Vitajte pri štvrtom článku našej série o platforme pre správu Check Point SandBlast Agent. V predchádzajúcich článkoch (, , ) Podrobne sme opísali rozhranie a možnosti webovej konzoly na správu, preskúmali sme politiku prevencie hrozieb a otestovali sme ju proti rôznym hrozbám. Tento článok sa zameriava na druhú bezpečnostnú zložku – politiku ochrany údajov, ktorá je zodpovedná za ochranu údajov uložených v počítači používateľa. Budeme sa venovať aj sekciám Nasadenie a Globálne nastavenia politiky.
Zásady ochrany údajov
Zásady ochrany údajov umožňujú obmedziť prístup k údajom uloženým na pracovnej stanici len pre autorizovaných používateľov pomocou funkcií Full Disk Encryption a Boot Protection. V súčasnosti sú podporované nasledujúce možnosti konfigurácie šifrovania disku: Check Point Encryption alebo BitLocker Encryption pre Windows a File Vault pre macOS. Pozrime sa bližšie na možnosti a nastavenia každej možnosti.
Šifrovanie kontrolného bodu
Šifrovanie Check Point je predvolená metóda šifrovania disku v politike ochrany údajov a poskytuje šifrovanie všetkých systémových súborov (dočasných, systémových a odstránených) na pozadí bez ovplyvnenia počítača používateľa. Po zašifrovaní je disk neprístupný pre neoprávnených používateľov.
Primárne nastavenie pre šifrovanie Check Point je „Povoliť pred spustením“, ktoré vyžaduje overenie používateľa pred spustením operačného systému. Táto možnosť sa odporúča, pretože zabraňuje použitiu nástrojov na obídenie overenia na úrovni operačného systému. Môžete tiež nakonfigurovať dočasné parametre obídenia pre funkciu pred spustením:
- Povoliť prihlásenie do OS po dočasnom obídení — vypnutie funkcie Pred spustením a prepnutie na autentifikáciu v operačnom systéme;
- Povoliť obídenie pred spustením (Wake On LAN – WOL) — vypnutie funkcie pred spustením na počítačoch, ktoré sú pripojené k serveru správy cez Ethernet;
- Povoliť obídenie skriptu — umožňuje nakonfigurovať obídenie funkcie Pred spustením zadaním času a dátumu spustenia skriptu a parametrov pre ukončenie obídenia funkcie Pred spustením;
- Povoliť obídenie siete LAN — vypnutie funkcie predbežného spustenia pri pripájaní k lokálnej sieti.
Vyššie uvedené možnosti dočasného obídenia pred spustením sa neodporúčajú používať bez jasných dôvodov (napr. údržba alebo riešenie problémov). Najlepším bezpečnostným riešením je povoliť pred spustením bez zadania pravidiel dočasného obídenia. Ak potrebujete obísť pred spustením, odporúčame nastaviť minimálne požadované časové limity v parametroch dočasného obídenia, aby ste predišli dlhodobému ohrozeniu bezpečnosti.
Šifrovanie Check Point vám tiež umožňuje konfigurovať pokročilé nastavenia politiky ochrany údajov, ako sú flexibilnejšie nastavenia šifrovania a prispôsobiť rôzne aspekty funkcie pred spustením a overovania systému Windows.
Šifrovanie BitLockerom
BitLocker je súčasťou operačného systému Windows a umožňuje šifrovanie pevných diskov a vymeniteľných médií. Check Point BitLocker Management je komponent služby Windows, ktorý sa automaticky spúšťa s klientom SandBlast Agent a používa API na správu technológie BitLocker.
Keď v politike ochrany údajov vyberiete ako metódu šifrovania jednotky šifrovanie BitLocker, môžete nakonfigurovať nasledujúce nastavenia:
- Počiatočné šifrovanie — počiatočné nastavenia šifrovania umožňujú šifrovať celý disk (Šifrovať celý disk), čo sa odporúča pre počítače s existujúcimi používateľskými údajmi (súbory, dokumenty atď.), alebo šifrovať iba údaje (Šifrovať iba použité miesto na disku), čo sa odporúča pre nové inštalácie systému Windows;
- Disky na šifrovanie — výber diskov/oddielov na šifrovanie, umožňuje šifrovať všetky disky (Všetky disky) alebo iba oddiel s operačným systémom (iba disk s operačným systémom);
- Šifrovací algoritmus — vyberte šifrovací algoritmus; odporúčaná možnosť je Predvolené nastavenie systému Windows, ale môžete zadať aj XTS-AES-128 alebo XTS-AES-256.
