Karibu kwenye makala ya nne katika mfululizo kuhusu Suluhu ya Jukwaa la Usimamizi wa Wakala wa Check Point SandBlast. Katika makala zilizopita (, , ) tulielezea kwa kina kiolesura na uwezo wa dashibodi ya usimamizi wa wavuti, na pia tukapitia sera ya Kuzuia Tishio na kuifanyia majaribio ili kukabiliana na matishio mbalimbali. Makala haya yamejitolea kwa kipengele cha pili cha usalama - sera ya Ulinzi wa Data, ambayo ina jukumu la kulinda data iliyohifadhiwa kwenye mashine ya mtumiaji. Pia katika makala haya tutaangalia sehemu za Usambazaji na Mipangilio ya Sera ya Kimataifa.
Sera ya Ulinzi wa Data
Sera ya Ulinzi wa Data hukuruhusu kusanidi ufikiaji wa data iliyohifadhiwa kwenye mashine ya kufanya kazi kwa watumiaji walioidhinishwa tu, kwa kutumia Usimbaji Fiche wa Diski Kamili na Vitendaji vya Ulinzi wa Boot. Hivi sasa, chaguzi zifuatazo za kusanidi usimbuaji wa diski zinaungwa mkono: kwa Windows - Angalia Usimbaji wa Pointi au Usimbaji wa BitLocker, kwa MacOS - Vault ya Faili. Hebu tuchunguze kwa undani uwezo na mipangilio ya kila chaguo.
Angalia Usimbaji wa Pointi
Usimbaji fiche wa Check Point ni njia ya kawaida ya usimbuaji wa diski katika sera ya Ulinzi wa Data na hutoa usimbaji fiche wa faili zote za mfumo (muda, mfumo, mbali) nyuma bila kuathiri utendaji wa mashine ya mtumiaji. Baada ya usimbaji fiche, diski inakuwa haipatikani kwa watumiaji wasioidhinishwa.
Mpangilio kuu wa Usimbaji Fiche wa Angalia ni "Wezesha Pre-boot", ambayo huwezesha mahitaji ya watumiaji kuthibitishwa kabla ya buti za mfumo wa uendeshaji. Chaguo hili linapendekezwa kwa matumizi, kwani inazuia uwezekano wa kutumia zana za uthibitishaji wa bypass kwenye kiwango cha mfumo wa uendeshaji. Inawezekana pia kusanidi vigezo vya bypass vya muda kwa kazi ya Pre-boot:
- Ruhusu kuingia kwa Mfumo wa Uendeshaji baada ya kupita kwa muda - kuzima kazi ya Pre-boot na kubadili uthibitishaji katika mfumo wa uendeshaji;
- Ruhusu upitaji wa kuwasha awali (Wake On LAN - WOL) - kulemaza kazi ya kuwasha awali kwenye kompyuta zilizounganishwa na seva ya usimamizi kupitia Ethernet;
- Ruhusu hati ya kukwepa - inakuwezesha kusanidi bypass ya kazi ya Pre-boot, ikionyesha wakati na tarehe ambayo script ilianza kufanya kazi na vigezo vya mwisho wa bypass ya Pre-boot;
- Ruhusu LAN kupita — Zima kitendaji cha kuwasha-washa wakati unaunganisha kwenye mtandao wa ndani.
Chaguzi za muda zilizo hapo juu za bypass kwa Pre-boot hazipendekezwi isipokuwa kuna sababu dhahiri (kwa mfano, matengenezo au utatuzi), na suluhisho bora kutoka kwa mtazamo wa usalama ni kuwezesha Kuanzisha Mapema bila kubainisha sheria za bypass za muda. Ikiwa ni muhimu kupitisha Pre-boot, inashauriwa kuweka muda wa chini unaohitajika katika vigezo vya bypass vya muda ili usipunguze kiwango cha ulinzi kwa muda mrefu.
