Välkommen till den fjärde artikeln i serien Check Point SandBlast Agent Management Platform. I tidigare artiklar (, , ) vi beskrev i detalj gränssnittet och funktionerna i webbhanteringskonsolen, och granskade även policyn för hotförebyggande åtgärder och testade den för att motverka olika hot. Den här artikeln ägnas åt den andra säkerhetskomponenten - dataskyddspolicyn, som ansvarar för att skydda data som lagras på användarmaskinen. Inom ramen för den här artikeln kommer vi också att behandla avsnitten Implementering och globala policyinställningar.
Dataskyddspolicy
Med dataskyddspolicyn kan du konfigurera åtkomst till data som lagras på en arbetsdator endast för behöriga användare, med hjälp av funktionerna Fullständig diskkryptering och Startskydd. Följande diskkrypteringsinställningar stöds för närvarande: för Windows - Check Point-kryptering eller BitLocker-kryptering, för MacOS - Filvalv. Låt oss titta närmare på funktionerna och inställningarna för varje alternativ.
Check Point-kryptering
Check Point Encryption är standardmetoden för diskkryptering i dataskyddspolicyn och tillhandahåller kryptering av alla systemfiler (tillfälliga, systemfiler, borttagna) i bakgrunden utan att påverka användarens dator. Efter krypteringen blir disken oåtkomlig för obehöriga användare.
Huvudinställningen för Check Point Encryption är "Aktivera förstart", vilket möjliggör behovet av att autentisera användare innan operativsystemet laddas. Det här alternativet rekommenderas eftersom det förhindrar möjligheten att använda verktyg för autentiseringsförbikoppling på operativsystemnivå. Det är också möjligt att konfigurera tillfälliga förbikopplingsparametrar för förstartsfunktionen:
- Tillåt inloggning på operativsystemet efter tillfällig kringgåning — inaktivera funktionen Förstart och växla till autentisering i operativsystemet;
- Tillåt förbikoppling före start (Wake On LAN – WOL) — inaktivera förstartsfunktionen på datorer som är anslutna till hanteringsservern via Ethernet;
- Tillåt kringgå skript — låter dig konfigurera kringgåningen av förstartsfunktionen genom att ange tid och datum för skriptets start och parametrarna för slutet av förstartsbypasset;
- Tillåt LAN-förbikoppling — inaktivera förstartsfunktionen vid anslutning till ett lokalt nätverk.
Ovanstående alternativ för tillfällig kringgåelse av Pre-boot-funktionen rekommenderas inte att användas utan uppenbara skäl (till exempel tekniskt arbete eller felsökning) och den bästa lösningen ur säkerhetssynpunkt är att aktivera Pre-boot-funktionen utan att ange tillfälliga kringgåningsregler. Om det är nödvändigt att kringgå Pre-boot rekommenderas det att ställa in minsta nödvändiga tidsgränser i parametrarna för tillfällig bypass för att inte minska skyddsnivån under en längre tid.
När Check Point Encryption används är det också möjligt att konfigurera avancerade inställningar för dataskyddspolicyn, till exempel mer flexibelt konfigurera krypteringsparametrar, konfigurera olika aspekter av funktionen före start och Windows-autentisering.
BitLocker-kryptering
BitLocker är en del av Windows operativsystem och låter dig kryptera hårddiskar och flyttbara medier. Check Point BitLocker Management är en komponent i Windows-tjänster, startar automatiskt med SandBlast Agent-klienten och använder ett API för att hantera BitLocker-teknik.
När du väljer BitLocker-kryptering som enhetskrypteringsmetod i en dataskyddspolicy kan du konfigurera följande inställningar:
- Initial kryptering — initiala krypteringsinställningar låter dig kryptera hela disken (Kryptera hela disken), vilket rekommenderas för maskiner med befintliga användardata (filer, dokument etc.), eller kryptera endast data (Kryptera endast använt diskutrymme), vilket rekommenderas för nya Windows-installationer;
- Enheter att kryptera — val av diskar/partitioner för kryptering, låter dig kryptera alla diskar (alla enheter) eller bara partitionen med operativsystemet (endast OS-enhet);
- Krypteringsalgoritm — val av krypteringsalgoritm, det rekommenderade alternativet är Windows Standard, det är också möjligt att ange XTS-AES-128 eller XTS-AES-256.
Arkivvalv
File Vault är Apples standardkrypteringsverktyg som säkerställer att endast behöriga användare har åtkomst till en användares datordata. Med File Vault installerat måste användaren ange ett lösenord för att starta systemet och komma åt krypterade filer. Att använda File Vault är det enda sättet att säkerställa skyddet av lagrade data i dataskyddspolicyn för användare av MacOS-operativsystemet.
File Vault har inställningen "Aktivera automatisk användarförvärv" som kräver användarauktorisering innan diskkrypteringsprocessen kan påbörjas. När den är aktiverad kan du ange antalet användare som måste vara auktoriserade innan SandBlast Agent använder funktionen före start, eller ange antalet dagar efter vilken funktionen före start ska implementeras automatiskt för alla auktoriserade användare om minst en användare har loggat in på systemet under den perioden.
Dataåterställning
Vid problem med systemstart kan du använda olika metoder för dataåterställning. Administratören kan starta processen för krypterad dataåterställning från avsnittet Datorhantering → Fullständiga Dick-krypteringsåtgärder. Om du använder Check Point-kryptering kan du dekryptera den tidigare krypterade disken och få åtkomst till alla lagrade filer. Efter denna procedur måste du starta om diskkrypteringsprocessen för att dataskyddspolicyn ska fungera.
