Üdvözöljük a Check Point SandBlast Agent Management Platform megoldásról szóló sorozat negyedik cikkében. A korábbi cikkekben (, , ) részletesen ismertettük a webkezelő konzol felületét és lehetőségeit, valamint áttekintettük a fenyegetésmegelőzési szabályzatot és teszteltük a különféle fenyegetésekkel szemben. Ez a cikk a második biztonsági összetevőnek – az adatvédelmi szabályzatnak – szól, amely a felhasználói gépen tárolt adatok védelméért felelős. Ebben a cikkben a Telepítés és a Globális házirend-beállítások szakaszokat is megvizsgáljuk.
Adatvédelmi szabályzat
Az adatvédelmi házirend lehetővé teszi, hogy a teljes lemeztitkosítás és a rendszerindítás-védelem funkciók használatával csak a jogosult felhasználók számára konfiguráljon hozzáférést a munkagépen tárolt adatokhoz. Jelenleg a következő lehetőségek állnak rendelkezésre a lemeztitkosítás beállításához: Windows esetén – Check Point Encryption vagy BitLocker Encryption, MacOS esetén – File Vault. Nézzük meg közelebbről az egyes opciók képességeit és beállításait.
Check Point Encryption
A Check Point Encryption egy szabványos lemeztitkosítási módszer az adatvédelmi szabályzatban, és biztosítja az összes rendszerfájl (ideiglenes, rendszer-, távoli) titkosítását a háttérben anélkül, hogy befolyásolná a felhasználói gép teljesítményét. A titkosítás után a lemez elérhetetlenné válik az illetéktelen felhasználók számára.
A Check Point Encryption fő beállítása az „Enable Pre-boot”, amely lehetővé teszi a felhasználók hitelesítését az operációs rendszer indulása előtt. Ezt az opciót javasoljuk használni, mivel megakadályozza a hitelesítési megkerülő eszközök használatát az operációs rendszer szintjén. Lehetőség van ideiglenes bypass paraméterek konfigurálására is a Pre-boot funkcióhoz:
- Az OS bejelentkezés engedélyezése ideiglenes kihagyás után — a Pre-boot funkció letiltása és átváltás hitelesítésre az operációs rendszerben;
- Boot előtti bypass engedélyezése (Wake On LAN – WOL) — a rendszerindítás előtti funkció letiltása a felügyeleti szerverhez Etherneten keresztül csatlakoztatott számítógépeken;
- A szkript megkerülésének engedélyezése — lehetővé teszi a Pre-boot funkció megkerülésének konfigurálását, jelezve a szkript futásának időpontját és dátumát, valamint a rendszerindítás előtti bypass befejezésének paramétereit;
- LAN bypass engedélyezése — helyi hálózathoz való csatlakozáskor kapcsolja ki a rendszerindítás előtti funkciót.
A fenti ideiglenes megkerülési opciók a Pre-boothoz nem ajánlottak, hacsak nincs nyilvánvaló ok (például karbantartás vagy hibaelhárítás), és biztonsági szempontból a legjobb megoldás az Előindítás engedélyezése ideiglenes megkerülési szabályok megadása nélkül. Ha a Pre-boot megkerülésére van szükség, akkor az ideiglenes bypass paraméterekben javasolt a minimálisan szükséges időkeretet beállítani, hogy ne csökkenjen hosszú ideig a védelem szintje.
Ezenkívül a Check Point Encryption használatakor lehetőség van speciális adatvédelmi házirend-beállítások konfigurálására, például a titkosítási beállítások rugalmasabb konfigurálására, a rendszerindítás előtti funkció és a Windows-hitelesítés különféle szempontjainak konfigurálására.
BitLocker titkosítás
A BitLocker a Windows operációs rendszer része, és lehetővé teszi a merevlemezek és a cserélhető adathordozók titkosítását. A Check Point BitLocker Management a Windows Services egyik összetevője, amely automatikusan elindul a SandBlast Agent ügyféllel, és API-t használ a BitLocker technológia kezelésére.
Ha az adatvédelmi házirendben a BitLocker titkosítást választja meghajtótitkosítási módszerként, a következő beállításokat konfigurálhatja:
- Kezdeti titkosítás — a kezdeti titkosítási beállítások lehetővé teszik a teljes meghajtó titkosítását (Teljes meghajtó titkosítása), ami meglévő felhasználói adatokkal (fájlok, dokumentumok stb.) rendelkező gépekhez ajánlott, vagy csak az adatok titkosítását (Csak a használt lemezterület titkosítása), amely új Windows telepítésekhez ajánlott;
- Meghajtók a titkosításhoz — lemezek/partíciók kiválasztása a titkosításhoz, lehetővé teszi az összes meghajtó (Összes meghajtó) vagy csak az operációs rendszerrel rendelkező partíció titkosítását (csak OS meghajtó);
- Titkosítási algoritmus — titkosítási algoritmus kiválasztása, az ajánlott opció a Windows Default, lehetőség van XTS-AES-128 vagy XTS-AES-256 megadására is.
