4.ポイントSandBlastエージェント管理プラットフォームを確認します。データ保護ポリシー。展開とグローバルポリシー設定

Check Point SandBlast Agent ManagementPlatformシリーズの4番目の記事へようこそ。以前の記事（1番目、2番目、3番目）では、Web管理コンソールのインターフェイスと機能について詳しく説明し、脅威防止ポリシーを確認して、さまざまな脅威に対してテストしました。この記事では、2番目のセキュリティコンポーネントであるデータ保護ポリシーについて説明します。データ保護ポリシーは、ユーザーのマシンに保存されているデータの保護を担当します。また、この記事の「デプロイメント」セクションと「グローバルポリシー設定」セクションについても説明します。

データ保護ポリシー

データ保護ポリシーでは、許可されたユーザーのみが、フルディスク暗号化およびブート保護機能を使用して本番マシンに保存されているデータにアクセスできます。現在、ディスク暗号化を構成するための次のオプションがサポートされています。Windowsの場合-チェックポイント暗号化またはBitLocker暗号化、MacOSの場合-ファイルボールト。各オプションの機能と設定について詳しく見ていきましょう。

チェックポイント暗号化

チェックポイント暗号化は、データ保護ポリシーの標準のディスク暗号化方式であり、ユーザーマシンの状態に影響を与えることなく、バックグラウンドですべてのシステムファイル（一時、システム、リモート）を暗号化します。暗号化後、権限のないユーザーはドライブにアクセスできなくなります。 チェックポイント暗号化の主な設定は「プリブートを有効にする」です。これにより、ユーザーはオペレーティングシステムをロードする前に認証できます。このオプションは、オペレーティングシステムレベルでの認証バイパスツールの使用を妨げるため、使用をお勧めします。起動前の時間バイパスパラメータを設定することもできます。

• Allow OS login after temporary bypass — Pre-boot ;

• Allow pre-boot bypass (Wake On LAN – WOL) — pre-boot , Ethernet;

• Allow bypass script — Pre-boot Pre-boot;

• Allow LAN bypass — pre-boot .

上記の起動前の一時バイパスオプションは、明らかな理由（メンテナンスやトラブルシューティングなど）がないため推奨されません。最善のセキュリティソリューションは、一時バイパスルールを指定せずに起動前を有効にすることです。プレブートをバイパスする必要がある場合は、保護レベルを長期間低下させないように、一時的なバイパスパラメータに必要な最小時間枠を設定することをお勧めします。 また、チェックポイント暗号化を使用すると、データ保護ポリシーの詳細設定を構成できます。たとえば、暗号化設定をより柔軟に構成したり、起動前機能やWindows認証のさまざまな側面を構成したりできます。

BitLocker暗号化

BitLockerはWindowsオペレーティングシステムの一部であり、ハードドライブとリムーバブルメディアを暗号化できます。チェックポイントBitLockerManagementは、SandBlast Agentクライアントで自動的に起動し、BitLocker管理APIを使用するWindowsサービスコンポーネントです。 データ保護ポリシーでドライブの暗号化方法としてBitLocker暗号化を選択すると、次のオプションを構成できます。

• 初期暗号化-初期暗号化設定。既存のユーザーデータ（ファイル、ドキュメントなど）を使用するマシンに推奨されるドライブ全体を暗号化（ドライブ全体を暗号化）するか、新しいものに推奨されるデータのみを暗号化（使用済みディスク領域のみを暗号化）することができます。 Windowsインストール;

• 暗号化するドライブ-暗号化するドライブ/パーティションを選択し、すべてのドライブ（すべてのドライブ）またはオペレーティングシステムを備えたパーティションのみ（OSドライブのみ）を暗号化できます。

• 暗号化アルゴリズム-暗号化アルゴリズムの選択。推奨されるオプションはWindowsのデフォルトです。XTS-AES-128またはXTS-AES-256を指定することもできます。

ファイルボールト

File Vaultは、Appleの標準暗号化ツールであり、許可されたユーザーのみがユーザーのコンピューターデータにアクセスできるようにします。File Vaultがインストールされている場合、ユーザーはパスワードを入力してシス​​テムを起動し、暗号化されたファイルにアクセスする必要があります。File Vaultを使用することは、MacOSオペレーティングシステムのユーザーのデータ保護ポリシーに保存されているデータを確実に保護する唯一の方法です。







File Vaultの場合、「自動ユーザー取得を有効にする」オプションを使用できます。これには、ディスク暗号化プロセスを開始する前にユーザー認証が必要です。この機能が有効になっている場合、SandBlast Agentがプリブート機能を適用する前に許可する必要のあるユーザー数を指定したり、許可されたすべてのユーザーに対してプリブート機能が自動的に実装されるまでの日数を指定したりできます。この期間中、少なくとも1人のユーザーがシステムで許可されます。

