
செக் பாயிண்ட் சாண்ட் பிளாஸ்ட் ஏஜென்ட் மேனேஜ்மென்ட் பிளாட்ஃபார்ம் தீர்வு பற்றிய தொடரின் நான்காவது கட்டுரைக்கு வரவேற்கிறோம். முந்தைய கட்டுரைகளில் (, , ) வலை மேலாண்மை கன்சோலின் இடைமுகம் மற்றும் திறன்களை விரிவாக விவரித்தோம், மேலும் அச்சுறுத்தல் தடுப்புக் கொள்கையை மதிப்பாய்வு செய்து பல்வேறு அச்சுறுத்தல்களை எதிர்கொள்ள அதைச் சோதித்தோம். இந்தக் கட்டுரை இரண்டாவது பாதுகாப்புக் கூறுக்கு அர்ப்பணிக்கப்பட்டுள்ளது - தரவுப் பாதுகாப்புக் கொள்கை, இது பயனர் கணினியில் சேமிக்கப்பட்ட தரவைப் பாதுகாப்பதற்குப் பொறுப்பாகும். இந்தக் கட்டுரையில் வரிசைப்படுத்தல் மற்றும் உலகளாவிய கொள்கை அமைப்புகள் பிரிவுகளையும் பார்ப்போம்.
தரவு பாதுகாப்பு கொள்கை
தரவுப் பாதுகாப்பு கொள்கையானது, முழு வட்டு குறியாக்கம் மற்றும் துவக்கப் பாதுகாப்பைப் பயன்படுத்தி, ஒரு பணிநிலையத்தில் சேமிக்கப்பட்ட தரவிற்கான அணுகலை அங்கீகரிக்கப்பட்ட பயனர்களுக்கு மட்டும் கட்டுப்படுத்த உங்களை அனுமதிக்கிறது. பின்வரும் வட்டு குறியாக்க உள்ளமைவு விருப்பங்கள் தற்போது ஆதரிக்கப்படுகின்றன: Windows — macOS-க்கான செக் பாயிண்ட் என்கிரிப்ஷன் அல்லது பிட்லாக்கர் என்கிரிப்ஷன் — ஃபைல் வால்ட். ஒவ்வொரு விருப்பத்தின் அம்சங்களையும் அமைப்புகளையும் சற்று விரிவாகப் பார்ப்போம்.
புள்ளி குறியாக்கத்தை சரிபார்க்கவும்
செக் பாயிண்ட் என்க்ரிப்ஷன் என்பது தரவுப் பாதுகாப்புக் கொள்கையில் உள்ள ஒரு நிலையான வட்டு குறியாக்க முறையாகும், மேலும் பயனர் இயந்திரத்தின் செயல்திறனைப் பாதிக்காமல் பின்னணியில் உள்ள அனைத்து கணினி கோப்புகளையும் (தற்காலிக, சிஸ்டம், ரிமோட்) குறியாக்கத்தை வழங்குகிறது. குறியாக்கத்திற்குப் பிறகு, வட்டு அங்கீகரிக்கப்படாத பயனர்களால் அணுக முடியாததாகிவிடும்.
