مرحبًا بك في المقالة الرابعة في سلسلة منصة إدارة وكيل Check Point SandBlast. في مقالات سابقة ( أولا ، ثانيا ، ثالثا )، وصفنا في التفاصيل واجهة وقدرات وحدة إدارة على شبكة الإنترنت، وكذلك مراجعة سياسة منع التهديد واختباره ضد التهديدات المختلفة. هذه المقالة مخصصة لمكون الأمان الثاني - سياسة حماية البيانات ، المسؤولة عن حماية البيانات المخزنة على جهاز المستخدم. سننظر أيضًا في أقسام النشر وإعدادات السياسة العامة في هذه المقالة.
سياسة حماية البيانات
تسمح سياسة حماية البيانات للمستخدمين المصرح لهم فقط بالوصول إلى البيانات المخزنة على جهاز الإنتاج باستخدام ميزات تشفير القرص الكامل وحماية التمهيد. الخيارات التالية لتكوين تشفير القرص مدعومة حاليًا: لنظام التشغيل Windows - Check Point Encryption أو BitLocker Encryption ، لنظام MacOS - File Vault. دعنا نفكر بمزيد من التفصيل في إمكانيات وإعدادات كل خيار من الخيارات.
فحص نقطة التشفير
Check Point Encryption هو أسلوب تشفير القرص القياسي في سياسة حماية البيانات ويقوم بتشفير جميع ملفات النظام (المؤقتة ، النظام ، عن بُعد) في الخلفية دون التأثير على صحة جهاز المستخدم. بعد التشفير ، يصبح محرك الأقراص غير متاح للمستخدمين غير المصرح لهم. الإعداد الرئيسي لـ Check Point Encryption هو "تمكين التمهيد المسبق" ، والذي يمكّن المستخدمين من المصادقة قبل تحميل نظام التشغيل. يوصى باستخدام هذا الخيار لأنه يمنع استخدام أدوات تجاوز المصادقة على مستوى نظام التشغيل. من الممكن أيضًا تكوين معلمات التجاوز المؤقتة لوظيفة ما قبل التمهيد:
- Allow OS login after temporary bypass — Pre-boot ;
- Allow pre-boot bypass (Wake On LAN – WOL) — pre-boot , Ethernet;
- Allow bypass script — Pre-boot Pre-boot;
- Allow LAN bypass — pre-boot .
لا يُنصح بخيارات التجاوز المؤقتة السابقة للتمهيد أعلاه بدون سبب واضح (مثل الصيانة أو استكشاف الأخطاء وإصلاحها) ، وأفضل حل أمان هو تمكين التمهيد المسبق دون تحديد قواعد تجاوز مؤقتة. إذا كان من الضروري تجاوز التمهيد المسبق ، فمن المستحسن تعيين الحد الأدنى من الأطر الزمنية الضرورية في معلمات التجاوز المؤقتة حتى لا تقلل مستوى الحماية لفترة طويلة. أيضًا ، عند استخدام Check Point Encryption ، من الممكن تكوين الإعدادات المتقدمة لسياسة حماية البيانات ، على سبيل المثال ، لتكوين إعدادات التشفير بشكل أكثر مرونة ، وتكوين الجوانب المختلفة لوظيفة ما قبل التمهيد ومصادقة Windows.
تشفير BitLocker
يعد BitLocker جزءًا من نظام التشغيل Windows ويسمح لك بتشفير محركات الأقراص الثابتة والوسائط القابلة للإزالة. Check Point BitLocker Management هو أحد مكونات خدمات Windows الذي يبدأ تلقائيًا مع عميل SandBlast Agent ويستخدم واجهة برمجة تطبيقات إدارة BitLocker. عندما تحدد تشفير BitLocker كطريقة لتشفير محرك الأقراص في سياسة حماية البيانات ، يمكنك تكوين الخيارات التالية:
- التشفير الأولي - تسمح لك إعدادات التشفير الأولية بتشفير محرك الأقراص بالكامل (تشفير محرك الأقراص بالكامل) ، والذي يوصى به للأجهزة التي تحتوي على بيانات المستخدم الحالية (الملفات والمستندات وما إلى ذلك) ، أو تشفير البيانات فقط (تشفير مساحة القرص المستخدمة فقط) ، وهو أمر موصى به للأجهزة الجديدة تثبيتات Windows
- محركات للتشفير - تحديد محركات / أقسام للتشفير ، يسمح لك بتشفير جميع محركات الأقراص (جميع محركات الأقراص) أو قسم فقط بنظام تشغيل (محرك أقراص OS فقط)
- خوارزمية التشفير - اختيار خوارزمية التشفير ، الخيار الموصى به هو Windows Default ، ومن الممكن أيضًا تحديد XTS-AES-128 أو XTS-AES-256.
