Non se recomendan as opcións de omisión temporais anteriores para o prearranque a non ser que haxa un motivo obvio (por exemplo, mantemento ou solución de problemas), e a mellor solución desde o punto de vista da seguridade é habilitar o prearranque sen especificar regras de anulación temporais. Se é necesario ignorar o prearranque, recoméndase establecer o período de tempo mínimo necesario nos parámetros de bypass temporal para non reducir o nivel de protección durante moito tempo.
Ademais, ao usar o cifrado de Check Point, é posible configurar axustes avanzados da política de protección de datos, por exemplo, unha configuración máis flexible dos parámetros de cifrado, a configuración de varios aspectos da función de prearranque e a autenticación. Windows.
Cifrado BitLocker
BitLocker forma parte do sistema operativo. Windows e permítelle cifrar discos duros e soportes extraíbles. Check Point BitLocker Management é un compoñente dos servizos Windows, execútase automaticamente co cliente do axente de SandBlast e usa unha API para xestionar a tecnoloxía BitLocker.
Cando selecciona Cifrado BitLocker como método de cifrado da unidade na política de Protección de datos, pode configurar os seguintes axustes:
- Cifrado inicial — a configuración inicial de cifrado permíteche cifrar toda a unidade (Cifrar toda a unidade), o que se recomenda para máquinas con datos de usuario existentes (ficheiros, documentos, etc.), ou cifrar só os datos (Cifrar só o espazo de disco usado), o que se recomenda para novas instalacións Windows;
- Unidades para cifrar — selección de discos/particións para o cifrado, permítelle cifrar todas as unidades (todas as unidades) ou só a partición co sistema operativo (só a unidade do SO);
- Algoritmo de cifrado — selección do algoritmo de cifrado, a opción recomendada é Windows Por defecto, tamén podes especificar XTS-AES-128 ou XTS-AES-256.
Bóveda de ficheiros
File Vault é a ferramenta de cifrado estándar de Apple e garante que só os usuarios autorizados poidan acceder aos datos do ordenador do usuario. Con File Vault instalado, o usuario debe introducir un contrasinal para iniciar o sistema e acceder aos ficheiros cifrados. Usar File Vault é o único xeito de garantir a protección dos datos almacenados na política de protección de datos para os usuarios do sistema operativo MacOS.
Para File Vault, está dispoñible a configuración "Activar a adquisición automática de usuarios", que require a autorización do usuario antes de que comece o proceso de cifrado do disco. Se esta función está activada, é posible especificar o número de usuarios que deben iniciar sesión antes de que SandBlast Agent aplique a función de prearranque ou especificar o número de días despois dos cales a función de prearranque se implementará automaticamente para todos os usuarios autorizados. se durante este período polo menos un usuario iniciou sesión no sistema.
Recuperación de datos
Se tes problemas para iniciar o teu sistema, podes utilizar varios métodos de recuperación de datos. O administrador pode iniciar o proceso de restauración dos datos cifrados desde a sección Xestión do ordenador → Accións de cifrado completo. Se utiliza o cifrado de Check Point, pode descifrar un disco previamente cifrado e acceder a todos os ficheiros almacenados. Despois deste procedemento, debes reiniciar o proceso de cifrado do disco para que funcione a política de protección de datos.
Ao escoller BitLocker como método de cifrado de disco para a recuperación de datos, debes introducir o ID da chave de recuperación do ordenador problema para xerar unha clave de recuperación, que debe introducir o usuario para acceder ao disco cifrado.
Para os usuarios de MacOS que usan File Vault para protexer a información almacenada, o proceso de recuperación implica que o administrador xere unha clave de recuperación baseada no número de serie da máquina problemática e introduza esta clave, seguido de restablecer o contrasinal.
Política de implantación
Desde o lanzamento , que discutiu a interface da consola de xestión web, Check Point conseguiu facer algúns cambios na sección de Implementación; agora contén unha subsección Implementación de software, na que se configura a configuración (activación/desactivación de láminas) para axentes xa instalados e a subsección Paquete de exportación, no que pode crear paquetes con láminas preinstaladas para posterior instalación en máquinas de usuarios, por exemplo, mediante políticas de grupo de Active Directory. Vexamos a subsección de Implementación de software, que inclúe todas as láminas do axente SandBlast.