செக் பாயிண்ட் என்க்ரிப்ஷனுக்கான முக்கிய அமைப்பானது "முன்-தொடக்கத்தை இயக்கு" ஆகும், இது இயக்க முறைமை துவங்கும் முன் பயனர்கள் அங்கீகரிக்கப்பட வேண்டிய தேவையை செயல்படுத்துகிறது. இந்த விருப்பம் பயன்பாட்டிற்கு பரிந்துரைக்கப்படுகிறது, ஏனெனில் இது இயக்க முறைமை மட்டத்தில் அங்கீகார பைபாஸ் கருவிகளைப் பயன்படுத்துவதற்கான வாய்ப்பைத் தடுக்கிறது. ப்ரீ-பூட் செயல்பாட்டிற்காக தற்காலிக பைபாஸ் அளவுருக்களை உள்ளமைக்கவும் முடியும்:
- தற்காலிக பைபாஸுக்குப் பிறகு OS உள்நுழைவை அனுமதிக்கவும் — முன்-பூட் செயல்பாட்டை முடக்குதல் மற்றும் இயக்க முறைமையில் அங்கீகாரத்திற்கு மாறுதல்;
- ப்ரீ-பூட் பைபாஸை அனுமதி (Wake On LAN – WOL) - ஈதர்நெட் வழியாக மேலாண்மை சேவையகத்துடன் இணைக்கப்பட்ட கணினிகளில் முன் துவக்க செயல்பாட்டை முடக்குதல்;
- பைபாஸ் ஸ்கிரிப்டை அனுமதிக்கவும் — ப்ரீ-பூட் செயல்பாட்டின் பைபாஸை கட்டமைக்க உங்களை அனுமதிக்கிறது, இது ஸ்கிரிப்ட் இயங்கத் தொடங்கிய நேரம் மற்றும் தேதி மற்றும் ப்ரீ-பூட் பைபாஸின் முடிவுக்கான அளவுருக்களைக் குறிக்கிறது;
- LAN பைபாஸை அனுமதிக்கவும் — உள்ளூர் பிணையத்துடன் இணைக்கும் போது முன் துவக்க செயல்பாட்டை முடக்கவும்.
வெளிப்படையான காரணம் (உதாரணமாக, பராமரிப்பு அல்லது சரிசெய்தல்) இல்லாவிட்டால், ப்ரீ-பூட்டுக்கான மேலே உள்ள தற்காலிக பைபாஸ் விருப்பங்கள் பரிந்துரைக்கப்படாது, மேலும் பாதுகாப்புக் கண்ணோட்டத்தில் சிறந்த தீர்வாக, தற்காலிக பைபாஸ் விதிகளைக் குறிப்பிடாமல் ப்ரீ-பூட்டை இயக்குவதே ஆகும். முன் துவக்கத்தைத் தவிர்ப்பது அவசியமானால், நீண்ட காலத்திற்கு பாதுகாப்பின் அளவைக் குறைக்காதபடி, தற்காலிக பைபாஸ் அளவுருக்களில் குறைந்தபட்ச தேவையான கால அளவை அமைக்க பரிந்துரைக்கப்படுகிறது.
மேலும், செக் பாயிண்ட் என்கிரிப்ஷனைப் பயன்படுத்தும்போது, தரவுப் பாதுகாப்பு கொள்கையின் மேம்பட்ட அமைப்புகளை உள்ளமைக்க முடியும். உதாரணமாக, குறியாக்க அளவுருக்களின் மிகவும் நெகிழ்வான உள்ளமைவு, ப்ரீ-பூட் செயல்பாட்டின் பல்வேறு அம்சங்கள் மற்றும் அங்கீகாரம் ஆகியவற்றின் உள்ளமைவு. Windows.
பிட்லாக்கர் குறியாக்கம்
பிட்லாக்கர் இயக்க முறைமையின் ஒரு பகுதியாகும். Windows மேலும் இது ஹார்டு டிரைவ்கள் மற்றும் நீக்கக்கூடிய மீடியாவை என்க்ரிப்ட் செய்ய உங்களை அனுமதிக்கிறது. செக் பாயிண்ட் பிட்லாக்கர் மேனேஜ்மென்ட் என்பது இந்தச் சேவைகளின் ஒரு அங்கமாகும். Windowsஇது SandBlast Agent client உடன் தானாகவே இயங்குகிறது மற்றும் BitLocker தொழில்நுட்பத்தை நிர்வகிக்க ஒரு API-ஐப் பயன்படுத்துகிறது.