قبو ملف
File Vault هي أداة تشفير قياسية من Apple وتضمن أن المستخدمين المصرح لهم فقط يمكنهم الوصول إلى بيانات كمبيوتر المستخدم. مع تثبيت File Vault ، يجب على المستخدم إدخال كلمة مرور لبدء النظام والوصول إلى الملفات المشفرة. يعد استخدام File Vault هو الطريقة الوحيدة لضمان حماية البيانات المخزنة في سياسة حماية البيانات لمستخدمي نظام تشغيل MacOS.
بالنسبة إلى File Vault ، يتوفر خيار "تمكين اكتساب المستخدم التلقائي" ، والذي يتطلب إذن المستخدم قبل بدء عملية تشفير القرص. إذا تم تمكين هذه الوظيفة ، فمن الممكن تحديد عدد المستخدمين الذين يجب عليهم تسجيل الدخول قبل تطبيق SandBlast Agent لوظيفة Pre-boot ، أو تحديد عدد الأيام التي سيتم بعدها تنفيذ وظيفة Pre-boot تلقائيًا لجميع المستخدمين المصرح لهم ، إذا خلال هذه الفترة ، يتم تفويض مستخدم واحد على الأقل في النظام.
استعادة البيانات
في حالة وجود مشاكل في تمهيد النظام ، يمكنك استخدام طرق مختلفة لاستعادة البيانات. يمكن للمسؤول بدء عملية استعادة البيانات المشفرة من إدارة الكمبيوتر - قسم إجراءات التشفير الكامل. عند استخدام Check Point Encryption ، يمكنك فك تشفير محرك الأقراص المشفر مسبقًا والوصول إلى جميع الملفات المخزنة. بعد هذا الإجراء ، يجب إعادة تشغيل عملية تشفير القرص حتى يعمل نهج حماية البيانات. عند اختيار BitLocker كطريقة تشفير للقرص لاستعادة البيانات ، يجب عليك إدخال معرف مفتاح الاسترداد للكمبيوتر الذي به مشكلة لإنشاء مفتاح الاسترداد ، والذي يجب إدخاله بواسطة المستخدم للوصول إلى القرص المشفر.
بالنسبة لمستخدمي MacOS الذين يستخدمون File Vault لحماية المعلومات المخزنة ، تتكون عملية الاسترداد من قيام المسؤول بإنشاء مفتاح استرداد استنادًا إلى الرقم التسلسلي للجهاز المشكل وإدخال هذا المفتاح متبوعًا بإعادة تعيين كلمة المرور.
سياسة النشر
منذ إصدار المقالة الثانية ، التي استعرضت واجهة وحدة تحكم إدارة الويب ، تمكنت Check Point من إجراء بعض التغييرات على قسم النشر - وهي الآن تحتوي على القسم الفرعي لنشر البرامج ، حيث تم تكوين التكوين (تمكين / تعطيل الشفرات) للوكلاء المثبتين بالفعل ، والقسم الفرعي حزمة التصدير ، حيث يمكنك إنشاء حزم مع شفرات مثبتة مسبقًا لمزيد من التثبيت على أجهزة المستخدم ، على سبيل المثال ، باستخدام سياسات مجموعة Active Directory. ضع في اعتبارك القسم الفرعي "نشر البرامج" ، والذي يتضمن جميع شفرات عامل SandBlast.
اسمحوا لي أن أذكرك أنه يتم تضمين شفرات منع التهديدات فقط في سياسة النشر القياسية. مع الأخذ في الاعتبار سياسة حماية البيانات التي تمت مناقشتها مسبقًا ، يمكنك الآن تمكين هذه الفئة للتثبيت والتشغيل على جهاز عميل باستخدام SandBlast Agent. من المنطقي تمكين ميزة Remote Access VPN ، والتي ستسمح للمستخدم بالاتصال ، على سبيل المثال ، بشبكة الشركة التابعة للمؤسسة ، بالإضافة إلى فئة الوصول والامتثال ، والتي تتضمن وظائف جدار الحماية والتحكم في التطبيقات وفحص جهاز المستخدم للامتثال لسياسة الامتثال.