Pia, unapotumia Usimbaji Fiche wa Angalia, inawezekana kusanidi mipangilio ya sera ya juu ya Ulinzi wa Data, kwa mfano, kusanidi kwa urahisi mipangilio ya usimbuaji, kusanidi vipengele mbalimbali vya kazi ya Pre-boot na uthibitishaji wa Windows.
Usimbaji fiche wa BitLocker
BitLocker ni sehemu ya mfumo wa uendeshaji wa Windows na inakuwezesha kusimba anatoa ngumu na vyombo vya habari vinavyoweza kutolewa. Check Point BitLocker Management ni sehemu ya Huduma za Windows ambayo huanza kiotomatiki na mteja wa SandBlast Agent na hutumia API kudhibiti teknolojia ya BitLocker.
Unapochagua Usimbaji fiche wa BitLocker kama mbinu ya usimbaji fiche kwenye kiendeshi katika sera ya Ulinzi wa Data, unaweza kusanidi mipangilio ifuatayo:
- Usimbaji fiche wa Awali — Mipangilio ya awali ya usimbaji fiche hukuruhusu kusimba kiendeshi kizima (Simba hifadhi nzima kwa njia fiche), ambayo inapendekezwa kwa mashine zilizo na data iliyopo ya mtumiaji (faili, hati, n.k.), au usimbaji data pekee (Simba kwa njia fiche nafasi ya diski iliyotumika pekee), ambayo ni iliyopendekezwa kwa usakinishaji mpya wa Windows;
- Viendeshi vya kusimba kwa njia fiche - uteuzi wa disks / partitions kwa encryption, utapata encrypt anatoa zote (All drives) au tu kizigeu na mfumo wa uendeshaji (OS drive tu);
- Usimbuaji fiche — uteuzi wa algorithm ya usimbuaji, chaguo lililopendekezwa ni Windows Default, inawezekana pia kutaja XTS-AES-128 au XTS-AES-256.
Faili ya Vault
File Vault ni zana ya kawaida ya usimbaji fiche ya Apple na inahakikisha kuwa watumiaji walioidhinishwa pekee ndio wanaweza kufikia data ya kompyuta ya mtumiaji. Na Faili ya Vault iliyosakinishwa, mtumiaji lazima aweke nenosiri ili kuanza mfumo na kupata ufikiaji wa faili zilizosimbwa. Kutumia File Vault ndiyo njia pekee ya kuhakikisha ulinzi wa data iliyohifadhiwa katika sera ya Ulinzi wa Data kwa watumiaji wa mfumo wa uendeshaji wa MacOS.
Kwa Vault ya Faili, mpangilio wa "Wezesha upatikanaji wa mtumiaji otomatiki" unapatikana, ambao unahitaji idhini ya mtumiaji kabla ya mchakato wa usimbuaji wa diski kuanza. Kipengele hiki kikiwashwa, inawezekana kubainisha idadi ya watumiaji ambao lazima waingie kabla ya Wakala wa SandBlast kutumia kipengele cha Kuwasha Mapema, au kubainisha idadi ya siku ambazo baada ya hapo kipengele cha Kuanzisha Mapema kitatekelezwa kiotomatiki kwa watumiaji wote walioidhinishwa. ikiwa katika kipindi hiki angalau mtumiaji mmoja ameingia kwenye mfumo.
Urejeshaji wa data
Ikiwa una matatizo ya kuanzisha mfumo wako, unaweza kutumia mbinu mbalimbali za kurejesha data. Msimamizi anaweza kuanzisha mchakato wa kurejesha data iliyosimbwa kwa njia fiche kutoka kwa Usimamizi wa Kompyuta → Sehemu ya Vitendo vya Usimbaji Kamili wa Dick. Ikiwa unatumia Usimbaji wa Pointi ya Angalia, unaweza kusimbua diski iliyosimbwa hapo awali na kupata ufikiaji wa faili zote zilizohifadhiwa. Baada ya utaratibu huu, lazima uanze upya mchakato wa usimbuaji wa diski ili sera ya Ulinzi wa Data ifanye kazi.
