چیک پوائنٹ سینڈ بلاسٹ ایجنٹ مینجمنٹ پلیٹ فارم حل کے بارے میں سیریز کے چوتھے مضمون میں خوش آمدید۔ پچھلے مضامین میں (, , ) ہم نے ویب مینجمنٹ کنسول کے انٹرفیس اور صلاحیتوں کو تفصیل سے بیان کیا، اور خطرے سے بچاؤ کی پالیسی کا بھی جائزہ لیا اور مختلف خطرات کا مقابلہ کرنے کے لیے اس کا تجربہ کیا۔ یہ مضمون دوسرے حفاظتی جزو کے لیے وقف ہے - ڈیٹا پروٹیکشن پالیسی، جو صارف کی مشین پر محفوظ ڈیٹا کی حفاظت کے لیے ذمہ دار ہے۔ اس مضمون میں ہم تعیناتی اور عالمی پالیسی کی ترتیبات کے سیکشنز کو بھی دیکھیں گے۔
ڈیٹا پروٹیکشن پالیسی
ڈیٹا پروٹیکشن پالیسی آپ کو مکمل ڈسک انکرپشن اور بوٹ پروٹیکشن کا استعمال کرنے والے مجاز صارفین تک ورک سٹیشن پر محفوظ ڈیٹا تک رسائی کو محدود کرنے کی اجازت دیتی ہے۔ درج ذیل ڈسک انکرپشن کنفیگریشن کے اختیارات فی الحال تعاون یافتہ ہیں: Windows - میکوس - فائل والٹ کے لیے پوائنٹ انکرپشن یا بٹ لاکر انکرپشن چیک کریں۔ آئیے ہر آپشن کی خصوصیات اور ترتیبات پر گہری نظر ڈالیں۔
پوائنٹ انکرپشن چیک کریں۔
چیک پوائنٹ انکرپشن ڈیٹا پروٹیکشن پالیسی میں ڈسک انکرپشن کا ایک معیاری طریقہ ہے اور صارف کی مشین کی کارکردگی کو متاثر کیے بغیر پس منظر میں تمام سسٹم فائلوں (عارضی، سسٹم، ریموٹ) کو انکرپشن فراہم کرتا ہے۔ خفیہ کاری کے بعد، ڈسک غیر مجاز صارفین کے لیے ناقابل رسائی ہو جاتی ہے۔
چیک پوائنٹ انکرپشن کی بنیادی ترتیب "پری بوٹ کو فعال کریں" ہے، جو آپریٹنگ سسٹم کے بوٹ ہونے سے پہلے صارفین کے لیے تصدیق کرنے کی ضرورت کو قابل بناتی ہے۔ یہ اختیار استعمال کے لیے تجویز کیا جاتا ہے، کیونکہ یہ آپریٹنگ سسٹم کی سطح پر توثیق بائی پاس ٹولز کے استعمال کے امکان کو روکتا ہے۔ پری بوٹ فنکشن کے لیے عارضی بائی پاس پیرامیٹرز کو ترتیب دینا بھی ممکن ہے:
- عارضی بائی پاس کے بعد OS لاگ ان کی اجازت دیں۔ - پری بوٹ فنکشن کو غیر فعال کرنا اور آپریٹنگ سسٹم میں تصدیق کی طرف سوئچ کرنا؛
- پری بوٹ بائی پاس کی اجازت دیں (ویک آن LAN - WOL) - ایتھرنیٹ کے ذریعے مینجمنٹ سرور سے منسلک کمپیوٹرز پر پری بوٹ فنکشن کو غیر فعال کرنا؛
- بائی پاس اسکرپٹ کی اجازت دیں۔ — آپ کو پری بوٹ فنکشن کے بائی پاس کو کنفیگر کرنے کی اجازت دیتا ہے، جس سے اسکرپٹ کے چلنے کا وقت اور تاریخ اور پری بوٹ بائی پاس کے اختتام کے پیرامیٹرز کی نشاندہی ہوتی ہے۔
- LAN بائی پاس کی اجازت دیں۔ - مقامی نیٹ ورک سے جڑتے وقت پری بوٹ فنکشن کو غیر فعال کریں۔
پری بوٹ کے لیے اوپر دیے گئے عارضی بائی پاس کے اختیارات اس وقت تک تجویز نہیں کیے جاتے جب تک کہ کوئی واضح وجہ نہ ہو (مثال کے طور پر دیکھ بھال یا خرابی کا سراغ لگانا)، اور حفاظتی نقطہ نظر سے بہترین حل یہ ہے کہ عارضی بائی پاس کے اصولوں کی وضاحت کیے بغیر پری بوٹ کو فعال کیا جائے۔ اگر پری بوٹ کو نظرانداز کرنا ضروری ہو تو، عارضی بائی پاس کے پیرامیٹرز میں کم از کم مطلوبہ ٹائم فریم سیٹ کرنے کی سفارش کی جاتی ہے تاکہ تحفظ کی سطح کو زیادہ دیر تک کم نہ کیا جائے۔
اس کے علاوہ، چیک پوائنٹ انکرپشن کا استعمال کرتے وقت، ڈیٹا پروٹیکشن پالیسی کی ایڈوانس سیٹنگز کو کنفیگر کرنا ممکن ہے، مثال کے طور پر، انکرپشن پیرامیٹرز کی زیادہ لچکدار کنفیگریشن، پری بوٹ فنکشن کے مختلف پہلوؤں کی کنفیگریشن اور تصدیق Windows.
