
Benvenuti al quarto articolo della serie sulla soluzione Check Point SandBlast Agent Management Platform. Negli articoli precedenti (, , ) abbiamo descritto in dettaglio l'interfaccia e le funzionalità della console di gestione web, nonché esaminato la politica di Prevenzione delle minacce e testata per contrastare varie minacce. Questo articolo è dedicato al secondo componente di sicurezza: la politica di protezione dei dati, che è responsabile della protezione dei dati archiviati sul computer dell'utente. Inoltre in questo articolo esamineremo le sezioni Distribuzione e Impostazioni criteri globali.
Politica sulla protezione dei dati
I criteri di protezione dei dati consentono di limitare l'accesso ai dati archiviati su una workstation agli utenti autorizzati tramite la crittografia completa del disco e la protezione all'avvio. Le seguenti opzioni di configurazione della crittografia del disco sono attualmente supportate: Windows — Crittografia Check Point o Crittografia BitLocker, per macOS — FileVault. Analizziamo più da vicino le funzionalità e le impostazioni di ciascuna opzione.
Crittografia del punto di controllo
Check Point Encryption è un metodo di crittografia del disco standard nella politica di protezione dei dati e fornisce la crittografia di tutti i file di sistema (temporanei, di sistema, remoti) in background senza influire sulle prestazioni del computer dell'utente. Dopo la crittografia, il disco diventa inaccessibile agli utenti non autorizzati.
L'impostazione principale per Check Point Encryption è "Abilita pre-avvio", che abilita il requisito dell'autenticazione degli utenti prima dell'avvio del sistema operativo. Si consiglia di utilizzare questa opzione poiché impedisce la possibilità di utilizzare strumenti di bypass dell'autenticazione a livello di sistema operativo. È anche possibile configurare i parametri di bypass temporaneo per la funzione di preavvio:
- Consenti l'accesso al sistema operativo dopo il bypass temporaneo — disabilitare la funzione di preavvio e passare all'autenticazione nel sistema operativo;
- Consenti bypass pre-avvio (Wake On LAN – WOL) — disabilitare la funzione di preavvio sui computer collegati al server di gestione tramite Ethernet;
- Consenti script di bypass — consente di configurare il bypass della funzione di preavvio, indicando l'ora e la data di inizio dell'esecuzione dello script e i parametri per la fine del bypass di preavvio;
- Consenti bypass LAN — disabilita la funzione di preavvio quando ci si connette a una rete locale.
Le opzioni di bypass temporaneo sopra indicate per il preavvio non sono consigliate a meno che non vi sia una ragione ovvia (ad esempio, manutenzione o risoluzione dei problemi) e la soluzione migliore dal punto di vista della sicurezza è abilitare il preavvio senza specificare regole di bypass temporaneo. Se è necessario bypassare il preavvio, si consiglia di impostare l'intervallo di tempo minimo richiesto nei parametri di bypass temporaneo in modo da non ridurre il livello di protezione per un lungo periodo.
Inoltre, quando si utilizza Check Point Encryption, è possibile configurare impostazioni avanzate della politica di protezione dei dati, ad esempio una configurazione più flessibile dei parametri di crittografia, la configurazione di vari aspetti della funzione di preavvio e dell'autenticazione. Windows.
Crittografia BitLocker
BitLocker fa parte del sistema operativo. Windows e consente di crittografare dischi rigidi e supporti rimovibili. Check Point BitLocker Management è un componente dei servizi Windows, viene eseguito automaticamente con il client SandBlast Agent e utilizza un'API per gestire la tecnologia BitLocker.
