Dobro došli u četvrti članak u nizu o rješenju Check Point SandBlast Agent Management Platform. U prethodnim člancima (, , ) detaljno smo opisali sučelje i mogućnosti web upravljačke konzole, a također smo pregledali politiku sprječavanja prijetnji i testirali je za suzbijanje raznih prijetnji. Ovaj članak posvećen je drugoj sigurnosnoj komponenti - politici zaštite podataka, koja je odgovorna za zaštitu podataka pohranjenih na korisničkom računalu. Također u ovom članku ćemo pogledati odjeljak Deployment i Global Policy Settings.
Politika zaštite podataka
Politika zaštite podataka omogućuje vam da konfigurirate pristup podacima pohranjenim na radnom stroju samo ovlaštenim korisnicima, koristeći funkcije Full Disk Encryption i Boot Protection. Trenutno su podržane sljedeće opcije za postavljanje enkripcije diska: za Windows - Check Point enkripcija ili BitLocker enkripcija, za MacOS - File Vault. Pogledajmo pobliže mogućnosti i postavke svake opcije.
Check Point šifriranje
Check Point Encryption standardna je metoda šifriranja diska u politici zaštite podataka i omogućuje šifriranje svih sistemskih datoteka (privremenih, sistemskih, udaljenih) u pozadini bez utjecaja na performanse korisničkog stroja. Nakon enkripcije disk postaje nedostupan neovlaštenim korisnicima.
Glavna postavka za šifriranje Check Pointa je "Omogući prethodno pokretanje", što omogućuje zahtjev da korisnici budu autentificirani prije pokretanja operativnog sustava. Ova opcija se preporučuje za korištenje, jer onemogućuje mogućnost korištenja alata za zaobilaženje provjere autentičnosti na razini operativnog sustava. Također je moguće konfigurirati privremene parametre premosnice za funkciju Pre-boot:
- Dopusti prijavu u OS nakon privremenog zaobilaženja — isključivanje funkcije Pre-boot i prebacivanje na autentifikaciju u operativnom sustavu;
- Dopusti premosnicu prije pokretanja (Wake On LAN – WOL) — onemogućavanje funkcije prije pokretanja na računalima povezanim na poslužitelj za upravljanje putem Etherneta;
- Dopusti skriptu za zaobilaženje — omogućuje vam da konfigurirate zaobilaženje funkcije Pre-boot, naznačujući vrijeme i datum pokretanja skripte i parametre za kraj Pre-boot zaobilaženja;
- Dopusti LAN premosnicu — onemogućite funkciju prije pokretanja pri povezivanju na lokalnu mrežu.
Gornje privremene mogućnosti zaobilaženja za Pre-boot se ne preporučuju osim ako postoji očiti razlog (na primjer, održavanje ili rješavanje problema), a najbolje rješenje sa sigurnosne točke gledišta je omogućiti Pre-boot bez navođenja pravila privremenog zaobilaženja. Ako je potrebno zaobići Pre-boot, preporuča se postaviti minimalni potrebni vremenski okvir u parametrima privremenog zaobilaženja kako se razina zaštite ne bi smanjila na dulje vrijeme.
Također, kada koristite Check Point Encryption, moguće je konfigurirati napredne postavke politike zaštite podataka, na primjer, fleksibilnije konfigurirati postavke enkripcije, konfigurirati različite aspekte funkcije Pre-boot i Windows autentifikaciju.
BitLocker šifriranje
BitLocker je dio operacijskog sustava Windows i omogućuje šifriranje tvrdih diskova i prijenosnih medija. Check Point BitLocker Management je komponenta Windows usluga koja se automatski pokreće s SandBlast Agent klijentom i koristi API za upravljanje BitLocker tehnologijom.