بٹ لاکر انکرپشن
BitLocker آپریٹنگ سسٹم کا حصہ ہے۔ Windows اور آپ کو ہارڈ ڈرائیوز اور ہٹنے کے قابل میڈیا کو خفیہ کرنے کی اجازت دیتا ہے۔ چیک پوائنٹ بٹ لاکر مینجمنٹ خدمات کا ایک جزو ہے۔ Windows، سینڈ بلاسٹ ایجنٹ کلائنٹ کے ساتھ خود بخود چلتا ہے اور بٹ لاکر ٹیکنالوجی کو منظم کرنے کے لیے ایک API استعمال کرتا ہے۔
جب آپ ڈیٹا پروٹیکشن پالیسی میں BitLocker Encryption کو ڈرائیو انکرپشن طریقہ کے طور پر منتخب کرتے ہیں، تو آپ درج ذیل سیٹنگز کو کنفیگر کر سکتے ہیں:
- ابتدائی خفیہ کاری - ابتدائی خفیہ کاری کی ترتیبات آپ کو پوری ڈرائیو کو خفیہ کرنے کی اجازت دیتی ہیں (پوری ڈرائیو کو انکرپٹ کریں)، جو موجودہ صارف ڈیٹا (فائل، دستاویزات، وغیرہ) والی مشینوں کے لیے تجویز کی جاتی ہے، یا صرف ڈیٹا کو انکرپٹ کریں (صرف استعمال شدہ ڈسک کی جگہ کو خفیہ کریں)، جو کہ نئی تنصیبات کے لیے تجویز کی جاتی ہے۔ Windows;
- خفیہ کاری کے لیے چلاتا ہے۔ - انکرپشن کے لیے ڈسک/ پارٹیشنز کا انتخاب، آپ کو تمام ڈرائیوز (تمام ڈرائیوز) یا صرف آپریٹنگ سسٹم کے ساتھ پارٹیشن (صرف OS ڈرائیو) کو خفیہ کرنے کی اجازت دیتا ہے۔
- خفیہ کاری الگورتھم - انکرپشن الگورتھم کا انتخاب، تجویز کردہ آپشن ہے۔ Windows پہلے سے طے شدہ، آپ XTS-AES-128 یا XTS-AES-256 کی بھی وضاحت کر سکتے ہیں۔
فائل والٹ
فائل والٹ ایپل کا معیاری انکرپشن ٹول ہے اور یہ یقینی بناتا ہے کہ صرف مجاز صارفین ہی صارف کے کمپیوٹر ڈیٹا تک رسائی حاصل کر سکتے ہیں۔ فائل والٹ انسٹال ہونے کے ساتھ، صارف کو سسٹم کو شروع کرنے اور انکرپٹڈ فائلوں تک رسائی حاصل کرنے کے لیے پاس ورڈ درج کرنا ہوگا۔ MacOS آپریٹنگ سسٹم کے صارفین کے لیے ڈیٹا پروٹیکشن پالیسی میں ذخیرہ شدہ ڈیٹا کے تحفظ کو یقینی بنانے کا واحد طریقہ فائل والٹ کا استعمال ہے۔
فائل والٹ کے لیے، "صارف کے خودکار حصول کو فعال کریں" کی ترتیب دستیاب ہے، جس کے لیے ڈسک کی خفیہ کاری کا عمل شروع ہونے سے پہلے صارف کی اجازت درکار ہوتی ہے۔ اگر یہ خصوصیت فعال ہے، تو یہ ممکن ہے کہ سینڈ بلاسٹ ایجنٹ کی جانب سے پری بوٹ فیچر کو لاگو کرنے سے پہلے ان صارفین کی تعداد کی وضاحت کی جا سکے جنہیں لاگ ان کرنا ضروری ہے، یا ان دنوں کی تعداد بتانا ممکن ہے جس کے بعد تمام مجاز صارفین کے لیے پری بوٹ فیچر خود بخود نافذ ہو جائے گا۔ اگر اس مدت کے دوران کم از کم ایک صارف نے سسٹم میں لاگ ان کیا ہو۔