データ復旧

システムの起動に問題がある場合は、さまざまな方法でデータを回復できます。管理者は、[コンピューターの管理]→[フルディック暗号化アクション]セクションから、暗号化されたデータを復元するプロセスを開始できます。チェックポイント暗号化を使用すると、以前に暗号化されたドライブを復号化して、保存されているすべてのファイルにアクセスできます。この手順の後、データ保護ポリシーを機能させるには、ディスク暗号化プロセスを再開する必要があります。 データリカバリ用のディスクの暗号化方法としてBitLockerを選択する場合、問題のコンピュータのリカバリキーIDを入力してリカバリキーを生成する必要があります。リカバリキーは、暗号化されたディスクにアクセスするためにユーザーが入力する必要があります。















File Vaultを使用して保存された情報を保護するMacOSユーザーの場合、回復プロセスは、管理者が問題のマシンのシリアル番号に基づいて回復キーを生成し、このキーを入力してからパスワードをリセットすることで構成されます。

展開ポリシー

Web管理コンソールインターフェイスを確認し た2番目の記事のリリース以降、Check PointはDeploymentセクションにいくつかの変更を加えることができました。これには、すでにインストールされているエージェントの構成（ブレードの有効化/無効化）が構成されているSoftwareDeploymentサブセクションとサブセクションが含まれています。パッケージのエクスポート。ブレードが事前にインストールされたパッケージを作成して、たとえばActive Directoryグループポリシーを使用して、ユーザーのマシンにさらにインストールできます。すべてのSandBlastAgentブレードを含むソフトウェア展開サブセクションを検討してください。







標準の展開ポリシーには、脅威防止ブレードのみが含まれていることを思い出してください。前述のデータ保護ポリシーを考慮して、SandBlastAgentを使用してクライアントマシンにインストールおよび操作するためにこのカテゴリを有効にできるようになりました。リモートアクセスVPN機能を有効にすることは理にかなっています。これにより、ユーザーは、たとえば、組織の企業ネットワークに接続できます。また、アクセスとコンプライアンスのカテゴリには、ファイアウォールとアプリケーションの制御機能が含まれ、ユーザーのマシンがコンプライアンスポリシーに準拠しているかどうかを確認できます。

グローバルポリシー設定

最も重要なパラメータの1つは、グローバルポリシー設定で構成されます。これは、ユーザーのマシンからSandBlastAgentを削除するためのパスワードです。エージェントをインストールした後、ユーザーはパスワード（デフォルトでは「シークレット」（引用符なし））を入力せずにエージェントをアンインストールすることはできません。ただし、この標準パスワードは公開ソースで簡単に見つけることができます。SandBlastAgentソリューションを実装する場合は、デフォルトのパスワードを変更してエージェントを削除することをお勧めします。管理プラットフォームでは、標準のパスワードではポリシーを5回しか設定できないため、パスワードを変更して削除することは避けられません。

さらに、グローバルポリシー設定は、ThreatCloudサービスを分析および改善するためにチェックポイントに送信できるデータパラメータを構成します。







グローバルポリシー設定から、ディスク暗号化ポリシーのいくつかのパラメーター、つまりパスワード要件（複雑さ、使用期間、以前に有効なパスワードを使用する機能など）も構成されます。このセクションでは、Pre-bootまたはOneCheckの標準の画像の代わりに、独自の画像をアップロードできます。

インストールポリシー

データ保護ポリシーの機能を理解し、[展開]セクションで対応する設定を構成した後、チェックポイント暗号化と残りのSandBlastエージェントブレードを使用したディスク暗号化を含む新しいポリシーのインストールを開始できます。管理プラットフォームにポリシーをインストールした後、クライアントは、ポリシーの新しいバージョンを今すぐインストールするか、インストールを別の時間（最大2日）に移動するようにというメッセージを受け取ります。 新しいポリシーをダウンロードしてインストールした後、SandBlast Agentは、フルディスク暗号化保護を有効にするためにコンピューターを再起動するようにユーザーに促します。















再起動後、ユーザーは[チェックポイントエンドポイントセキュリティ認証]ウィンドウに資格情報を入力する必要があります。このウィンドウは、オペレーティングシステムが起動する（起動前）前に毎回表示されます。シングルサインオン（SSO）オプションを選択して、Windows認証に資格情報を自動的に使用することができます。 認証が成功すると、ユーザーは自分のシステムにアクセスできるようになり、ディスク暗号化プロセスがバックグラウンドで開始されます。この操作は、（ディスク容量によっては）時間がかかる場合がありますが、マシンのパフォーマンスにはまったく影響しません。暗号化プロセスが完了すると、すべてのブレードが稼働し、ドライブが暗号化され、ユーザーのマシンが保護されていることを確認できます。

結論

要約すると、この記事では、データ保護ポリシーのディスク暗号化を使用してユーザーのマシンに保存された情報を保護するSandBlast Agentの機能を調べ、展開セクションを通じてポリシーとエージェントを配布するための設定を調査し、ディスク暗号化ルールと追加のブレードを使用してユーザーのマシンに新しいポリシーをインストールしました。 ..。シリーズの次の記事では、管理プラットフォームとSandBlastAgentクライアントのロギングおよびレポート機能について詳しく見ていきます。



TSソリューションからのチェックポイントの材料の大規模な選択。 SandBlast Agent Management Platformの次の出版物を見逃さないために、ソーシャルネットワーク（Telegram、Facebook、VK、TSソリューションブログ、Yandex.Zen）。