Wakati wa kuchagua BitLocker kama njia ya usimbuaji wa diski kwa urejeshaji data, lazima uweke Kitambulisho cha Uokoaji cha kompyuta yenye tatizo ili kutoa Ufunguo wa Urejeshaji, ambao lazima uingizwe na mtumiaji ili kupata ufikiaji wa diski iliyosimbwa.
Kwa watumiaji wa MacOS wanaotumia File Vault kulinda taarifa zilizohifadhiwa, mchakato wa kurejesha unahusisha msimamizi kuzalisha Ufunguo wa Urejeshaji kulingana na Nambari ya Serial ya mashine ya tatizo na kuingiza ufunguo huu, ikifuatiwa na kuweka upya nenosiri.
Sera ya Usambazaji
Tangu kutolewa , ambayo ilijadili kiolesura cha koni ya usimamizi wa wavuti, Check Point imeweza kufanya mabadiliko fulani kwenye sehemu ya Upelekaji - sasa ina kifungu kidogo. Usambazaji wa Programu, ambamo usanidi (kuwezesha/kuzima vile vile) umesanidiwa kwa mawakala ambao tayari wamesakinishwa, na kifungu kidogo. Hamisha Kifurushi, ambayo unaweza kuunda vifurushi na vile vilivyowekwa awali kwa usakinishaji zaidi kwenye mashine za watumiaji, kwa mfano, kwa kutumia sera za kikundi cha Active Directory. Hebu tuangalie kifungu kidogo cha Usambazaji wa Programu, ambacho kinajumuisha vile vya Wakala wa SandBlast.
Acha nikukumbushe kwamba sera ya kawaida ya Usambazaji inajumuisha tu vile vile katika kitengo cha Kuzuia Tishio. Kwa kuzingatia sera ya Ulinzi wa Data iliyojadiliwa hapo awali, sasa unaweza kuwezesha kategoria hii kwa ajili ya usakinishaji na uendeshaji kwenye mashine ya kiteja ukitumia SandBlast Agent. Ni jambo la busara kujumuisha kipengele cha VPN cha Ufikiaji wa Mbali, ambacho kitamruhusu mtumiaji kuunganishwa, kwa mfano, na mtandao wa shirika wa shirika, pamoja na kitengo cha Ufikiaji na Uzingatiaji, ambacho kinajumuisha kipengele cha Firewall & Udhibiti wa Programu na kuangalia mashine ya mtumiaji. kwa kufuata sera ya Uzingatiaji.
Hamisha Kifurushi
Kifungu kidogo cha Vifurushi vya Usafirishaji ni rahisi sana kutumia: kuunda kifurushi cha usanidi, unahitaji kutaja jina lake, chagua mfumo wa uendeshaji (kwa Windows, pia taja udogo) na toleo la wakala, kisha uchague sera za usalama zitakazojengwa ndani. kifurushi. Zaidi ya hayo, unaweza kutaja kikundi cha kawaida kitakachojumuisha kompyuta zilizo na kifurushi kilichosakinishwa, na pia uchague Tovuti ya VPN iliyo na anwani ya uunganisho iliyowekwa tayari na vigezo vya uthibitishaji (Maeneo ya VPN yamesanidiwa katika Sehemu ya Vifurushi vya Hamisha → Dhibiti Sehemu za VPN). Hatua ya mwisho ni rahisi sana, kwani huondoa uwezekano wa kosa la mtumiaji wakati wa kusanidi mipangilio ya uunganisho wa VPN.
Mipangilio ya Sera ya Kimataifa
Katika Mipangilio ya Sera ya Kimataifa, moja ya vigezo muhimu zaidi imeundwa - nenosiri la kuondoa Wakala wa SandBlast kutoka kwa mashine ya mtumiaji. Mara wakala akishasakinishwa, mtumiaji hataweza kuiondoa bila kuingiza nenosiri, ambalo kwa chaguo-msingi ni "siri" (bila nukuu). Walakini, nenosiri hili la kawaida ni rahisi kupata katika vyanzo wazi, na wakati wa kutekeleza suluhisho la Wakala wa SandBlast, inashauriwa kubadilisha nenosiri la kawaida ili kuondoa wakala. Katika Jukwaa la Usimamizi, na nenosiri la kawaida, sera inaweza tu kuwekwa mara 5, kwa hivyo kubadilisha nenosiri ili kuliondoa ni jambo lisiloepukika .