தரவுப் பாதுகாப்புக் கொள்கையில் டிரைவ் என்க்ரிப்ஷன் முறையாக BitLocker என்க்ரிப்ஷனைத் தேர்ந்தெடுக்கும்போது, பின்வரும் அமைப்புகளை நீங்கள் கட்டமைக்கலாம்:
- ஆரம்ப குறியாக்கம் — ஆரம்ப குறியாக்க அமைப்புகள், முழு இயக்ககத்தையும் குறியாக்கம் செய்ய (Encrypt entire drive) உங்களை அனுமதிக்கின்றன; இது ஏற்கனவே பயனர் தரவுகள் (கோப்புகள், ஆவணங்கள் போன்றவை) உள்ள கணினிகளுக்குப் பரிந்துரைக்கப்படுகிறது. அல்லது, தரவுகளை மட்டும் குறியாக்கம் செய்யவும் (Encrypt used disk space only) நீங்கள் அனுமதிக்கலாம்; இது புதிய நிறுவல்களுக்குப் பரிந்துரைக்கப்படுகிறது. Windows;
- குறியாக்க இயக்கிகள் - குறியாக்கத்திற்கான டிரைவ்கள்/பகிர்வுகளின் தேர்வு, அனைத்து டிரைவ்களையும் (அனைத்து டிரைவ்களையும்) குறியாக்கம் செய்ய உங்களை அனுமதிக்கிறது அல்லது இயக்க முறைமையுடன் கூடிய பகிர்வை மட்டும் (OS டிரைவ் மட்டும்);
- குறியாக்க வழிமுறை — குறியாக்க நெறிமுறையைத் தேர்ந்தெடுப்பதில், பரிந்துரைக்கப்பட்ட விருப்பம் Windows இயல்புநிலையாக, நீங்கள் XTS-AES-128 அல்லது XTS-AES-256 ஐயும் குறிப்பிடலாம்.
கோப்பு வால்ட்
கோப்பு வால்ட் என்பது ஆப்பிளின் நிலையான குறியாக்கக் கருவியாகும் மற்றும் அங்கீகரிக்கப்பட்ட பயனர்கள் மட்டுமே பயனர் கணினி தரவை அணுக முடியும் என்பதை உறுதி செய்கிறது. கோப்பு வால்ட் நிறுவப்பட்டவுடன், கணினியைத் தொடங்கவும், மறைகுறியாக்கப்பட்ட கோப்புகளுக்கான அணுகலைப் பெறவும் பயனர் கடவுச்சொல்லை உள்ளிட வேண்டும். MacOS இயக்க முறைமையின் பயனர்களுக்கான தரவுப் பாதுகாப்புக் கொள்கையில் சேமிக்கப்பட்ட தரவின் பாதுகாப்பை உறுதி செய்வதற்கான ஒரே வழி File Vault ஐப் பயன்படுத்துவதாகும்.
கோப்பு வால்ட்டுக்கு, “தானியங்கு பயனர் கையகப்படுத்துதலை இயக்கு” அமைப்பு உள்ளது, இதற்கு வட்டு குறியாக்க செயல்முறை தொடங்கும் முன் பயனர் அங்கீகாரம் தேவைப்படுகிறது. இந்த அம்சம் இயக்கப்பட்டிருந்தால், SandBlast Agent முன்-பூட் அம்சத்தைப் பயன்படுத்துவதற்கு முன்பு உள்நுழைய வேண்டிய பயனர்களின் எண்ணிக்கையைக் குறிப்பிடலாம் அல்லது அனைத்து அங்கீகரிக்கப்பட்ட பயனர்களுக்கும் ப்ரீ-பூட் அம்சம் தானாகச் செயல்படுத்தப்படும் நாட்களின் எண்ணிக்கையைக் குறிப்பிடலாம். இந்த காலகட்டத்தில் குறைந்தபட்சம் ஒரு பயனர் கணினியில் உள்நுழைந்திருந்தால்.
தரவு மீட்பு
உங்கள் கணினியை துவக்குவதில் சிக்கல் இருந்தால், நீங்கள் பல்வேறு தரவு மீட்பு முறைகளைப் பயன்படுத்தலாம். கணினி மேலாண்மை → முழு டிக் என்க்ரிப்ஷன் செயல்கள் பிரிவில் இருந்து மறைகுறியாக்கப்பட்ட தரவை மீட்டமைக்கும் செயல்முறையை நிர்வாகி தொடங்கலாம். நீங்கள் செக் பாயிண்ட் என்க்ரிப்ஷனைப் பயன்படுத்தினால், முன்பு மறைகுறியாக்கப்பட்ட வட்டை டிக்ரிப்ட் செய்து, சேமிக்கப்பட்ட எல்லா கோப்புகளுக்கும் அணுகலைப் பெறலாம். இந்த நடைமுறைக்குப் பிறகு, தரவுப் பாதுகாப்புக் கொள்கை செயல்பட, வட்டு குறியாக்க செயல்முறையை நீங்கள் மறுதொடக்கம் செய்ய வேண்டும்.
