欢迎阅读有关 Check Point SandBlast 代理管理平台解决方案系列的第四篇文章。 在之前的文章中(, , )我们详细描述了Web管理控制台的界面和功能,还回顾了威胁防御策略并对其进行了测试以应对各种威胁。 本文主要介绍第二个安全组件 - 数据保护策略,它负责保护存储在用户计算机上的数据。 另外,在本文中,我们还将介绍“部署”和“全局策略设置”部分。
数据保护政策
数据保护策略允许您使用全盘加密和启动保护,将工作站上存储的数据访问权限限制为授权用户。目前支持以下磁盘加密配置选项: Windows — macOS 系统可选择 Check Point 加密或 BitLocker 加密 — File Vault。让我们仔细看看每种选项的功能和设置。
检查点加密
Check Point 加密是数据保护策略中的标准磁盘加密方法,在后台提供所有系统文件(临时、系统、远程)的加密,而不影响用户计算机的性能。 加密后,未经授权的用户将无法访问该磁盘。
Check Point 加密的主要设置是“启用预启动”,它允许在操作系统启动之前对用户进行身份验证。 建议使用此选项,因为它可以防止在操作系统级别使用身份验证绕过工具。 还可以为预启动功能配置临时旁路参数:
- 临时绕过后允许操作系统登录 — 禁用预启动功能并切换到操作系统中的身份验证;
- 允许预启动旁路(LAN 唤醒 - WOL) — 禁用通过以太网连接到管理服务器的计算机上的预启动功能;
- 允许绕过脚本 — 允许您配置绕过 Pre-boot 功能,指示脚本开始运行的时间和日期以及结束 Pre-boot 绕过的参数;
- 允许 LAN 旁路 — 连接到本地网络时禁用预启动功能。
除非有明显的原因(例如维护或故障排除),否则不建议使用上述 Pre-boot 的临时绕过选项,从安全角度来看,最好的解决方案是启用 Pre-boot 而不指定临时绕过规则。 如果需要绕过Pre-boot,建议在临时绕过参数中设置所需的最小时间范围,以免长时间降低保护级别。
此外,使用 Check Point 加密时,可以配置数据保护策略的高级设置,例如更灵活地配置加密参数、配置预启动功能和身份验证的各个方面。 Windows.
BitLocker 加密
BitLocker是操作系统的一部分。 Windows 它允许您加密硬盘驱动器和可移动介质。Check Point BitLocker 管理是该服务的一个组件。 Windows它与 SandBlast Agent 客户端自动运行,并使用 API 来管理 BitLocker 技术。
当您在数据保护策略中选择 BitLocker 加密作为驱动器加密方法时,您可以配置以下设置:
- 初始加密 — 初始加密设置允许您加密整个驱动器(加密整个驱动器),建议用于已有用户数据(文件、文档等)的计算机;或者仅加密数据(仅加密已用磁盘空间),建议用于新安装。 Windows;
- 驱动器加密 — 选择要加密的磁盘/分区,允许您加密所有驱动器(所有驱动器)或仅加密带有操作系统的分区(仅限操作系统驱动器);
- 加密演算法 — 加密算法的选择,推荐选项为 Windows 默认情况下,您还可以指定 XTS-AES-128 或 XTS-AES-256。
文件库
File Vault 是 Apple 的标准加密工具,可确保只有授权用户才能访问用户计算机数据。 安装 File Vault 后,用户必须输入密码才能启动系统并访问加密文件。 使用 File Vault 是确保 MacOS 操作系统用户的数据保护策略中存储的数据受到保护的唯一方法。
对于 File Vault,可以使用“启用自动用户获取”设置,该设置需要用户授权才能开始磁盘加密过程。 如果启用此功能,则可以指定 SandBlast Agent 应用预启动功能之前必须登录的用户数量,或指定为所有授权用户自动实施预启动功能之前的天数如果在此期间至少有一个用户登录到系统。
数据恢复
如果您在启动系统时遇到问题,可以使用各种数据恢复方法。 管理员可以从“计算机管理”→“完整迪克加密操作”部分启动恢复加密数据的过程。 如果您使用 Check Point 加密,您可以解密之前加密的磁盘并获得对所有存储文件的访问权限。 执行此过程后,您必须重新启动磁盘加密过程才能使数据保护策略发挥作用。