Permíteme lembrarche que a política de implementación estándar só inclúe as láminas na categoría Prevención de ameazas. Tendo en conta a política de protección de datos comentada anteriormente, agora pode habilitar esta categoría para a instalación e a operación nunha máquina cliente con SandBlast Agent. Ten sentido incluír a función VPN de acceso remoto, que permitirá ao usuario conectarse, por exemplo, á rede corporativa da organización, así como a categoría Acceso e conformidade, que inclúe as funcións Firewall e Control de aplicacións e comprobar a máquina do usuario. para o cumprimento da política de cumprimento.
Paquete de exportación
A subsección Exportar paquetes é extremadamente doada de usar: para crear un paquete de configuración, cómpre especificar o seu nome, seleccionar o sistema operativo (por exemplo Windows (Especifique tamén a profundidade de bits) e a versión do axente e, a seguir, seleccione as políticas de seguranza integradas no paquete. Tamén pode especificar un grupo virtual que incluirá ordenadores co paquete instalado e seleccionar un sitio VPN cun enderezo de conexión e uns parámetros de autenticación predefinidos (os sitios VPN configúranse en Exportar paquetes → Xestionar sitios VPN). Esta última opción é especialmente cómoda, xa que elimina a posibilidade de erros do usuario ao configurar os parámetros de conexión VPN.
Configuración de políticas globais
Na configuración de política global, está configurado un dos parámetros máis importantes: o contrasinal para eliminar SandBlast Agent da máquina do usuario. Unha vez instalado o axente, o usuario non poderá eliminalo sen introducir o contrasinal, que por defecto é "segredo" (sen comiñas). Non obstante, este contrasinal estándar é fácil de atopar en fontes abertas e, ao implementar a solución SandBlast Agent, recoméndase cambiar o contrasinal estándar para eliminar o axente. En Management Platform, cun contrasinal estándar, A política só se pode establecer 5 veces, polo que é inevitable cambiar o contrasinal para eliminalo.
Ademais, Global Policy Settings configura parámetros de datos que se poden enviar a Check Point para analizar e mellorar o funcionamento do servizo ThreatCloud.
Desde Configuración de políticas globais tamén pode configurar algúns parámetros da política de cifrado de discos, a saber, os requisitos de contrasinal: complexidade, duración do uso, posibilidade de utilizar un contrasinal válido anteriormente, etc. Nesta sección, pode cargar as súas propias imaxes en lugar das estándar para o preinicio ou OneCheck.
Establecemento da política
Unha vez familiarizado coas capacidades da política de protección de datos e configurado a configuración adecuada na sección Implementación, pode comezar a instalar unha nova política que inclúa o cifrado de disco mediante Check Point Encryption e o resto das láminas do axente SandBlast. Despois de instalar unha política na Plataforma de Xestión, o cliente recibirá unha mensaxe na que lle solicita que instale agora a nova versión da política ou que reprograma a instalación para outro momento (máximo 2 días).
Despois de descargar e instalar a nova política, SandBlast Agent pedirá ao usuario que reinicie o ordenador para activar a protección de cifrado de disco completo.
Despois de reiniciar, o usuario deberá introducir as súas credenciais na xanela de autenticación de Check Point Endpoint Security. Esta xanela aparecerá cada vez antes de que se inicie o sistema operativo (prearranque). É posible seleccionar a opción de inicio de sesión único (SSO) para usar automaticamente as credenciais para a autenticación. Windows.
Se a autenticación é exitosa, o usuario accede ao seu sistema e entre bastidores comeza o proceso de cifrado do disco. Esta operación non afecta de ningún xeito ao rendemento da máquina, aínda que pode durar moito tempo (dependendo da cantidade de espazo no disco). Unha vez que se complete o proceso de cifrado, podemos verificar que todas as láminas están encendidas e funcionando, que a unidade está cifrada e que a máquina do usuario está segura.
Conclusión
Resumimos: neste artigo analizamos as capacidades de SandBlast Agent para protexer a información almacenada na máquina do usuario mediante o cifrado de disco na política de Protección de datos, estudamos a configuración para distribuír políticas e axentes a través da sección de Implementación e instalamos unha nova política con disco. regras de cifrado e láminas adicionais na máquina do usuario. No seguinte artigo da serie, analizaremos detalladamente as capacidades de rexistro e informes na plataforma de xestión e no cliente SandBlast Agent.
. Para non perderse as próximas publicacións sobre o tema SandBlast Agent Management Platform, siga as actualizacións nas nosas redes sociais (, , , , ).
Fonte: www.habr.com