Trezor súborov
File Vault je štandardné šifrovacie riešenie od spoločnosti Apple, ktoré zabezpečuje, že k údajom v počítači používateľa majú prístup iba autorizovaní používatelia. Po nainštalovaní File Vault musia používatelia zadať heslo na spustenie systému a prístup k šifrovaným súborom. Používanie File Vault je jediný spôsob, ako zabezpečiť ochranu uložených údajov v rámci zásad ochrany údajov pre používateľov systému macOS.
Súborový trezor má nastavenie „Povoliť automatické získavanie používateľov“, ktoré vyžaduje autorizáciu používateľa pred začiatkom šifrovania disku. Ak je táto funkcia povolená, môžete určiť počet používateľov, ktorí sa musia prihlásiť predtým, ako SandBlast Agent použije funkciu pred spustením, alebo určiť počet dní, po ktorých sa funkcia pred spustením automaticky implementuje pre všetkých oprávnených používateľov, za predpokladu, že sa v tomto období do systému prihlásil aspoň jeden používateľ.
Obnova dát
Ak sa vyskytnú problémy so spustením systému, k dispozícii sú rôzne metódy obnovy dát. Správca môže spustiť proces obnovy šifrovaných dát z časti Správa počítača → Úplné akcie šifrovania Dick. Pomocou šifrovania Check Point môžete dešifrovať predtým zašifrovaný disk a získať prístup ku všetkým uloženým súborom. Po tomto postupe musíte reštartovať proces šifrovania disku, aby politika ochrany údajov fungovala.
Keď ako metódu šifrovania jednotky na obnovu údajov vyberiete BitLocker, musíte zadať ID obnovovacieho kľúča postihnutého počítača, aby sa vygeneroval obnovovací kľúč, ktorý musí používateľ zadať, aby získal prístup k zašifrovanej jednotke.
Pre používateľov systému MacOS, ktorí používajú na ochranu uložených informácií aplikáciu File Vault, proces obnovy zahŕňa vygenerovanie obnovovacieho kľúča administrátorom na základe sériového čísla postihnutého počítača, zadanie tohto kľúča a následné obnovenie hesla.
Politika nasadenia
Od vydania , ktorý skúmal rozhranie webovej konzoly pre správu, sa spoločnosti Check Point podarilo vykonať niekoľko zmien v sekcii Nasadenie – teraz obsahuje podsekciu Nasadenie softvéru, v ktorej sa konfiguruje konfigurácia (povolenie/zakázanie blade serverov) pre už nainštalované agenty, a podsekcia Exportovať balík, čo umožňuje vytvárať balíčky s predinštalovanými blade servermi pre následné nasadenie na používateľské počítače, napríklad pomocou skupinových politík služby Active Directory. Pozrime sa na podsekciu Nasadenie softvéru, ktorá zahŕňa všetky blade servery SandBlast Agent.
Pripomíname, že štandardná politika nasadenia povoľuje iba blade servery v kategórii Prevencia hrozieb. Berúc do úvahy predtým spomínanú politiku ochrany údajov, teraz môžete túto kategóriu povoliť na inštaláciu a prevádzku na klientskom počítači pomocou nástroja SandBlast Agent. Je tiež vhodné povoliť funkciu Vzdialený prístup VPN, ktorá používateľovi umožní pripojiť sa napríklad k podnikovej sieti organizácie, ako aj kategóriu Prístup a súlad, ktorá zahŕňa funkcie Firewall a kontrola aplikácií a kontrolu súladu používateľského počítača so politikou súladu.