Quando si seleziona Crittografia BitLocker come metodo di crittografia dell'unità nella policy di protezione dei dati, è possibile configurare le seguenti impostazioni:
- Crittografia iniziale — Le impostazioni di crittografia iniziali consentono di crittografare l'intero disco (Crittografa l'intero disco), opzione consigliata per i computer con dati utente esistenti (file, documenti, ecc.), oppure di crittografare solo i dati (Crittografa solo lo spazio su disco utilizzato), opzione consigliata per le nuove installazioni. Windows;
- Unità per crittografare — selezione di dischi/partizioni per la crittografia, consente di crittografare tutte le unità (All drive) o solo la partizione con il sistema operativo (OS drive only);
- Algoritmo di crittografia — selezione dell'algoritmo di crittografia, l'opzione consigliata è Windows Di default, è possibile specificare anche XTS-AES-128 o XTS-AES-256.
Archivio file
File Vault è lo strumento di crittografia standard di Apple e garantisce che solo gli utenti autorizzati possano accedere ai dati del computer dell'utente. Con File Vault installato, l'utente deve inserire una password per avviare il sistema e ottenere l'accesso ai file crittografati. L'utilizzo di File Vault è l'unico modo per garantire la protezione dei dati archiviati nella politica di protezione dei dati per gli utenti del sistema operativo MacOS.
Per File Vault è disponibile l'impostazione "Abilita acquisizione automatica utente", che richiede l'autorizzazione dell'utente prima dell'inizio del processo di crittografia del disco. Se questa funzionalità è abilitata, è possibile specificare il numero di utenti che devono accedere prima che SandBlast Agent applichi la funzionalità di preavvio o specificare il numero di giorni dopo i quali la funzionalità di preavvio verrà implementata automaticamente per tutti gli utenti autorizzati se durante questo periodo almeno un utente ha effettuato l'accesso al sistema.
Recupero dati
Se hai problemi ad avviare il sistema, puoi utilizzare vari metodi di recupero dati. L'amministratore può avviare il processo di ripristino dei dati crittografati dalla sezione Gestione computer → Azioni di crittografia completa Dick. Se utilizzi Check Point Encryption, puoi decrittografare un disco precedentemente crittografato e ottenere l'accesso a tutti i file archiviati. Dopo questa procedura, è necessario riavviare il processo di crittografia del disco affinché la politica di protezione dei dati funzioni.
Quando si sceglie BitLocker come metodo di crittografia del disco per il ripristino dei dati, è necessario immettere l'ID della chiave di ripristino del computer problematico per generare una chiave di ripristino, che deve essere inserita dall'utente per ottenere l'accesso al disco crittografato.
Per gli utenti MacOS che utilizzano File Vault per proteggere le informazioni archiviate, il processo di ripristino prevede che l'amministratore generi una chiave di ripristino basata sul numero di serie del computer problematico e inserisca questa chiave, seguita dalla reimpostazione della password.
Politica di distribuzione
Dal rilascio , che trattava l'interfaccia della console di gestione web, Check Point è riuscita ad apportare alcune modifiche alla sezione Deployment: ora contiene una sottosezione Distribuzione del software, in cui la configurazione (abilitazione/disabilitazione dei blade) è configurata per gli agenti già installati e la sottosezione Pacchetto di esportazione, in cui è possibile creare pacchetti con blade preinstallati per un'ulteriore installazione sui computer degli utenti, ad esempio utilizzando i criteri di gruppo di Active Directory. Diamo un'occhiata alla sottosezione Distribuzione software, che include tutti i pannelli SandBlast Agent.
Permettimi di ricordarti che la policy di distribuzione standard include solo i blade nella categoria Prevenzione delle minacce. Tenendo conto della politica di protezione dei dati discussa in precedenza, è ora possibile abilitare questa categoria per l'installazione e il funzionamento su un computer client con SandBlast Agent. È opportuno includere la funzione VPN di accesso remoto, che consentirà all'utente di connettersi, ad esempio, alla rete aziendale dell'organizzazione, nonché la categoria Accesso e conformità, che include le funzioni Firewall e controllo applicazioni e il controllo della macchina dell'utente per il rispetto della politica di conformità.