Kada odaberete BitLocker enkripciju kao metodu šifriranja pogona u politici zaštite podataka, možete konfigurirati sljedeće postavke:
- Početno šifriranje — početne postavke enkripcije omogućuju šifriranje cijelog pogona (Encrypt whole drive), što se preporučuje za strojeve s postojećim korisničkim podacima (datoteke, dokumenti itd.), ili šifriranje samo podataka (Encrypt only used disk space), što je preporučuje se za nove Windows instalacije;
- Pogoni za šifriranje — odabir diskova/particija za enkripciju, omogućuje šifriranje svih pogona (All drives) ili samo particije s operativnim sustavom (OS drive only);
- Algoritam šifriranja — odabir algoritma enkripcije, preporučena opcija je Windows Default, također je moguće navesti XTS-AES-128 ili XTS-AES-256.
Trezor datoteka
File Vault je Appleov standardni alat za šifriranje i osigurava da samo ovlašteni korisnici mogu pristupiti korisničkim računalnim podacima. S instaliranim File Vaultom, korisnik mora unijeti lozinku kako bi pokrenuo sustav i dobio pristup šifriranim datotekama. Korištenje Trezora datoteka jedini je način da se osigura zaštita pohranjenih podataka u politici zaštite podataka za korisnike operacijskog sustava MacOS.
Za File Vault dostupna je postavka "Omogući automatsko prikupljanje korisnika", koja zahtijeva autorizaciju korisnika prije početka procesa šifriranja diska. Ako je ova značajka omogućena, moguće je odrediti broj korisnika koji se moraju prijaviti prije nego što SandBlast Agent primijeni značajku Pre-boot ili odrediti broj dana nakon kojih će se značajka Pre-boot automatski implementirati za sve ovlaštene korisnike ako se u tom razdoblju barem jedan korisnik prijavio u sustav.
Povrat podataka
Ako imate problema s podizanjem sustava, možete upotrijebiti različite metode oporavka podataka. Administrator može pokrenuti postupak vraćanja šifriranih podataka iz odjeljka Upravljanje računalom → Radnje pune enkripcije. Ako koristite Check Point Encryption, možete dešifrirati prethodno šifrirani disk i dobiti pristup svim pohranjenim datotekama. Nakon ovog postupka morate ponovno pokrenuti proces šifriranja diska kako bi politika zaštite podataka radila.
Kada odaberete BitLocker kao metodu šifriranja diska za oporavak podataka, morate unijeti ID ključa za oporavak problematičnog računala kako biste generirali ključ za oporavak, koji korisnik mora unijeti kako bi dobio pristup šifriranom disku.
Za korisnike MacOS-a koji koriste File Vault za zaštitu pohranjenih informacija, postupak oporavka uključuje administratorsko generiranje ključa za oporavak na temelju serijskog broja problematičnog stroja i unos tog ključa, nakon čega slijedi ponovno postavljanje lozinke.
Politika implementacije
Od puštanja na slobodu , koji je raspravljao o sučelju web upravljačke konzole, Check Point je uspio unijeti neke promjene u odjeljak Implementacija - sada sadrži pododjeljak Uvođenje softvera, u kojem je konfiguracija (omogućavanje/onemogućavanje bladeova) konfigurirana za već instalirane agente, i pododjeljak Izvoz paketa, u kojem možete kreirati pakete s unaprijed instaliranim blade-ovima za daljnju instalaciju na korisničkim računalima, na primjer, koristeći grupna pravila Active Directory. Pogledajmo pododjeljak Uvođenje softvera, koji uključuje sve SandBlast Agent oštrice.
Dopustite mi da vas podsjetim da standardna politika postavljanja uključuje samo oštrice u kategoriji sprječavanja prijetnji. Uzimajući u obzir prethodno razmatranu politiku zaštite podataka, sada možete omogućiti ovu kategoriju za instalaciju i rad na klijentskom računalu s SandBlast Agentom. Ima smisla uključiti funkciju Remote Access VPN, koja će korisniku omogućiti povezivanje, na primjer, s korporativnom mrežom organizacije, kao i kategoriju Access and Compliance, koja uključuje funkcije Firewall & Application Control i provjeru korisničkog računala. za usklađenost s politikom usklađenosti.