Exportovať balík
Podsekcia Exportovať balíky sa používa mimoriadne jednoducho: na vytvorenie konfiguračného balíka zadajte jeho názov, vyberte operačný systém (v prípade systému Windows aj bitovú hĺbku) a verziu agenta a potom vyberte bezpečnostné politiky, ktoré sa majú do balíka vložiť. Môžete tiež zadať virtuálnu skupinu, ktorá bude zahŕňať počítače s nainštalovaným balíkom, a vybrať VPN lokalitu s preddefinovanou adresou pripojenia a parametrami overovania (VPN lokality sa konfigurujú v časti Exportovať balíky → Spravovať VPN lokality). Táto posledná možnosť je obzvlášť pohodlná, pretože eliminuje možnosť chyby používateľa pri konfigurácii parametrov VPN pripojenia.
Nastavenia globálnej politiky
Globálne nastavenia politiky konfigurujú jedno z najdôležitejších nastavení – heslo na odinštalovanie agenta SandBlast z počítača používateľa. Po nainštalovaní agenta ho používateľ nebude môcť odinštalovať bez zadania hesla, ktoré je predvolene „tajomstvo„(bez úvodzoviek). Toto predvolené heslo sa však dá ľahko nájsť v otvorených zdrojoch a pri implementácii riešenia SandBlast Agent sa odporúča zmeniť predvolené heslo na odinštalovanie agenta. V platforme Management Platform je možné s predvoleným heslom nastaviť politiku iba päťkrát, takže zmena hesla na odinštalovanie je nevyhnutná.
Globálne nastavenia politiky navyše konfigurujú údaje, ktoré je možné odoslať do Check Pointu na analýzu a vylepšenie služby ThreatCloud.
Globálne nastavenia politiky tiež konfigurujú niektoré parametre politiky šifrovania disku vrátane požiadaviek na heslo: zložitosť, trvanie hesla, možnosť opätovného použitia predtým použitého hesla a ďalšie. V tejto časti môžete nahrať vlastné obrázky namiesto predvolených pre funkciu Pre-boot alebo OneCheck.
Nastavenie politiky
Po oboznámení sa s možnosťami politiky ochrany údajov a konfigurácii príslušných nastavení v sekcii Nasadenie môžete začať s nasadením novej politiky, ktorá zahŕňa šifrovanie disku pomocou Check Point Encryption a zostávajúce blade servery SandBlast Agent. Po nainštalovaní politiky v platforme Management Platform klient dostane správu s otázkou, či má novú verziu politiky nainštalovať teraz alebo či má inštaláciu odložiť maximálne na dva dni.
Po stiahnutí a nainštalovaní novej politiky SandBlast Agent vyzve používateľa na reštartovanie počítača, aby sa povolil režim Full Disk Encryption.
Po reštarte sa používateľovi zobrazí výzva na zadanie svojich prihlasovacích údajov v okne overenia Check Point Endpoint Security. Toto okno sa zobrazí pri každom spustení operačného systému (pred spustením). Môžete vybrať možnosť Single Sign-On (SSO), aby sa vaše prihlasovacie údaje automaticky používali na overenie systému Windows.
Ak je autentifikácia úspešná, používateľ získa prístup do svojho systému a proces šifrovania disku sa spustí v zákulisí. Tento proces nijako neovplyvňuje funkčnosť počítača, hoci môže trvať značné množstvo času (v závislosti od miesta na disku). Po dokončení procesu šifrovania môžeme overiť, či sú všetky blade servery zapnuté a fungujú, či je disk šifrovaný a či je počítač používateľa chránený.
Záver
Stručne povedané: v tomto článku sme preskúmali možnosti agenta SandBlast na ochranu informácií uložených v počítači používateľa pomocou šifrovania disku v politike ochrany údajov. Taktiež sme preskúmali nastavenia politík a distribúcie agentov prostredníctvom sekcie Nasadenie a nasadili sme novú politiku s pravidlami šifrovania disku a ďalšími blade servermi na počítač používateľa. V ďalšom článku tejto série sa podrobne pozrieme na možnosti protokolovania a reportovania v platforme Management Platform a klientovi agenta SandBlast.
. Aby ste nezmeškali ďalšie publikácie na tému SandBlast Agent Management Platform, sledujte aktualizácie na našich sociálnych sieťach (, , , , ).
Zdroj: hab.com