தரவு மீட்டெடுப்பிற்கான வட்டு குறியாக்க முறையாக BitLocker ஐத் தேர்ந்தெடுக்கும்போது, ஒரு மீட்பு விசையை உருவாக்க, சிக்கல் கணினியின் மீட்பு விசை ஐடியை நீங்கள் உள்ளிட வேண்டும், இது மறைகுறியாக்கப்பட்ட வட்டுக்கான அணுகலைப் பெற பயனரால் உள்ளிடப்பட வேண்டும்.
சேமிக்கப்பட்ட தகவலைப் பாதுகாக்க File Vault ஐப் பயன்படுத்தும் MacOS பயனர்களுக்கு, மீட்புச் செயல்பாட்டில், நிர்வாகி, சிக்கல் இயந்திரத்தின் வரிசை எண்ணின் அடிப்படையில் மீட்பு விசையை உருவாக்கி, இந்த விசையை உள்ளிட்டு, கடவுச்சொல்லை மீட்டமைக்க வேண்டும்.
வரிசைப்படுத்தல் கொள்கை
வெளியானதிலிருந்து , இணைய மேலாண்மை கன்சோலின் இடைமுகத்தைப் பற்றி விவாதித்த செக் பாயிண்ட், வரிசைப்படுத்தல் பிரிவில் சில மாற்றங்களைச் செய்ய முடிந்தது - இப்போது அது ஒரு துணைப்பிரிவைக் கொண்டுள்ளது. மென்பொருள் வரிசைப்படுத்தல், இதில் உள்ளமைவு (பிளேடுகளை இயக்குதல்/முடக்குதல்) ஏற்கனவே நிறுவப்பட்ட முகவர்களுக்காக கட்டமைக்கப்பட்டுள்ளது, மற்றும் துணைப்பிரிவு தொகுப்பு ஏற்றுமதி, இதில் நீங்கள் பயனர் கணினிகளில் மேலும் நிறுவுவதற்கு முன்பே நிறுவப்பட்ட பிளேடுகளுடன் தொகுப்புகளை உருவாக்கலாம், எடுத்துக்காட்டாக, ஆக்டிவ் டைரக்டரி குழு கொள்கைகளைப் பயன்படுத்தி. அனைத்து SandBlast Agent பிளேடுகளையும் உள்ளடக்கிய மென்பொருள் வரிசைப்படுத்தல் துணைப்பிரிவைப் பார்ப்போம்.
நிலையான வரிசைப்படுத்தல் கொள்கையில் அச்சுறுத்தல் தடுப்பு பிரிவில் பிளேடுகள் மட்டுமே அடங்கும் என்பதை நினைவூட்டுகிறேன். முன்னர் விவாதிக்கப்பட்ட தரவுப் பாதுகாப்புக் கொள்கையை கணக்கில் எடுத்துக்கொண்டு, இப்போது SandBlast ஏஜெண்டுடன் கிளையன்ட் கணினியில் நிறுவுதல் மற்றும் செயல்படுவதற்கு இந்த வகையை இயக்கலாம். தொலைநிலை அணுகல் VPN செயல்பாட்டைச் சேர்ப்பது அர்த்தமுள்ளதாக இருக்கிறது, இது பயனரை இணைக்க அனுமதிக்கும், எடுத்துக்காட்டாக, நிறுவனத்தின் கார்ப்பரேட் நெட்வொர்க்குடன், அத்துடன் அணுகல் மற்றும் இணக்க வகை, இதில் ஃபயர்வால் & பயன்பாட்டுக் கட்டுப்பாடு செயல்பாடுகள் மற்றும் பயனர் இயந்திரத்தைச் சரிபார்த்தல் ஆகியவை அடங்கும். இணக்கக் கொள்கைக்கு இணங்குவதற்காக.