选择 BitLocker 作为数据恢复的磁盘加密方法时,必须输入问题计算机的恢复密钥 ID 以生成恢复密钥,用户必须输入该恢复密钥才能访问加密磁盘。
对于使用 File Vault 保护存储信息的 MacOS 用户,恢复过程涉及管理员根据问题计算机的序列号生成恢复密钥并输入此密钥,然后重置密码。
部署政策
自发布以来 ,其中讨论了 Web 管理控制台的界面,Check Point 设法对部署部分进行了一些更改 - 现在它包含一个小节 软件部署,其中为已安装的代理配置配置(启用/禁用刀片),并且该小节 出口包装,您可以在其中创建预装刀片的软件包,以便在用户计算机上进一步安装,例如使用 Active Directory 组策略。 让我们看一下软件部署部分,其中包括所有 SandBlast Agent 刀片。
让我提醒您,标准部署策略仅包括威胁防护类别中的刀片。 考虑到前面讨论的数据保护策略,您现在可以启用此类别,以便在具有 SandBlast Agent 的客户端计算机上进行安装和操作。 包含远程访问 VPN 功能是有意义的,该功能将允许用户连接到组织的公司网络,以及访问和合规性类别,其中包括防火墙和应用程序控制功能以及检查用户计算机遵守合规政策。
出口包装
“导出包”子部分使用起来非常简单:要创建配置包,您只需指定其名称,然后选择操作系统(例如,对于特定操作系统)。 Windows (同时指定位深度)和代理版本,然后选择软件包中嵌入的安全策略。您还可以指定一个虚拟组,其中包含已安装该软件包的计算机,并选择一个具有预定义连接地址和身份验证参数的 VPN 站点(VPN 站点在“导出软件包”→“管理 VPN 站点”中配置)。后一个选项尤其方便,因为它消除了配置 VPN 连接参数时用户出错的可能性。
全局策略设置
在全局策略设置中,配置了最重要的参数之一 - 用于从用户计算机中删除 SandBlast Agent 的密码。 一旦安装了代理,用户将无法在不输入密码的情况下将其删除,默认密码是“秘密"(不带引号)。不过,这个标准密码很容易在开源中找到,在实施SandBlast Agent解决方案时,建议更改标准密码以删除代理。在管理平台中,使用标准密码,策略只能设置5次,因此更改密码将其删除是不可避免的。
此外,全局策略设置配置可发送到 Check Point 的数据参数,以分析和改进 ThreatCloud 服务的运行。
从全局策略设置中,您还可以配置一些磁盘加密策略参数,即密码要求:复杂性、使用持续时间、使用以前有效密码的能力等。 在此部分中,您可以上传自己的映像,而不是预启动或 OneCheck 的标准映像。
制定政策
熟悉数据保护策略的功能并在“部署”部分配置适当的设置后,您可以开始安装新策略,其中包括使用 Check Point 加密和其余 SandBlast 代理刀片进行磁盘加密。 在管理平台中安装策略后,客户端将收到一条消息,要求他们立即安装新版本的策略或重新安排安装时间(最多 2 天)。
下载并安装新策略后,SandBlast Agent 将提示用户重新启动计算机以启用全盘加密保护。
重启后,用户需要在 Check Point Endpoint Security 身份验证窗口中输入凭据。此窗口会在每次操作系统启动前(预启动阶段)出现。用户可以选择单点登录 (SSO) 选项,以自动使用凭据进行身份验证。 Windows.
如果身份验证成功,用户就可以访问其系统,并且在幕后开始磁盘加密过程。 此操作不会以任何方式影响机器的性能,尽管它可以持续很长时间(取决于磁盘空间量)。 加密过程完成后,我们可以验证所有刀片是否已通电并正常运行、驱动器是否已加密以及用户的计算机是否安全。
结论
让我们总结一下:在本文中,我们研究了 SandBlast Agent 在数据保护策略中使用磁盘加密来保护存储在用户计算机上的信息的功能,研究了通过部署部分分发策略和代理的设置,并使用磁盘安装了新策略加密规则和用户机器上的附加刀片。 在本系列的下一篇文章中,我们将详细介绍管理平台和 SandBlast Agent 客户端中的日志记录和报告功能。
。 为了不错过有关 SandBlast 代理管理平台主题的下一篇出版物,请关注我们社交网络上的更新 (, , , , ).
来源: habr.com