Fájl Vault
A File Vault az Apple szabványos titkosítási eszköze, amely biztosítja, hogy csak a jogosult felhasználók férhessenek hozzá a felhasználói számítógép adataihoz. Ha a File Vault telepítve van, a felhasználónak meg kell adnia egy jelszót a rendszer elindításához és a titkosított fájlokhoz való hozzáféréshez. A File Vault használata az egyetlen módja annak, hogy biztosítsa a tárolt adatok védelmét az adatvédelmi szabályzatban a MacOS operációs rendszer felhasználói számára.
A File Vault esetében elérhető az „Automatikus felhasználószerzés engedélyezése” beállítás, amelyhez a lemeztitkosítási folyamat megkezdése előtt felhasználói jogosultság szükséges. Ha ez a funkció engedélyezve van, akkor megadható azoknak a felhasználóknak a száma, akiknek be kell jelentkezniük, mielőtt a SandBlast Agent alkalmazná a rendszerindítás előtti szolgáltatást, vagy megadható, hogy hány nap után kerüljön sor a rendszerindítás előtti szolgáltatás automatikus megvalósítására az összes jogosult felhasználó számára. ha ezen időszak alatt legalább egy felhasználó bejelentkezett a rendszerbe.
Adatmentés
Ha problémái vannak a rendszer indításakor, különféle adat-helyreállítási módszereket használhat. A rendszergazda elindíthatja a titkosított adatok visszaállítását a Számítógép-kezelés → Full Dick Encryption Actions részből. Ha a Check Point Encryption funkciót használja, visszafejtheti a korábban titkosított lemezt, és hozzáférhet az összes tárolt fájlhoz. Az eljárás után újra kell indítani a lemeztitkosítási folyamatot, hogy az adatvédelmi házirend működjön.
Ha a BitLockert választja lemeztitkosítási módszerként az adat-helyreállításhoz, meg kell adnia a problémás számítógép helyreállítási kulcsának azonosítóját a helyreállítási kulcs létrehozásához, amelyet a felhasználónak kell megadnia, hogy hozzáférjen a titkosított lemezhez.
A File Vault szolgáltatást használó MacOS-felhasználók számára a tárolt adatok védelme érdekében a helyreállítási folyamat során a rendszergazda létrehoz egy helyreállítási kulcsot a problémás gép sorozatszáma alapján, és beírja ezt a kulcsot, majd visszaállítja a jelszót.
Telepítési szabályzat
A megjelenés óta , amely a webkezelő konzol kezelőfelületét tárgyalta, a Check Pointnak sikerült néhány változtatást végrehajtania a Bevezetés részben - most alfejezetet tartalmaz Szoftvertelepítés, amelyben a konfiguráció (a panelek engedélyezése/letiltása) a már telepített ügynökökhöz van konfigurálva, és az alszakasz Export csomag, amelyben csomagokat hozhat létre előre telepített pengékkel a további telepítéshez a felhasználói gépeken, például az Active Directory csoportházirendek használatával. Nézzük meg a Szoftvertelepítés alszakaszt, amely az összes SandBlast Agent pengét tartalmazza.
Hadd emlékeztessem Önt arra, hogy a szabványos telepítési szabályzat csak a fenyegetésmegelőzés kategóriába tartozó paneleket tartalmazza. Figyelembe véve a korábban tárgyalt adatvédelmi szabályzatot, most már engedélyezheti ezt a kategóriát a telepítéshez és a SandBlast Agent segítségével történő ügyfélgépen történő üzemeltetéshez. Érdemes beépíteni a Remote Access VPN funkciót, amely lehetővé teszi a felhasználó számára, hogy csatlakozzon például a szervezet vállalati hálózatához, valamint a Hozzáférés és megfelelőség kategóriát, amely magában foglalja a tűzfal és alkalmazásvezérlés funkciókat, valamint a felhasználói gép ellenőrzését. a megfelelőségi szabályzat betartása érdekében.