När du väljer BitLocker som enhetskrypteringsmetod för dataåterställning måste du ange återställningsnyckel-ID:t för den problematiska datorn för att generera en återställningsnyckel som måste anges av användaren för att få åtkomst till den krypterade enheten.
För MacOS-användare som använder File Vault för att skydda lagrad information innebär återställningsprocessen att administratören genererar en återställningsnyckel baserat på serienumret på den problematiska maskinen och anger denna nyckel, följt av att lösenordet återställs.
Implementeringspolicy
Sedan releasen , som undersökte gränssnittet för webbhanteringskonsolen, lyckades Check Point göra några ändringar i avsnittet Distribution - det innehåller nu ett underavsnitt Programvarudistribution, där konfigurationen (aktivering/inaktivering av blad) för redan installerade agenter konfigureras, och ett underavsnitt Exportpaket, där du kan skapa paket med förinstallerade blad för vidare installation på användarmaskiner, till exempel med hjälp av Active Directory-grupprinciper. Låt oss titta på underavsnittet Programvarudistribution, som inkluderar alla SandBlast Agent-blad.
Låt mig påminna dig om att standardpolicyn för distribution endast inkluderar blad i kategorin Hotdetektering. Med hänsyn till den dataskyddspolicy som diskuterades tidigare kan du nu aktivera den här kategorin för installation och drift på en klientdator med SandBlast Agent. Det är klokt att aktivera funktionen VPN för fjärråtkomst, vilket gör att användaren kan ansluta till exempelvis organisationens företagsnätverk, samt kategorin Åtkomst och efterlevnad, som inkluderar funktionerna Brandvägg och programkontroll och kontroll av att användardatorn följer efterlevnadspolicyn.
Exportpaket
Avsnittet Exportera paket är extremt enkelt att använda: för att skapa ett konfigurationspaket måste du ange dess namn, välja operativsystem (för Windows, ange även bitdjup) och agentversion och sedan välja de säkerhetspolicyer som är inbyggda i paketet. Dessutom kan du ange en virtuell grupp som ska inkludera datorer med det installerade paketet, och även välja en VPN-plats med en förinställd anslutningsadress och autentiseringsparametrar (VPN-platser konfigureras i avsnittet Exportera paket → Hantera VPN-platser). Det sista alternativet är särskilt praktiskt, eftersom det eliminerar risken för användarfel vid konfigurering av VPN-anslutningsparametrar.
Globala policyinställningar
I de globala policyinställningarna konfigureras en av de viktigaste parametrarna - lösenordet för att ta bort SandBlast Agent från användarens maskin. Efter att agenten har installerats kommer användaren inte att kunna ta bort den utan att ange lösenordet, vilket som standard är ordet "hemligt" (utan citattecken). Detta standardlösenord är dock lätt att hitta i öppna källor, och när man implementerar SandBlast Agent-lösningen rekommenderas det att ändra standardlösenordet för avinstallation av agenten. I Management Platform, med standardlösenordet, kan policyn bara ställas in 5 gånger, så det är oundvikligt att ändra lösenordet för avinstallation.
Dessutom konfigurerar globala policyinställningar parametrarna för data som kan skickas till Check Point för analys och förbättring av ThreatCloud-tjänsten.
Vissa parametrar för diskkrypteringspolicy konfigureras också från globala policyinställningar, nämligen lösenordskrav: komplexitet, användningstid, möjligheten att använda ett tidigare giltigt lösenord etc. I det här avsnittet kan du ladda upp dina egna avbildningar istället för standardavbildningarna för Pre-boot eller OneCheck.
Att skapa en policy
Efter att ha granskat funktionerna i dataskyddspolicyn och konfigurerat lämpliga inställningar i avsnittet Distribution kan du fortsätta med att installera en ny policy som inkluderar diskkryptering med Check Point Encryption och de återstående SandBlast Agent-bladen. Efter att ha installerat policyn i hanteringsplattformen får klienten ett meddelande om behovet av att installera den nya versionen av policyn nu eller omplanera installationen till en annan tidpunkt (maximalt 2 dagar).
Efter att den nya policyn har laddats ner och installerats kommer SandBlast Agent att uppmana användaren att starta om datorn för att aktivera Full Disk Encryption-skydd.
Efter omstart måste användaren ange sina inloggningsuppgifter i Check Point Endpoint Securitys autentiseringsfönster – det här fönstret visas varje gång innan operativsystemet startas (före start). Det är möjligt att välja alternativet Single Sign-On (SSO) för att automatiskt använda inloggningsuppgifterna vid autentisering i Windows.
Om autentiseringen lyckas får användaren åtkomst till sitt system och diskkrypteringsprocessen börjar "bakom kulisserna". Denna operation påverkar inte maskinens prestanda på något sätt, även om den kan fortsätta under en längre tid (beroende på mängden diskutrymme). När krypteringsprocessen är klar kan vi verifiera att alla blad är aktiverade och fungerar, att disken är krypterad och att användarens maskin är skyddad.
Slutsats
Låt oss sammanfatta: i den här artikeln tittade vi på SandBlast Agents möjligheter att skydda information som lagras på användarens maskin med hjälp av diskkryptering i dataskyddspolicyn, studerade inställningarna för att distribuera policyer och agenter via avsnittet Distribution och installerade en ny policy med diskkrypteringsregler och ytterligare blad på användarens maskin. I nästa artikel i serien kommer vi att titta närmare på loggnings- och rapporteringsfunktionerna i hanteringsplattformen och SandBlast Agent-klienten.
. För att inte missa nästa publikationer om ämnet SandBlast Agent Management Platform, följ uppdateringarna på våra sociala nätverk (, , , , ).
Källa: will.com