حزمة التصدير
Export Packages : , ( Windows ) , . , , VPN Site (VPN Site Export Packages → Manage VPN Sites). , VPN.
Export Packages : , ( Windows ) , . , , VPN Site (VPN Site Export Packages → Manage VPN Sites). , VPN.
إعدادات السياسة العامة
تم تكوين أحد أهم المعلمات في إعدادات السياسة العامة - كلمة المرور لإزالة وكيل SandBlast من جهاز المستخدم. بعد تثبيت الوكيل ، لن يتمكن المستخدم من إلغاء تثبيته دون إدخال كلمة المرور ، والتي تكون كلمة " سر " افتراضيًا (بدون علامات اقتباس). ومع ذلك ، من السهل العثور على كلمة المرور القياسية هذه في المصادر العامة ، وعند تنفيذ حل SandBlast Agent ، يوصى بتغيير كلمة المرور الافتراضية لإزالة الوكيل. في النظام الأساسي للإدارة ، باستخدام كلمة مرور قياسية ، يمكن تعيين السياسة 5 مرات فقط ، لذا فإن تغيير كلمة المرور للحذف أمر لا مفر منه.
بالإضافة إلى ذلك ، تقوم إعدادات السياسة العامة بتكوين معلمات البيانات التي يمكن إرسالها إلى Check Point لتحليل خدمة ThreatCloud وتحسينها.
من إعدادات السياسة العامة ، يتم أيضًا تكوين بعض معلمات سياسة تشفير القرص ، وهي متطلبات كلمة المرور: التعقيد ، ومدة الاستخدام ، والقدرة على استخدام كلمة مرور صالحة مسبقًا ، إلخ. في هذا القسم ، يمكنك تحميل الصور الخاصة بك بدلاً من الصور القياسية للتمهيد المسبق أو OneCheck.
سياسة التثبيت
بعد التعرف على إمكانيات سياسة حماية البيانات وتكوين الإعدادات المقابلة في قسم النشر ، يمكنك البدء في تثبيت سياسة جديدة تتضمن تشفير القرص باستخدام Check Point Encryption وبقية شفرات SandBlast Agent. بعد تثبيت السياسة في النظام الأساسي للإدارة ، سيتلقى العميل رسالة لتثبيت الإصدار الجديد من السياسة الآن أو نقل التثبيت إلى وقت مختلف (بحد أقصى يومين). بعد تنزيل السياسة الجديدة وتثبيتها ، سيطلب SandBlast Agent المستخدم إعادة تشغيل الكمبيوتر لتمكين حماية تشفير القرص الكامل.
بعد إعادة التشغيل ، سيحتاج المستخدم إلى إدخال بيانات الاعتماد الخاصة به في نافذة مصادقة Check Point Endpoint Security - ستظهر هذه النافذة في كل مرة قبل بدء تشغيل نظام التشغيل (التمهيد المسبق). من الممكن تحديد خيار الدخول الأحادي (SSO) لاستخدام بيانات الاعتماد تلقائيًا لمصادقة Windows. في حالة المصادقة الناجحة ، يتمكن المستخدم من الوصول إلى نظامه ، وتبدأ عملية تشفير القرص خلف الكواليس. لا تؤثر هذه العملية على أداء الجهاز بأي شكل من الأشكال ، على الرغم من أنها قد تستغرق وقتًا طويلاً (حسب حجم مساحة القرص). بمجرد اكتمال عملية التشفير ، يمكننا التحقق من تشغيل جميع الشفرات ، وأن محرك الأقراص مشفر ، وجهاز المستخدم محمي.
خاتمة
للتلخيص: في هذه المقالة ، قمنا بفحص إمكانات SandBlast Agent لحماية المعلومات المخزنة على جهاز المستخدم باستخدام تشفير القرص في سياسة حماية البيانات ، ودرسنا إعدادات توزيع السياسات والوكلاء من خلال قسم النشر وقمنا بتثبيت سياسة جديدة مع قواعد تشفير القرص وشفرات إضافية على جهاز المستخدم ... في المقالة التالية في السلسلة ، سنلقي نظرة فاحصة على إمكانيات التسجيل والإبلاغ في النظام الأساسي للإدارة وعميل SandBlast Agent.
مجموعة كبيرة من المواد على Check Point من TS Solution . حتى لا تفوت المنشورات التالية على منصة إدارة وكيل SandBlast - اتبع التحديثات على شبكاتنا الاجتماعية ( Telegram ، Facebook ، VK ،مدونة حل TS ، Yandex.Zen ).