Zaidi ya hayo, Mipangilio ya Sera ya Kimataifa husanidi vigezo vya data vinavyoweza kutumwa kwa Check Point ili kuchanganua na kuboresha utendakazi wa huduma ya ThreatCloud.
Kutoka kwa Mipangilio ya Sera ya Kimataifa unaweza pia kusanidi baadhi ya vigezo vya sera ya usimbaji fiche wa diski, yaani mahitaji ya nenosiri: utata, muda wa matumizi, uwezo wa kutumia nenosiri halali hapo awali, nk. Katika sehemu hii, unaweza kupakia picha zako badala ya zile za kawaida za Pre-boot au OneCheck.
Kuweka Sera
Baada ya kujifahamisha na uwezo wa sera ya Ulinzi wa Data na kusanidi mipangilio ifaayo katika sehemu ya Usambazaji, unaweza kuanza kusakinisha sera mpya inayojumuisha usimbaji fiche wa diski kwa kutumia Usimbaji Fiche wa Check Point na vibao vingine vya SandBlast Agent. Baada ya kusakinisha sera katika Mfumo wa Usimamizi, mteja atapokea ujumbe ukimtaka asakinishe toleo jipya la sera sasa au apange upya usakinishaji hadi wakati mwingine (usiozidi siku 2).
Baada ya kupakua na kusakinisha sera mpya, Wakala wa SandBlast atamwuliza mtumiaji kuwasha upya kompyuta ili kuwezesha ulinzi wa Usimbaji Fiche wa Diski Kamili.
Baada ya kuanzisha upya, mtumiaji atahitaji kuingiza sifa zake kwenye dirisha la uthibitishaji wa Usalama wa Check Point Endpoint - dirisha hili litaonekana kila wakati kabla ya kuanza mfumo wa uendeshaji (Pre-boot). Inawezekana kuchagua chaguo la Kuingia Mara Moja (SSO) ili kutumia kitambulisho kiotomatiki kwa uthibitishaji katika Windows.
Ikiwa uthibitishaji umefanikiwa, mtumiaji anapata ufikiaji wa mfumo wake, na nyuma ya pazia mchakato wa usimbuaji wa diski huanza. Operesheni hii haiathiri utendaji wa mashine kwa njia yoyote, ingawa inaweza kudumu kwa muda mrefu (kulingana na kiasi cha nafasi ya diski). Pindi mchakato wa usimbaji fiche utakapokamilika, tunaweza kuthibitisha kwamba vile vile viunzi vyote vimewashwa na kufanya kazi, hifadhi imesimbwa kwa njia fiche, na mashine ya mtumiaji iko salama.
Hitimisho
Wacha tufanye muhtasari: katika nakala hii tuliangalia uwezo wa Wakala wa SandBlast kulinda habari iliyohifadhiwa kwenye mashine ya mtumiaji kwa kutumia usimbaji fiche wa diski katika sera ya Ulinzi wa Data, tulisoma mipangilio ya kusambaza sera na mawakala kupitia sehemu ya Usambazaji na kusakinisha sera mpya na diski. sheria za usimbaji fiche na vile vya ziada kwenye mashine ya mtumiaji . Katika makala inayofuata katika mfululizo, tutaangalia kwa kina uwezo wa kukata miti na kuripoti katika Jukwaa la Usimamizi na mteja wa Wakala wa SandBlast.
. Ili usikose machapisho yanayofuata kwenye mada Jukwaa la Usimamizi wa Wakala wa SandBlast, fuata sasisho kwenye mitandao yetu ya kijamii (, , , , ).
Chanzo: mapenzi.com
