4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Check Point SandBlast Agent Management Platform шийдлийн тухай цувралын дөрөв дэх нийтлэлд тавтай морилно уу. Өмнөх нийтлэлүүдэд (Эхнийх нь, хоёрдугаарт, Гуравдугаарт) бид вэб удирдлагын консолын интерфэйс болон чадавхийг дэлгэрэнгүй тайлбарлаж, Аюулаас урьдчилан сэргийлэх бодлогыг хянаж, янз бүрийн аюул заналхийллийг эсэргүүцэх зорилгоор туршиж үзсэн. Энэ нийтлэл нь аюулгүй байдлын хоёр дахь бүрэлдэхүүн хэсэг болох хэрэглэгчийн машин дээр хадгалагдсан өгөгдлийг хамгаалах үүрэгтэй Өгөгдлийн хамгаалалтын бодлогод зориулагдсан болно. Мөн энэ нийтлэлд бид Байршуулах болон Глобал бодлогын тохиргооны хэсгүүдийг авч үзэх болно.

Мэдээлэл хамгаалах бодлого

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Өгөгдөл хамгаалах бодлого нь ажлын станц дээр хадгалагдсан өгөгдөлд хандах эрх бүхий хэрэглэгчдийг бүрэн дискний шифрлэлт болон ачаалах хамгаалалтыг ашиглан хязгаарлах боломжийг олгодог. Дараах дискний шифрлэлтийн тохиргооны сонголтууд одоогоор дэмжигдсэн байна: Windows — macOS-д зориулсан Check Point Encryption эсвэл BitLocker Encryption — File Vault. Сонголт бүрийн онцлог болон тохиргоог нарийвчлан авч үзье.

Шалгах цэгийн шифрлэлт

Check Point Encryption нь Өгөгдлийн Хамгаалалтын бодлогын стандарт диск шифрлэлтийн арга бөгөөд хэрэглэгчийн машины гүйцэтгэлд нөлөөлөхгүйгээр бүх системийн файлуудыг (түр зуурын, систем, алсын) шифрлэх боломжийг олгодог. Шифрлэлтийн дараа диск нь зөвшөөрөлгүй хэрэглэгчдэд нэвтрэх боломжгүй болно.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Шалгах цэгийн шифрлэлтийн үндсэн тохиргоо нь "Урьдчилан ачаалахыг идэвхжүүлэх" бөгөөд энэ нь үйлдлийн системийг ачаалахаас өмнө хэрэглэгчдэд баталгаажуулах шаардлагыг хангадаг. Энэ сонголтыг ашиглахыг зөвлөж байна, учир нь энэ нь үйлдлийн системийн түвшинд нэвтрэлт таних хэрэгслийг ашиглахаас сэргийлдэг. Урьдчилан ачаалах функцийн хувьд түр зуурын тойрч гарах параметрүүдийг тохируулах боломжтой.

  • Түр зуур тойрч өнгөрсний дараа үйлдлийн системд нэвтрэхийг зөвшөөрнө үү — Ачаалахаас өмнөх функцийг идэвхгүй болгож, үйлдлийн систем дэх баталгаажуулалт руу шилжих;

  • Ачаалахын өмнөх тойрч гарахыг зөвшөөрөх (Wake On LAN – WOL) — Ethernet-ээр удирдлагын серверт холбогдсон компьютерууд дээр ачаалахаас өмнөх функцийг идэвхгүй болгох;

  • Скриптийг тойрч гарахыг зөвшөөрөх — скрипт ажиллаж эхэлсэн цаг, огноо, Ачаалахын өмнөх тойргийн төгсгөлийн параметрүүдийг зааж өгөх Pre-boot функцийг тойрч гарахыг тохируулах боломжийг танд олгоно;

  • LAN-г тойрч гарахыг зөвшөөрөх — дотоод сүлжээнд холбогдох үед ачаалахын өмнөх функцийг идэвхгүй болгох.

Тодорхой шалтгаан байхгүй бол (жишээлбэл, засвар үйлчилгээ эсвэл алдааг олж засварлах) урьдчилан ачаалах дээрх түр зуурын сонголтуудыг ашиглахыг зөвлөдөггүй бөгөөд аюулгүй байдлын үүднээс авч үзвэл хамгийн сайн шийдэл бол түр зуурын тойрч гарах дүрмүүдийг заалгүйгээр Урьдчилан ачаалахыг идэвхжүүлэх явдал юм. Урьдчилан ачаалах горимыг тойрч гарах шаардлагатай бол хамгаалалтын түвшинг удаан хугацаанд бууруулахгүйн тулд түр зуурын параметрт шаардлагатай хамгийн бага хугацааг тохируулахыг зөвлөж байна.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Мөн Check Point Encryption-г ашиглах үед Өгөгдөл хамгаалах бодлогын дэвшилтэт тохиргоог тохируулах боломжтой, жишээлбэл, шифрлэлтийн параметрүүдийн илүү уян хатан тохиргоо, ачаалахаас өмнөх функцийн янз бүрийн талуудын тохиргоо болон баталгаажуулалт. Windows.