தொகுப்பு ஏற்றுமதி
ஏற்றுமதி தொகுப்புகள் துணைப்பிரிவைப் பயன்படுத்துவது மிகவும் எளிதானது: ஒரு உள்ளமைவுத் தொகுப்பை உருவாக்க, நீங்கள் அதன் பெயரைக் குறிப்பிட வேண்டும், இயக்க முறைமையைத் தேர்ந்தெடுக்க வேண்டும் (இதற்காக) Windows (பிட் டெப்த் மற்றும் ஏஜென்ட் பதிப்பையும் குறிப்பிடவும்), பின்னர் தொகுப்பில் உட்பொதிக்கப்பட்ட பாதுகாப்புக் கொள்கைகளைத் தேர்ந்தெடுக்கவும். தொகுப்பு நிறுவப்பட்ட கணினிகளை உள்ளடக்கிய ஒரு மெய்நிகர் குழுவையும் நீங்கள் குறிப்பிடலாம், மேலும் முன்னரே வரையறுக்கப்பட்ட இணைப்பு முகவரி மற்றும் அங்கீகார அளவுருக்களுடன் ஒரு VPN தளத்தைத் தேர்ந்தெடுக்கலாம் (VPN தளங்கள், தொகுப்புகளை ஏற்றுமதி செய் → VPN தளங்களை நிர்வகி என்பதில் உள்ளமைக்கப்படுகின்றன). VPN இணைப்பு அளவுருக்களை உள்ளமைக்கும்போது பயனர் பிழை ஏற்படுவதற்கான வாய்ப்பை இது நீக்குவதால், பிந்தைய விருப்பம் குறிப்பாக வசதியானது.
உலகளாவிய கொள்கை அமைப்புகள்
உலகளாவிய கொள்கை அமைப்புகளில், மிக முக்கியமான அளவுருக்களில் ஒன்று உள்ளமைக்கப்பட்டுள்ளது - பயனர் கணினியிலிருந்து SandBlast முகவரை அகற்றுவதற்கான கடவுச்சொல். முகவர் நிறுவப்பட்டதும், கடவுச்சொல்லை உள்ளிடாமல் பயனர் அதை அகற்ற முடியாது, இது முன்னிருப்பாக "இரகசிய" (மேற்கோள்கள் இல்லாமல்). இருப்பினும், இந்த நிலையான கடவுச்சொல் திறந்த மூலங்களில் கண்டுபிடிக்க எளிதானது, மேலும் SandBlast Agent தீர்வை செயல்படுத்தும் போது, முகவரை நிறுவல் நீக்க, நிலையான கடவுச்சொல்லை மாற்ற பரிந்துரைக்கப்படுகிறது. மேலாண்மை தளத்தில், நிலையான கடவுச்சொல்லுடன், கொள்கையை 5 முறை மட்டுமே அமைக்க முடியும், எனவே நிறுவல் நீக்கம் கடவுச்சொல்லை மாற்றுவது தவிர்க்க முடியாதது .
கூடுதலாக, குளோபல் பாலிசி செட்டிங்ஸ், த்ரெட் கிளவுட் சேவையின் செயல்பாட்டை ஆய்வு செய்து மேம்படுத்த, செக் பாயிண்டிற்கு அனுப்பக்கூடிய தரவு அளவுருக்களை உள்ளமைக்கிறது.
குளோபல் பாலிசி அமைப்புகளில் இருந்து நீங்கள் சில வட்டு குறியாக்கக் கொள்கை அளவுருக்களையும் உள்ளமைக்கலாம், அதாவது கடவுச்சொல் தேவைகள்: சிக்கலான தன்மை, பயன்பாட்டின் காலம், முன்பு செல்லுபடியாகும் கடவுச்சொல்லைப் பயன்படுத்தும் திறன் போன்றவை. இந்தப் பிரிவில், Pre-boot அல்லது OneCheckக்கான நிலையான படங்களைப் பதிலாக உங்கள் சொந்தப் படங்களைப் பதிவேற்றலாம்.
