
歡迎閱讀 Check Point SandBlast 代理商管理平台解決方案系列的第四篇文章。 在之前的文章中(, , )我們詳細描述了Web管理控制台的介面和功能,也回顧了威脅防禦策略並對其進行了測試以應對各種威脅。 本文主要介紹第二個安全元件 - 資料保護策略,它負責保護儲存在使用者電腦上的資料。 另外,在本文中,我們還將介紹「部署」和「全域策略設定」部分。
資料保護政策
資料保護策略可讓您使用全碟加密和啟動保護,將工作站上儲存的資料存取權限限制為授權使用者。目前支援以下磁碟加密配置選項: Windows — macOS 系統可選擇 Check Point 加密或 BitLocker 加密 — File Vault。讓我們仔細看看每種選項的功能和設定。
檢查點加密
Check Point 加密是資料保護策略中的標準磁碟加密方法,在背景提供所有系統檔案(暫存、系統、遠端)的加密,而不會影響使用者電腦的效能。 加密後,未經授權的用戶將無法存取該磁碟。
Check Point 加密的主要設定是“啟用預先啟動”,它允許在作業系統啟動之前對使用者進行身份驗證。 建議使用此選項,因為它可以防止在作業系統層級使用身份驗證繞過工具。 也可以為預啟動功能配置臨時旁路參數:
- 臨時繞過後允許作業系統登入 — 停用預啟動功能並切換到作業系統中的身份驗證;
- 允許預啟動旁路(LAN 喚醒 - WOL) — 停用透過乙太網路連接到管理伺服器的電腦上的預先啟動功能;
- 允許繞過腳本 — 允許您設定繞過 Pre-boot 功能,指示腳本開始運行的時間和日期以及結束 Pre-boot 繞過的參數;
- 允許 LAN 旁路 — 連線至本機網路時停用預啟動功能。
除非有明顯的原因(例如維護或故障排除),否則不建議使用上述預先引導的臨時繞過選項,並且從安全角度來看,最佳解決方案是啟用預先引導而不指定臨時繞過規則。 如果需要繞過Pre-boot,建議在暫時繞過參數中設定所需的最小時間範圍,以免長時間降低保護等級。
此外,使用 Check Point 加密時,可以設定資料保護策略的進階設置,例如更靈活地配置加密參數、配置預啟動功能和驗證的各個方面。 Windows.
BitLocker 加密
BitLocker是作業系統的一部分。 Windows 它允許您加密硬碟和可移動媒體。 Check Point BitLocker 管理是該服務的元件。 Windows它會與 SandBlast Agent 用戶端自動運行,並使用 API 來管理 BitLocker 技術。
當您在資料保護策略中選擇 BitLocker 加密作為磁碟機加密方法時,您可以設定以下設定:
- 初始加密 — 初始加密設定可讓您加密整個磁碟機(加密整個磁碟機),建議用於現有使用者資料(檔案、文件等)的電腦;或僅加密資料(僅加密已使用磁碟空間),建議用於新安裝。 Windows;
- 磁碟機加密 — 選擇要加密的磁碟/分割區,允許您加密所有磁碟機(所有磁碟機)或僅加密具有作業系統的分割區(僅限作業系統磁碟機);
- 加密演算法 — 加密演算法的選擇,推薦選項為 Windows 預設情況下,您也可以指定 XTS-AES-128 或 XTS-AES-256。
文件庫
File Vault 是 Apple 的標準加密工具,可確保只有授權使用者才能存取使用者電腦資料。 安裝 File Vault 後,使用者必須輸入密碼才能啟動系統並存取加密檔案。 使用 File Vault 是確保 MacOS 作業系統使用者的資料保護策略中儲存的資料受到保護的唯一方法。
對於 File Vault,可以使用“啟用自動用戶獲取”設置,該設置需要用戶授權才能開始磁碟加密過程。 如果啟用此功能,則可以指定 SandBlast Agent 應用程式預啟動功能之前必須登入的使用者數量,或指定為所有授權使用者自動實施預啟動功能之前的天數如果在此期間至少有一個使用者登入系統。
數據恢復
如果您在啟動系統時遇到問題,可以使用各種資料復原方法。 管理員可以從「電腦管理」→「完整迪克加密操作」部分啟動恢復加密資料的過程。 如果您使用 Check Point 加密,您可以解密先前加密的磁碟並取得所有儲存檔案的存取權限。 執行此程序後,您必須重新啟動磁碟加密程序才能使資料保護策略發揮作用。