BitLocker шифрлэлт

BitLocker нь үйлдлийн системийн нэг хэсэг юм. Windows мөн хатуу диск болон зөөврийн хэрэгслийг шифрлэх боломжийг танд олгоно. Check Point BitLocker Management нь үйлчилгээний бүрэлдэхүүн хэсэг юм Windows, нь SandBlast Agent клиенттэй автоматаар ажилладаг бөгөөд BitLocker технологийг удирдахын тулд API ашигладаг.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Өгөгдлийн хамгаалалтын бодлогод дискний шифрлэлтийн аргаар BitLocker Encryption-ийг сонгохдоо дараах тохиргоог хийж болно.

  • Анхны шифрлэлт — анхны шифрлэлтийн тохиргоо нь танд бүхэл дискийг шифрлэх (бүхэл дискийг шифрлэх) боломжийг олгодог бөгөөд үүнийг одоо байгаа хэрэглэгчийн өгөгдөл (файл, баримт бичиг гэх мэт) бүхий машинуудад зөвлөдөг, эсвэл зөвхөн өгөгдлийг шифрлэх (зөвхөн ашигласан дискний зайг шифрлэх) боломжийг олгодог бөгөөд үүнийг шинэ суулгалтуудад зөвлөдөг. Windows;

  • Шифрлэх хөтчүүд — Шифрлэлт хийх диск/хуваалтуудыг сонгох нь бүх хөтчүүдийг (Бүх хөтчүүд) эсвэл зөвхөн үйлдлийн системтэй хуваалтыг (зөвхөн үйлдлийн системтэй) шифрлэх боломжийг олгодог;

  • Шифрлэлтийн алгоритм — шифрлэлтийн алгоритмын сонголт, санал болгож буй сонголт нь Windows Анхдагчаар та XTS-AES-128 эсвэл XTS-AES-256-г зааж өгч болно.

File Vault

File Vault нь Apple-ийн стандарт шифрлэлтийн хэрэгсэл бөгөөд зөвхөн эрх бүхий хэрэглэгчид хэрэглэгчийн компьютерийн өгөгдөлд хандах боломжийг олгодог. File Vault суулгасан бол хэрэглэгч системийг эхлүүлэх, шифрлэгдсэн файлд хандах эрх авахын тулд нууц үг оруулах ёстой. File Vault ашиглах нь MacOS үйлдлийн системийн хэрэглэгчдэд зориулсан Мэдээллийн хамгаалалтын бодлогод хадгалагдсан өгөгдлийг хамгаалах цорын ганц арга зам юм.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

File Vault-ийн хувьд дискний шифрлэлтийн процесс эхлэхээс өмнө хэрэглэгчийн зөвшөөрөл авах шаардлагатай "Хэрэглэгчийн автомат худалдан авалтыг идэвхжүүлэх" тохиргоо байдаг. Хэрэв энэ функцийг идэвхжүүлсэн бол SandBlast Agent нь Ачаалахын өмнөх функцийг ашиглахаас өмнө нэвтрэх шаардлагатай хэрэглэгчдийн тоог зааж өгөх, эсвэл бүх эрх бүхий хэрэглэгчдэд Pre-ачаалах функц автоматаар хэрэгжих хэдэн өдрийн дараа зааж өгөх боломжтой. Хэрэв энэ хугацаанд дор хаяж нэг хэрэглэгч системд нэвтэрсэн бол.