ڈیٹا کی بازیابی۔
اگر آپ کو اپنے سسٹم کو بوٹ کرنے میں دشواری کا سامنا ہے، تو آپ ڈیٹا ریکوری کے مختلف طریقے استعمال کر سکتے ہیں۔ ایڈمنسٹریٹر کمپیوٹر مینجمنٹ → فل ڈک انکرپشن ایکشن سیکشن سے خفیہ کردہ ڈیٹا کو بحال کرنے کا عمل شروع کر سکتا ہے۔ اگر آپ چیک پوائنٹ انکرپشن کا استعمال کرتے ہیں، تو آپ پہلے سے خفیہ کردہ ڈسک کو ڈکرپٹ کر سکتے ہیں اور تمام ذخیرہ شدہ فائلوں تک رسائی حاصل کر سکتے ہیں۔ اس طریقہ کار کے بعد، آپ کو ڈیٹا پروٹیکشن پالیسی کے کام کرنے کے لیے ڈسک انکرپشن کے عمل کو دوبارہ شروع کرنا چاہیے۔
ڈیٹا ریکوری کے لیے بٹ لاکر کو ڈسک انکرپشن طریقہ کے طور پر منتخب کرتے وقت، آپ کو ایک ریکوری کلید بنانے کے لیے مسئلہ کمپیوٹر کی ریکوری کی ID درج کرنا ہوگی، جسے صارف کو انکرپٹڈ ڈسک تک رسائی حاصل کرنے کے لیے درج کرنا ہوگا۔
ذخیرہ شدہ معلومات کی حفاظت کے لیے فائل والٹ استعمال کرنے والے MacOS صارفین کے لیے، بازیابی کے عمل میں ایڈمنسٹریٹر کا مسئلہ مشین کے سیریل نمبر کی بنیاد پر ایک ریکوری کلید تیار کرنا اور اس کلید کو داخل کرنا، اس کے بعد پاس ورڈ کو دوبارہ ترتیب دینا شامل ہے۔
تعیناتی کی پالیسی
رہائی کے بعد سے ، جس نے ویب مینجمنٹ کنسول کے انٹرفیس پر تبادلہ خیال کیا، چیک پوائنٹ نے تعیناتی سیکشن میں کچھ تبدیلیاں کرنے کا انتظام کیا - اب اس میں ایک ذیلی حصہ شامل ہے سافٹ ویئر کی تعیناتی۔، جس میں کنفیگریشن (بلیڈ کو فعال/غیر فعال کرنا) پہلے سے نصب شدہ ایجنٹوں کے لیے ترتیب دیا گیا ہے، اور ذیلی سیکشن ایکسپورٹ پیکج، جس میں آپ صارف کی مشینوں پر مزید تنصیب کے لیے پہلے سے نصب شدہ بلیڈ کے ساتھ پیکجز بنا سکتے ہیں، مثال کے طور پر، ایکٹو ڈائریکٹری گروپ کی پالیسیوں کا استعمال کرتے ہوئے۔ آئیے سافٹ ویئر کی تعیناتی کے ذیلی حصے کو دیکھتے ہیں، جس میں تمام سینڈ بلاسٹ ایجنٹ بلیڈ شامل ہیں۔
میں آپ کو یاد دلاتا ہوں کہ معیاری تعیناتی پالیسی میں صرف خطرے سے بچاؤ کے زمرے میں بلیڈ شامل ہیں۔ پہلے زیر بحث ڈیٹا پروٹیکشن پالیسی کو مدنظر رکھتے ہوئے، اب آپ سینڈ بلاسٹ ایجنٹ کے ساتھ کلائنٹ مشین پر انسٹالیشن اور آپریشن کے لیے اس زمرے کو فعال کر سکتے ہیں۔ ریموٹ ایکسیس وی پی این فنکشن کو شامل کرنا سمجھ میں آتا ہے، جو صارف کو تنظیم کے کارپوریٹ نیٹ ورک کے ساتھ جڑنے کی اجازت دے گا، نیز رسائی اور تعمیل کے زمرے میں، جس میں فائر وال اور ایپلیکیشن کنٹرول کے افعال شامل ہیں اور صارف کی مشین کو چیک کرنا۔ تعمیل کی پالیسی کی تعمیل کے لیے۔