Izvoz paketa
Pododjeljak Export Packages iznimno je jednostavan za korištenje: za izradu konfiguracijskog paketa trebate navesti njegov naziv, odabrati operativni sustav (za Windows također navedite bitnost) i verziju agenta, a zatim odabrati sigurnosna pravila koja će biti ugrađena paket. Osim toga, možete odrediti virtualnu grupu koja će uključivati računala s instaliranim paketom, a također možete odabrati VPN stranicu s unaprijed postavljenom adresom veze i parametrima provjere autentičnosti (VPN stranice konfigurirane su u odjeljku Izvoz paketa → Upravljanje VPN stranicama). Posljednja je točka posebno prikladna jer eliminira mogućnost pogreške korisnika prilikom konfiguriranja postavki VPN veze.
Postavke globalne politike
U postavkama globalne politike konfiguriran je jedan od najvažnijih parametara - lozinka za uklanjanje SandBlast Agenta s korisničkog računala. Nakon što je agent instaliran, korisnik ga neće moći ukloniti bez unosa lozinke, koja je prema zadanim postavkama "tajna" (bez navodnika). Međutim, ovu standardnu lozinku lako je pronaći u otvorenim izvorima, a prilikom implementacije SandBlast Agent rješenja preporučuje se promjena standardne lozinke za uklanjanje agenta. U Management Platformi, uz standardnu lozinku, politika se može postaviti samo 5 puta, tako da je promjena lozinke da bi se uklonila neizbježna.
Osim toga, Global Policy Settings konfigurira parametre podataka koji se mogu poslati Check Pointu za analizu i poboljšanje rada usluge ThreatCloud.
Iz Globalnih postavki pravila također možete konfigurirati neke parametre pravila šifriranja diska, naime zahtjeve za lozinku: složenost, trajanje korištenja, mogućnost korištenja prethodno važeće lozinke itd. U ovom odjeljku možete prenijeti vlastite slike umjesto standardnih za Pre-boot ili OneCheck.
Postavljanje politike
Nakon što ste se upoznali s mogućnostima politike zaštite podataka i konfigurirali odgovarajuće postavke u odjeljku za implementaciju, možete započeti instalaciju nove politike koja uključuje enkripciju diska korištenjem Check Point enkripcije i ostatak SandBlast Agent oštrica. Nakon instaliranja pravila u platformi za upravljanje, klijent će primiti poruku u kojoj se traži da instalira novu verziju pravila sada ili odgodi instalaciju za neko drugo vrijeme (maksimalno 2 dana).
Nakon preuzimanja i instaliranja novih pravila, SandBlast Agent će zatražiti od korisnika da ponovno pokrene računalo kako bi se omogućila zaštita Full Disk Encryption.
Nakon ponovnog pokretanja, korisnik će morati unijeti svoje vjerodajnice u Check Point Endpoint Security prozor za provjeru autentičnosti - ovaj prozor će se pojaviti svaki put prije pokretanja operativnog sustava (Pre-boot). Moguće je odabrati opciju Single Sign-On (SSO) za automatsko korištenje vjerodajnica za autentifikaciju u sustavu Windows.
Ako je provjera autentičnosti uspješna, korisnik dobiva pristup svom sustavu, a iza scene počinje proces šifriranja diska. Ova operacija ni na koji način ne utječe na performanse stroja, iako može trajati dugo (ovisno o količini prostora na disku). Nakon što je proces enkripcije dovršen, možemo potvrditi da su svi bladeovi uključeni i rade, da je pogon šifriran i da je korisnikov stroj siguran.
Zaključak
Ukratko: u ovom smo članku pogledali mogućnosti SandBlast Agenta za zaštitu informacija pohranjenih na korisničkom računalu pomoću šifriranja diska u politici zaštite podataka, proučili smo postavke za distribuciju politika i agenata kroz odjeljak za implementaciju i instalirali novu politiku s diskom pravila šifriranja i dodatne oštrice na korisničkom računalu. U sljedećem članku u nizu, detaljno ćemo pogledati mogućnosti zapisivanja i izvješćivanja u platformi za upravljanje i klijentu SandBlast Agent.
. Kako ne biste propustili sljedeće publikacije na temu SandBlast Agent Management Platforma, pratite ažuriranja na našim društvenim mrežama (, , , , ).
Izvor: www.habr.com