Өгөгдөл сэргээх

Хэрэв та системээ ачаалахад асуудал гарвал та өгөгдөл сэргээх янз бүрийн аргыг ашиглаж болно. Администратор нь Компьютерийн удирдлага → Бүрэн Дикийн шифрлэлтийн үйлдлүүд хэсгээс шифрлэгдсэн өгөгдлийг сэргээх үйл явцыг эхлүүлж болно. Хэрэв та Check Point Encryption ашигладаг бол өмнө нь шифрлэгдсэн дискний кодыг тайлж, хадгалсан бүх файлд хандах боломжтой болно. Энэ процедурын дараа та өгөгдөл хамгаалах бодлого ажиллахын тулд дискний шифрлэлтийн процессыг дахин эхлүүлэх шаардлагатай.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Өгөгдөл сэргээх дискний шифрлэлтийн арга болгон BitLocker-ийг сонгохдоо та асуудалтай компьютерийн Сэргээх Түлхүүрийн ID-г оруулахдаа Сэргээх Түлхүүрийг үүсгэх ёстой бөгөөд үүнийг хэрэглэгч шифрлэгдсэн диск рүү нэвтрэхийн тулд оруулах ёстой.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Хадгалагдсан мэдээллийг хамгаалахын тулд File Vault ашигладаг MacOS хэрэглэгчдийн хувьд сэргээх процесс нь администратор нь асуудлын машины серийн дугаар дээр үндэслэн Сэргээх түлхүүрийг үүсгэж, энэ түлхүүрийг оруулсны дараа нууц үгээ дахин тохируулах явдал юм.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Байршуулах бодлого

Гарснаас хойш хоёр дахь нийтлэл, вэб удирдлагын консолын интерфейсийг хэлэлцсэн Check Point нь Байршуулах хэсэгт зарим өөрчлөлтийг хийж чадсан - одоо энэ нь дэд хэсгийг агуулж байна. Програм хангамжийн байршуулалт, аль хэдийн суулгасан агентуудын тохиргоог (идэвхжүүлэх/идэвхгүй болгох) тохируулсан бөгөөд дэд хэсэг Багц экспортлох, үүнд та Active Directory бүлгийн удирдамжийг ашиглан хэрэглэгчийн машин дээр цаашид суулгахын тулд урьдчилан суулгасан ир бүхий багцуудыг үүсгэж болно. Бүх SandBlast Agent ирийг багтаасан Програм хангамжийн байршуулалтын дэд хэсгийг харцгаая.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Стандарт Байршуулах бодлогод зөвхөн Аюулаас урьдчилан сэргийлэх ангилалд ирийг багтаасан гэдгийг сануулъя. Өмнө нь хэлэлцсэн Өгөгдлийн Хамгаалалтын бодлогыг харгалзан та SandBlast Agent-тай клиент машин дээр суулгах, ажиллуулахын тулд энэ ангиллыг идэвхжүүлж болно. Хэрэглэгчийг жишээлбэл байгууллагын корпорацийн сүлжээнд холбогдох боломжийг олгодог Remote Access VPN функц, түүнчлэн Галт хана, Хэрэглээний хяналтын функц, хэрэглэгчийн машиныг шалгах зэрэг хандалт ба нийцлийн категорийг оруулах нь утга учиртай юм. Нийцлийн бодлогод нийцүүлэхийн тулд.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Багц экспортлох
4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Экспортын багцын дэд хэсэг нь ашиглахад маш хялбар: тохиргооны багц үүсгэхийн тулд та түүний нэрийг зааж өгөх, үйлдлийн системийг сонгох хэрэгтэй (for Windows (Мөн битийн гүнийг зааж өгнө үү) болон агентын хувилбарыг зааж өгөөд, багцад суулгагдсан аюулгүй байдлын бодлогыг сонгоно уу. Та мөн багц суулгасан компьютеруудыг багтаасан виртуал бүлгийг тодорхойлж, урьдчилан тодорхойлсон холболтын хаяг болон баталгаажуулалтын параметрүүдтэй VPN сайтыг сонгож болно (VPN сайтуудыг Багцуудыг экспортлох → VPN сайтуудыг удирдах хэсэгт тохируулсан болно). Сүүлийн сонголт нь ялангуяа тохиромжтой, учир нь энэ нь VPN холболтын параметрүүдийг тохируулах үед хэрэглэгчийн алдаа гарах магадлалыг арилгадаг.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Глобал бодлогын тохиргоо

Глобал бодлогын тохиргоонд хамгийн чухал параметрүүдийн нэг болох SandBlast Agent-ийг хэрэглэгчийн машинаас устгах нууц үгийг тохируулсан болно. Агентыг суулгасны дараа хэрэглэгч нууц үгээ оруулахгүйгээр устгах боломжгүй бөгөөд энэ нь анхдагчаар "нууц" (хашилтгүй). Гэсэн хэдий ч энэхүү стандарт нууц үгийг нээлттэй эх сурвалжаас олоход хялбар байдаг бөгөөд SandBlast Agent шийдлийг хэрэгжүүлэхдээ агентыг устгахын тулд стандарт нууц үгийг өөрчлөхийг зөвлөж байна. Удирдлагын платформ дээр стандарт нууц үгтэй, бодлогыг зөвхөн 5 удаа тохируулах боломжтой тул нууц үгээ солих нь зайлшгүй юм.
Нэмж дурдахад, Global бодлогын тохиргоо нь ThreatCloud үйлчилгээний ажиллагааг шинжлэх, сайжруулах зорилгоор Check Point руу илгээж болох өгөгдлийн параметрүүдийг тохируулдаг.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Глобал бодлогын тохиргооноос та дискний шифрлэлтийн бодлогын зарим параметрүүдийг тохируулах боломжтой, тухайлбал нууц үгэнд тавигдах шаардлага: нарийн төвөгтэй байдал, ашиглалтын хугацаа, өмнө нь хүчинтэй нууц үг ашиглах чадвар гэх мэт. Энэ хэсэгт та Pre-boot эсвэл OneCheck-ийн стандарт зургуудын оронд өөрийн зургийг байршуулж болно.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Бодлогыг тохируулах