ایکسپورٹ پیکج
ایکسپورٹ پیکجز کا ذیلی سیکشن استعمال کرنا انتہائی آسان ہے: کنفیگریشن پیکج بنانے کے لیے، آپ کو اس کا نام بتانا ہوگا، آپریٹنگ سسٹم کو منتخب کرنا ہوگا۔ Windows (بٹ گہرائی کی بھی وضاحت کریں) اور ایجنٹ ورژن، پھر پیکیج میں سرایت شدہ سیکیورٹی پالیسیاں منتخب کریں۔ آپ ایک ورچوئل گروپ کی بھی وضاحت کر سکتے ہیں جس میں انسٹال کردہ پیکیج کے ساتھ کمپیوٹرز شامل ہوں گے، اور پہلے سے طے شدہ کنکشن ایڈریس اور تصدیق کے پیرامیٹرز کے ساتھ VPN سائٹ منتخب کریں (VPN سائٹس ایکسپورٹ پیکجز میں کنفیگر کی گئی ہیں → VPN سائٹس کا نظم کریں)۔ مؤخر الذکر آپشن خاص طور پر آسان ہے، کیونکہ یہ VPN کنکشن پیرامیٹرز کو ترتیب دیتے وقت صارف کی غلطی کے امکان کو ختم کرتا ہے۔
عالمی پالیسی کی ترتیبات
عالمی پالیسی کی ترتیبات میں، سب سے اہم پیرامیٹرز میں سے ایک ترتیب دیا گیا ہے - صارف کی مشین سے SandBlast ایجنٹ کو ہٹانے کا پاس ورڈ۔ ایجنٹ کے انسٹال ہونے کے بعد، صارف پاس ورڈ درج کیے بغیر اسے ہٹا نہیں سکے گا، جو کہ بطور ڈیفالٹ ہوتا ہے "رازتاہم، یہ معیاری پاس ورڈ کھلے ذرائع میں تلاش کرنا آسان ہے، اور SandBlast Agent کے حل کو لاگو کرتے وقت، ایجنٹ کو ہٹانے کے لیے معیاری پاس ورڈ کو تبدیل کرنے کی سفارش کی جاتی ہے۔ مینجمنٹ پلیٹ فارم میں، معیاری پاس ورڈ کے ساتھ، پالیسی صرف 5 بار سیٹ کی جا سکتی ہے، اس لیے اسے ہٹانے کے لیے پاس ورڈ تبدیل کرنا ناگزیر ہے۔
اس کے علاوہ، گلوبل پالیسی سیٹنگز ڈیٹا کے پیرامیٹرز کو ترتیب دیتی ہے جو ThreatCloud سروس کے کام کا تجزیہ کرنے اور اسے بہتر بنانے کے لیے چیک پوائنٹ پر بھیجا جا سکتا ہے۔
گلوبل پالیسی سیٹنگز سے آپ کچھ ڈسک انکرپشن پالیسی پیرامیٹرز کو بھی ترتیب دے سکتے ہیں، یعنی پاس ورڈ کی ضروریات: پیچیدگی، استعمال کی مدت، پہلے سے درست پاس ورڈ استعمال کرنے کی صلاحیت وغیرہ۔ اس سیکشن میں، آپ پری بوٹ یا OneCheck کے لیے معیاری تصاویر کے بجائے اپنی تصاویر اپ لوڈ کر سکتے ہیں۔
پالیسی ترتیب دینا