Pacchetto di esportazione
La sottosezione Esporta pacchetti è estremamente facile da usare: per creare un pacchetto di configurazione, è necessario specificarne il nome, selezionare il sistema operativo (per Windows (Specificare anche la profondità di bit) e la versione dell'agente, quindi selezionare i criteri di sicurezza incorporati nel pacchetto. È anche possibile specificare un gruppo virtuale che includerà i computer con il pacchetto installato e selezionare un sito VPN con un indirizzo di connessione e parametri di autenticazione predefiniti (i siti VPN vengono configurati in Esporta pacchetti → Gestisci siti VPN). Quest'ultima opzione è particolarmente comoda, in quanto elimina la possibilità di errori da parte dell'utente durante la configurazione dei parametri di connessione VPN.
Impostazioni della politica globale
Nelle Impostazioni della politica globale è configurato uno dei parametri più importanti: la password per rimuovere SandBlast Agent dal computer dell'utente. Una volta installato l'agente, l'utente non potrà rimuoverlo senza inserire la password, che per impostazione predefinita è "segreto" (senza virgolette). Tuttavia, questa password standard è facile da trovare nelle fonti aperte e quando si implementa la soluzione SandBlast Agent, si consiglia di modificare la password standard per rimuovere l'agente. In Management Platform, con una password standard, la policy può essere impostata solo 5 volte, quindi cambiare la password per rimuoverla è inevitabile.
Inoltre, le Impostazioni policy globali configurano i parametri dei dati che possono essere inviati a Check Point per analizzare e migliorare il funzionamento del servizio ThreatCloud.
Da Impostazioni policy globale è inoltre possibile configurare alcuni parametri della policy di crittografia del disco, ovvero i requisiti della password: complessità, durata di utilizzo, possibilità di utilizzare una password precedentemente valida, ecc. In questa sezione puoi caricare le tue immagini invece di quelle standard per Pre-boot o OneCheck.
Definizione della politica
Dopo aver acquisito familiarità con le funzionalità della policy di protezione dei dati e configurato le impostazioni appropriate nella sezione Distribuzione, è possibile iniziare a installare una nuova policy che include la crittografia del disco utilizzando Check Point Encryption e il resto dei blade SandBlast Agent. Dopo aver installato una policy nella piattaforma di gestione, il cliente riceverà un messaggio che gli chiede di installare subito la nuova versione della policy o di riprogrammare l'installazione in un altro momento (massimo 2 giorni).
Dopo aver scaricato e installato la nuova policy, SandBlast Agent richiederà all'utente di riavviare il computer per abilitare la protezione Full Disk Encryption.
Dopo il riavvio, all'utente verrà richiesto di inserire le proprie credenziali nella finestra di autenticazione di Check Point Endpoint Security. Questa finestra verrà visualizzata ogni volta prima dell'avvio del sistema operativo (pre-avvio). È possibile selezionare l'opzione Single Sign-On (SSO) per utilizzare automaticamente le credenziali per l'autenticazione. Windows.
Se l'autenticazione ha esito positivo, l'utente ottiene l'accesso al proprio sistema e dietro le quinte inizia il processo di crittografia del disco. Questa operazione non pregiudica in alcun modo le prestazioni della macchina, anche se può durare a lungo (a seconda della quantità di spazio su disco). Una volta completato il processo di crittografia, possiamo verificare che tutti i blade siano accesi e funzionanti, che l'unità sia crittografata e che il computer dell'utente sia sicuro.
conclusione
Riassumiamo: in questo articolo abbiamo esaminato le capacità di SandBlast Agent di proteggere le informazioni archiviate sul computer dell'utente utilizzando la crittografia del disco nella politica di protezione dei dati, studiato le impostazioni per la distribuzione di politiche e agenti attraverso la sezione Distribuzione e installato una nuova politica con disco regole di crittografia e blade aggiuntivi sul computer dell'utente. Nel prossimo articolo della serie, daremo uno sguardo dettagliato alle funzionalità di registrazione e reporting nella piattaforma di gestione e nel client SandBlast Agent.
. Per non perdere le prossime pubblicazioni sull'argomento SandBlast Agent Management Platform, segui gli aggiornamenti sui nostri social network (, , , , ).
Fonte: habr.com