選擇 BitLocker 作為資料復原的磁碟加密方法時,必須輸入問題電腦的復原金鑰 ID 以產生復原金鑰,使用者必須輸入此復原金鑰才能存取加密磁碟。
對於使用 File Vault 保護儲存資訊的 MacOS 用戶,復原過程涉及管理員根據問題電腦的序號產生恢復金鑰並輸入此金鑰,然後重設密碼。
部署政策
自發布以來 ,其中討論了 Web 管理控制台的介面,Check Point 設法對部署部分進行了一些更改 - 現在它包含一個小節 軟件部署,其中為已安裝的代理程式配置配置(啟用/停用刀片),並且該小節 出口包裝,您可以在其中建立預先安裝刀片的軟體包,以便在使用者電腦上進一步安裝,例如使用 Active Directory 群組原則。 讓我們來看看軟體部署部分,其中包括所有 SandBlast Agent 刀片。
讓我提醒您,標準部署策略僅包含威脅防護類別中的刀片。 考慮到前面討論的資料保護策略,您現在可以啟用此類別,以便在具有 SandBlast Agent 的用戶端電腦上進行安裝和操作。 包含遠端存取 VPN 功能是有意義的,該功能將允許用戶連接到組織的公司網絡,以及存取和合規性類別,其中包括防火牆和應用程式控制功能以及檢查用戶電腦遵守合規政策。
出口包裝
「匯出包」子部分使用起來非常簡單:要建立配置包,您只需指定其名稱,然後選擇作業系統(例如,對於特定作業系統)。 Windows (同時指定位元深度)和代理程式版本,然後選擇軟體包中嵌入的安全性策略。您也可以指定一個虛擬群組,其中包含已安裝該軟體包的計算機,並選擇一個具有預先定義連接位址和驗證參數的 VPN 站點(VPN 站點在「匯出軟體包」→「管理 VPN 站點」中配置)。後一個選項尤其方便,因為它消除了配置 VPN 連線參數時使用者出錯的可能性。
全域策略設定
在全域原則設定中,配置了最重要的參數之一 - 用於從使用者電腦中刪除 SandBlast Agent 的密碼。 一旦安裝了代理,用戶將無法在不輸入密碼的情況下將其刪除,預設密碼是“秘密"(不含引號)。不過,這個標準密碼很容易在開源中找到,在實施SandBlast Agent解決方案時,建議更改標準密碼以刪除代理。在管理平台中,使用標準密碼,政策只能設定5次,因此更改密碼將其刪除是不可避免的。
此外,全域策略設定配置可傳送至 Check Point 的資料參數,以分析和改進 ThreatCloud 服務的運作。
從全域原則設定中,您也可以設定一些磁碟加密原則參數,也就是密碼需求:複雜性、使用持續時間、使用先前有效密碼的能力等。 在此部分中,您可以上傳自己的映像,而不是預先啟動或 OneCheck 的標準映像。
制定政策
熟悉資料保護策略的功能並在部署部分配置適當的設定後,您可以開始安裝新策略,其中包括使用 Check Point 加密和其餘 SandBlast Agent 刀片進行磁碟加密。 在管理平台中安裝政策後,客戶端將收到一則訊息,要求他們立即安裝新版本的政策或重新安排安裝時間(最多 2 天)。
下載並安裝新政策後,SandBlast Agent 將提示使用者重新啟動電腦以啟用全碟加密保護。
重新啟動後,使用者需要在 Check Point Endpoint Security 驗證視窗中輸入憑證。此視窗會在每次作業系統啟動前(預啟動階段)出現。使用者可以選擇單一登入 (SSO) 選項,以自動使用憑證進行身份驗證。 Windows.
如果身份驗證成功,使用者就可以存取其係統,並且在幕後開始磁碟加密過程。 此操作不會以任何方式影響機器的效能,儘管它可以持續很長時間(取決於磁碟空間量)。 加密過程完成後,我們可以驗證所有刀片是否已通電並正常運作、驅動器是否已加密以及使用者的電腦是否安全。
結論
讓我們總結一下:在本文中,我們研究了SandBlast Agent 在資料保護策略中使用磁碟加密來保護儲存在使用者電腦上的資訊的功能,研究了透過部署部分分發策略和代理程式的設置,並使用磁碟安裝了新策略加密規則和使用者機器上的附加刀片。 在本系列的下一篇文章中,我們將詳細介紹管理平台和 SandBlast Agent 用戶端中的日誌記錄和報告功能。
。 為了不錯過有關 SandBlast 代理管理平台主題的下一篇出版物,請關注我們社交網路上的更新 (, , , , ).
來源: www.habr.com