ڈیٹا پروٹیکشن پالیسی کی صلاحیتوں سے اپنے آپ کو آشنا کرنے اور تعیناتی سیکشن میں مناسب ترتیبات کو ترتیب دینے کے بعد، آپ ایک نئی پالیسی کو انسٹال کرنا شروع کر سکتے ہیں جس میں چیک پوائنٹ انکرپشن اور باقی سینڈ بلاسٹ ایجنٹ بلیڈ کا استعمال کرتے ہوئے ڈسک انکرپشن شامل ہے۔ مینجمنٹ پلیٹ فارم میں پالیسی انسٹال کرنے کے بعد، کلائنٹ کو ایک پیغام موصول ہوگا جس میں ان سے کہا جائے گا کہ وہ پالیسی کا نیا ورژن ابھی انسٹال کریں یا انسٹالیشن کو کسی اور وقت (زیادہ سے زیادہ 2 دن) کے لیے ری شیڈول کریں۔
نئی پالیسی کو ڈاؤن لوڈ اور انسٹال کرنے کے بعد، SandBlast Agent صارف کو مکمل ڈسک انکرپشن تحفظ کو فعال کرنے کے لیے کمپیوٹر کو دوبارہ شروع کرنے کا اشارہ کرے گا۔
ریبوٹ کرنے کے بعد، صارف کو چیک پوائنٹ اینڈ پوائنٹ سیکیورٹی توثیق ونڈو میں اپنی اسناد داخل کرنے کی ضرورت ہوگی۔ یہ ونڈو ہر بار آپریٹنگ سسٹم کے شروع ہونے سے پہلے ظاہر ہوگی (پری بوٹ)۔ تصدیق کے لیے خودکار طور پر اسناد استعمال کرنے کے لیے سنگل سائن آن (SSO) آپشن کو منتخب کرنا ممکن ہے۔ Windows.
اگر تصدیق کامیاب ہو جاتی ہے، تو صارف اپنے سسٹم تک رسائی حاصل کر لیتا ہے، اور پردے کے پیچھے ڈسک کی خفیہ کاری کا عمل شروع ہو جاتا ہے۔ یہ آپریشن کسی بھی طرح سے مشین کی کارکردگی کو متاثر نہیں کرتا ہے، حالانکہ یہ طویل عرصے تک چل سکتا ہے (ڈسک کی جگہ کی مقدار پر منحصر ہے)۔ ایک بار خفیہ کاری کا عمل مکمل ہونے کے بعد، ہم تصدیق کر سکتے ہیں کہ تمام بلیڈز پاور اپ اور کام کر رہے ہیں، ڈرائیو انکرپٹڈ ہے، اور صارف کی مشین محفوظ ہے۔
حاصل يہ ہوا
آئیے خلاصہ کرتے ہیں: اس مضمون میں ہم نے ڈیٹا پروٹیکشن پالیسی میں ڈسک انکرپشن کا استعمال کرتے ہوئے صارف کی مشین پر ذخیرہ شدہ معلومات کی حفاظت کے لیے SandBlast Agent کی صلاحیتوں کو دیکھا، تعیناتی سیکشن کے ذریعے پالیسیوں اور ایجنٹوں کو تقسیم کرنے کی ترتیبات کا مطالعہ کیا اور ڈسک کے ساتھ ایک نئی پالیسی انسٹال کی۔ صارف کی مشین پر خفیہ کاری کے قواعد اور اضافی بلیڈ۔ سیریز کے اگلے مضمون میں، ہم مینجمنٹ پلیٹ فارم اور سینڈ بلاسٹ ایجنٹ کلائنٹ میں لاگنگ اور رپورٹنگ کی صلاحیتوں کا تفصیلی جائزہ لیں گے۔
. سینڈ بلاسٹ ایجنٹ مینجمنٹ پلیٹ فارم کے موضوع پر اگلی اشاعتوں سے محروم نہ ہونے کے لیے، ہمارے سوشل نیٹ ورکس پر اپ ڈیٹس پر عمل کریں (, , , , ).
ماخذ: www.habr.com