Мэдээлэл хамгаалах бодлогын боломжуудтай танилцаж, Байршуулах хэсэгт тохирох тохиргоог хийснээр та Check Point Encryption болон бусад SandBlast Agent blade ашиглан дискний шифрлэлт агуулсан шинэ бодлогыг суулгаж эхлэх боломжтой. Удирдлагын платформд бодлогыг суулгасны дараа үйлчлүүлэгч бодлогын шинэ хувилбарыг одоо суулгах эсвэл суулгах хугацааг өөр цаг (хамгийн ихдээ 2 хоног) болгон өөрчлөхийг хүссэн мессеж хүлээн авах болно.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Шинэ бодлогыг татаж аваад суулгасны дараа SandBlast Agent нь дискний бүрэн шифрлэлтийн хамгаалалтыг идэвхжүүлэхийн тулд компьютерээ дахин эхлүүлэхийг хэрэглэгчээс хүсэх болно.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Дахин ачаалсны дараа хэрэглэгч Check Point Endpoint Security баталгаажуулалтын цонхонд өөрийн итгэмжлэлээ оруулах шаардлагатай болно. Энэ цонх үйлдлийн систем эхлэхээс өмнө (асаахаас өмнө) гарч ирнэ. Баталгаажуулалтад итгэмжлэлийг автоматаар ашиглахын тулд Дангаар нэвтрэх (SSO) сонголтыг сонгох боломжтой. Windows.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

Хэрэв нэвтрэлт танилт амжилттай болбол хэрэглэгч өөрийн системд нэвтрэх эрхтэй болж, хөшигний ард дискний шифрлэлтийн процесс эхэлнэ. Энэ үйлдэл нь удаан хугацааны туршид (дискний зайны хэмжээнээс хамаарч) ажиллах боломжтой боловч машины гүйцэтгэлд ямар ч байдлаар нөлөөлөхгүй. Шифрлэлтийн процесс дууссаны дараа бид бүх ир асаалттай, ажиллаж байгаа, хөтөч шифрлэгдсэн, хэрэглэгчийн машин аюулгүй эсэхийг шалгаж болно.

4. Check Point SandBlast Agent удирдлагын платформ. Мэдээлэл хамгаалах бодлого. Байрлуулалт ба дэлхийн бодлогын тохиргоо

дүгнэлт

Дүгнэж хэлье: энэ нийтлэлд бид SandBlast Agent-ийн мэдээллийн хамгаалалтын бодлого дахь дискний шифрлэлт ашиглан хэрэглэгчийн машин дээр хадгалагдсан мэдээллийг хамгаалах чадварыг судалж, Байршуулах хэсгээс бодлого, агентуудыг түгээх тохиргоог судалж, дисктэй шинэ бодлогыг суулгасан. хэрэглэгчийн машин дээрх шифрлэлтийн дүрэм болон нэмэлт ир . Цувралын дараагийн өгүүллээр бид менежментийн платформ болон SandBlast Agent клиент дэх мод бэлтгэх, тайлагнах чадварыг нарийвчлан авч үзэх болно.

TS Solution-ийн Check Point дээрх материалын өргөн сонголт. SandBlast Agent Management Platform-ийн сэдвээр дараах нийтлэлүүдийг алдахгүйн тулд манай нийгмийн сүлжээн дэх шинэчлэлтүүдийг дагаж мөрдөөрэй (цахилгаан, Facebook-ийн, VK, TS шийдлийн блог, Yandex Zen).

Эх сурвалж: www.habr.com

DDoS хамгаалалт, VPS VDS сервер бүхий сайтуудад найдвартай хостинг худалдаж аваарай 🔥 DDoS хамгаалалттай, VPS VDS сервертэй найдвартай вэбсайт хостинг худалдаж аваарай | ProHoster