Export csomag
A Csomagok exportálása alszakasz használata rendkívül egyszerű: konfigurációs csomag létrehozásához meg kell adni a nevét, ki kell választani az operációs rendszert (Windows esetén a bitességet is) és az ügynök verzióját, majd kiválasztani a beépítendő biztonsági házirendeket. a csomag. Ezenkívül megadhat egy virtuális csoportot, amely magában foglalja a csomaggal rendelkező számítógépeket, valamint kiválaszthat egy VPN-helyet előre beállított kapcsolati címmel és hitelesítési paraméterekkel (a VPN-helyeket a Csomagok exportálása → VPN-helyek kezelése részben konfigurálhatja). Az utolsó pont különösen kényelmes, mivel kiküszöböli a felhasználói hibák lehetőségét a VPN-kapcsolat beállításainak konfigurálásakor.
Globális házirend-beállítások
A Globális házirend-beállításokban az egyik legfontosabb paraméter konfigurálva van - a jelszó a SandBlast Agent eltávolításához a felhasználói gépről. Az ügynök telepítése után a felhasználó nem tudja eltávolítani a jelszó megadása nélkül, amely alapértelmezés szerint "titkos" (idézőjelek nélkül). Ez a szabványos jelszó azonban könnyen megtalálható nyílt forráskódban, és a SandBlast Agent megoldás implementálásakor javasolt a szabványos jelszó megváltoztatása az ügynök eltávolításához. A Management Platformban szabványos jelszóval a A házirend csak ötször állítható be, így elkerülhetetlen a jelszó módosítása az eltávolításhoz.
Ezenkívül a Globális házirend-beállítások olyan adatparamétereket konfigurálnak, amelyek elküldhetők a Check Pointnak a ThreatCloud szolgáltatás elemzése és működésének javítása érdekében.
A Globális házirend-beállításokban néhány lemeztitkosítási házirend-paramétert is beállíthat, nevezetesen a jelszókövetelményeket: összetettség, használat időtartama, korábban érvényes jelszó használatának lehetősége stb. Ebben a részben saját képeket tölthet fel a Pre-boot vagy OneCheck szabványos képei helyett.
A házirend beállítása
Miután megismerkedett az adatvédelmi házirend lehetőségeivel, és konfigurálta a megfelelő beállításokat a Telepítés szakaszban, megkezdheti egy új házirend telepítését, amely magában foglalja a Check Point Encryption és a SandBlast Agent többi része használatával történő lemeztitkosítást. Miután telepített egy házirendet a felügyeleti platformon, az ügyfél üzenetet kap, amelyben felkéri, hogy telepítse most a házirend új verzióját, vagy ütemezze át a telepítést egy másik időpontra (legfeljebb 2 napra).
Az új házirend letöltése és telepítése után a SandBlast Agent felkéri a felhasználót, hogy indítsa újra a számítógépet a teljes lemeztitkosítási védelem engedélyezéséhez.
Az újraindítás után a felhasználónak meg kell adnia hitelesítő adatait a Check Point Endpoint Security hitelesítési ablakban – ez az ablak minden alkalommal megjelenik az operációs rendszer indítása előtt (Pre-boot). Kiválaszthatja az Egyszeri bejelentkezés (SSO) opciót a hitelesítési adatok automatikus használatához a Windows hitelesítéshez.
Ha a hitelesítés sikeres, a felhasználó hozzáfér a rendszeréhez, és a színfalak mögött megkezdődik a lemeztitkosítási folyamat. Ez a művelet semmilyen módon nem befolyásolja a gép teljesítményét, bár hosszú ideig tarthat (a lemezterülettől függően). A titkosítási folyamat befejeztével ellenőrizhetjük, hogy az összes penge be van-e kapcsolva és működik-e, a meghajtó titkosítva van-e, és a felhasználó gépe biztonságos-e.
Következtetés
Összefoglaljuk: ebben a cikkben megvizsgáltuk a SandBlast Agent képességeit a felhasználó gépén tárolt információk védelmére az adatvédelmi szabályzatban lemeztitkosítással, megvizsgáltuk a házirendek és ügynökök terjesztésének beállításait a Telepítés szakaszon keresztül, és új házirendet telepítettünk a lemezzel. titkosítási szabályok és további pengék a felhasználó gépén . A sorozat következő cikkében részletesen áttekintjük a Management Platform és a SandBlast Agent kliens naplózási és jelentési képességeit.
. Annak érdekében, hogy ne maradjon le a következő kiadványokról a SandBlast Agent Management Platform témában, kövesse a frissítéseket közösségi hálózatainkon (, , , , ).
Forrás: will.com