கொள்கையை அமைத்தல்
தரவுப் பாதுகாப்புக் கொள்கையின் திறன்களைப் பற்றி நன்கு அறிந்த பிறகு, வரிசைப்படுத்தல் பிரிவில் பொருத்தமான அமைப்புகளை உள்ளமைத்த பிறகு, செக் பாயிண்ட் என்க்ரிப்ஷன் மற்றும் மீதமுள்ள சாண்ட்ப்ளாஸ்ட் ஏஜென்ட் பிளேடுகளைப் பயன்படுத்தி வட்டு குறியாக்கத்தை உள்ளடக்கிய புதிய கொள்கையை நிறுவத் தொடங்கலாம். நிர்வாகத் தளத்தில் கொள்கையை நிறுவிய பிறகு, கிளையன்ட் பாலிசியின் புதிய பதிப்பை இப்போது நிறுவும்படி அல்லது நிறுவலை மற்றொரு நேரத்திற்கு (அதிகபட்சம் 2 நாட்கள்) மாற்றும்படி கேட்கும் செய்தியைப் பெறுவார்.
புதிய கொள்கையைப் பதிவிறக்கி நிறுவிய பிறகு, முழு வட்டு குறியாக்கப் பாதுகாப்பை இயக்க, கணினியை மறுதொடக்கம் செய்யும்படி SandBlast ஏஜென்ட் பயனரைத் தூண்டும்.
மறுதொடக்கம் செய்த பிறகு, செக் பாயின்ட் எண்ட்பாயின்ட் செக்யூரிட்டி அங்கீகாரச் சாளரத்தில் பயனர் தனது சான்றுகளை உள்ளிட வேண்டும். இந்தச் சாளரம், இயக்க முறைமை தொடங்குவதற்கு முன்பு (முன்-துவக்கம்) ஒவ்வொரு முறையும் தோன்றும். அங்கீகாரத்திற்காக சான்றுகளைத் தானாகவே பயன்படுத்த, ஒற்றை உள்நுழைவு (SSO) விருப்பத்தைத் தேர்ந்தெடுக்க முடியும். Windows.
அங்கீகாரம் வெற்றிகரமாக இருந்தால், பயனர் தனது கணினிக்கான அணுகலைப் பெறுகிறார், மேலும் திரைக்குப் பின்னால் வட்டு குறியாக்க செயல்முறை தொடங்குகிறது. இந்த செயல்பாடு இயந்திரத்தின் செயல்திறனை எந்த வகையிலும் பாதிக்காது, இருப்பினும் இது நீண்ட காலத்திற்கு தொடரலாம் (வட்டு இடத்தின் அளவைப் பொறுத்து). குறியாக்க செயல்முறை முடிந்ததும், எல்லா பிளேடுகளும் இயங்குகின்றனவா, இயக்கி என்க்ரிப்ட் செய்யப்பட்டுள்ளதா மற்றும் பயனரின் இயந்திரம் பாதுகாப்பானதா என்பதைச் சரிபார்க்கலாம்.
முடிவுக்கு
சுருக்கமாகக் கூறுவோம்: இந்தக் கட்டுரையில், தரவுப் பாதுகாப்புக் கொள்கையில் வட்டு குறியாக்கத்தைப் பயன்படுத்தி பயனரின் கணினியில் சேமிக்கப்பட்ட தகவல்களைப் பாதுகாப்பதற்கான SandBlast Agent இன் திறன்களைப் பார்த்தோம், வரிசைப்படுத்தல் பிரிவு மூலம் கொள்கைகள் மற்றும் முகவர்களை விநியோகிப்பதற்கான அமைப்புகளைப் படித்து, வட்டில் புதிய கொள்கையை நிறுவினோம். குறியாக்க விதிகள் மற்றும் பயனரின் கணினியில் கூடுதல் கத்திகள் . தொடரின் அடுத்த கட்டுரையில், மேலாண்மை பிளாட்ஃபார்ம் மற்றும் SandBlast Agent கிளையண்டில் உள்ள பதிவு மற்றும் அறிக்கையிடல் திறன்களைப் பற்றி விரிவாகப் பார்ப்போம்.
. SandBlast Agent Management Platform என்ற தலைப்பில் அடுத்த வெளியீடுகளைத் தவறவிடாமல் இருக்க, எங்கள் சமூக வலைப்பின்னல்களில் புதுப்பிப்புகளைப் பின்பற்றவும் (, , , , ).
ஆதாரம்: www.habr.com
