Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

McAfee Encryption 2015

Vladyslav Radetsky
Vladyslav Radetsky

Техническая презентация решений McAfee (Intel Security) по шифрованию данных. Рассматривается процесс развертывания и управления. Подробно расписаны особенности и возможности актуальных версий продуктов. Содержимое: - номенклатура решений шифрования - основы работы с еРО - Drive Encryption (Win) детально - Management of Native Encryption (Win, Mac) детально - File & Removable Media Protection (Win) - Источники знаний - Советы из практики Целевая аудитория: Руководители ИТ/ИБ подразделений, специалисты по защите информации.

1 of 27
. Владислав Радецкий vr@bakotech.com McAfee Encryption Инструменты криптографической защиты
. Пару слов о себе С 2011 года работаю в Группе компаний БАКОТЕК. Занимаюсь технической поддержкой проектов по ИБ. Отвечаю за такие направления McAfee:  Data Protection  Email Security  Endpoint Security  Mobile Security  One Time Password  Security-as-a-Service  Security Management Vladislav Radetskiy Lead Technical Support Engineer BAKOTECH GROUP +380 95 880-7370 vr@bakotech.com
. О чем мы будем говорить  Инструменты шифрования McAfee  Основы работы с консолью McAfee ePO  Детальный обзор решений  Рассмотрение реальных проектов  Q&A 3
. Процесс эволюции инструментов шифрования McAfee Encryption 4 DE = Drive Encryption, бывший Endpoint Encryption for PC (EEPC) FRMP = File and Removable Media Protection, бывший Endpoint Encryption for Files & Folders (EEFF) MNE = Management of Native Encryption (Apple FileVault + MS BitLocker) EEMac = Endpoint Encryption for Mac (использовался до выхода Mavericks 10.9)
. По состоянию на 1 марта 2015 Актуальные версии ПО Управление • ePO 4.6.8 & ePO 5.1.1 • McAfee Agent 4.8 p3 & 5.0 Шифрование • Drive Encryption 7.1.2 • Management of Native Encryption 2.1.0 • File and Removable Media Protection 4.3.1 5
. Контроль четырех систем шифрования из одной панели еРО – единая консоль управления 6 McAfee ePO MS BitLocker Apple FileVault McAfee Drive Encryption + File and Media
. Три основных порта, необходимых для коммуникации Агент-Сервер ePO – основы: агент 7 McAfee ePO McAfee Agent Encryption Endpoint 443 TCP 80 TCP 8081 TCP
. Перечень систем ePO – основы: дерево систем Формируется • Вручную • Синхронизация с MS AD Возможна сортировка систем по • Тегам (меткам) • IP адресам/подсетям 8
. Разделяем системы между группами ePO – основы: метки (теги) Могут назначаться • По критериям • Вручную (без критериев) Используются для • Сортировки систем • Выборочного запуска задач • Выбор. применения политик 9
. Каждый модуль имеет свой набор политик ePO – основы: политики Политика My Default применяется сразу! Принцип управления: Создаем наборы политик и переключаем - наследование - по системам - по группам 10
. Делегируем наборы разрешений ePO – основы: ролевая модель доступа Операции могут быть распределены между: • Администраторами (политики); • Help-Desk`ом (сброс паролей); • Инженерами (восстановление доступа); • Аудиторами/руководством (отчетность)… 11
. Короткая характеристика решения Drive Encryption • Система FDE с поддержкой HDD, Opal, SED и SSD дисков • Широкий перечень поддерживаемых редакций Windows (XP – 8.1) • Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot… • Возможность добавить в pre-boot как доменных, так и недоменных пользователей • Поддержка различных токенов (KB79787) и кард-ридеров (KB79788) • Возможность сброса забытого пароля 6 разными способами • Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC • Для генерации случайных чисел DRBG использует HMAC SHA256 • Для аутентификации используется асимметричное шифрование RSA 2048 bit 12
. Правильная последовательность внедрения Drive Encryption  Выполнить резервное копирование важной информации с целевых систем  Настроить задачу синхронизации учетных записей из MS AD  Определить политики по отношению к дереву систем, назначить пользователей  Установить DEGO для проверки конфликтного ПО и SMART  Установить модули шифрования при неактивной политике (Encryption_OFF)  Активировать шифрование (Encryption_ON) с включенным Pre-Boot Smart Check  По завершению процесса перезагрузить систему и пройти pre-boot * Подробнее см. заметку в блоге 13
. Методы сброса пароля/восстановления доступа к зашифрованной системе Drive Encryption  Self-recovery - автономно  Admin recovery (challenge-response) - email, phone  EETech boot USB/CD - локально  DeepCommand on intel AMT systems - через Internet (IPsec)  Endpoint Assistant (Android & iOS devices) - автономно / 7.1  Self Service Portal (DPSSP) - через Internet / 7.2 Итого: 6 различных сценариев восстановления доступа 14
. Полезные вещи, которые не включены по умолчанию Drive Encryption  SSO при использовании учетных записей из AD  Использование TPM модуля для выгрузки ключа шифрования  Add local domain users (EE:ALDU)  Отключение pre-boot при отсутствии синхронизации  Logon Hours на десктопах / серверах  Процессы и каталоги DE должны быть в исключениях антивирусного ПО 15
. Короткая характеристика решения Management of Native Encryption • Контроль Apple FileVault и MS BitLocker средствами еРО • Два режима работы (report only & control) • При использовании MNE нет необходимости в MBAM сервере • Self Service Portal (DPSSP) • Поддержка DEGO для Mac • Периодическое пересоздание ключей восстановления • Поддержка устройств Windows To Go, Microsoft Surface Tablets 16
. Перечень поддерживаемых ОС Management of Native Encryption 17 Windows Server 2012 R2 Windows 7.0 (32-bit/64-bit) Enterprise and Ultimate Windows 8.0 (32-bit/64-bit) Windows 8.1 Update 2 (32-bit/64-bit) Windows 8.1 Update 1 (32-bit/64-bit) Windows 8.1 (32-bit/64-bit) Windows 8 Enterprise and Professional Windows to Go OS X 10.8 (Mountain Lion) OS X 10.9 (Mavericks) OS X 10.10.1 (Yosemite)
. Короткая характеристика решения File and Removable Media Protection • Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256) • Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты • Гибкое делегирование ключей (User based / System based) 18
. Работа с CD/DVD и USB накопителями File and Removable Media Protection • Без шифрования/вручную/принудительно либо Read Only • (USB) возможность привязки накопителя к конкретной системе • (USB) возможность доступа на внешней системе (Windows & Mac) • Доступ к зашифрованному без необходимости доп. ПО 19
. Принцип назначения ключей File and Removable Media Protection • Создаем необходимые ключи • Создаем политику назначения ключа • Выбираем к какому пользователю и на какой системе должна применяться политика, т.е. 20
. Особенности использования или о чем следует помнить File and Removable Media Protection • Развертывается только на клиентские ОС Windows, тем не менее может шифровать документы на сетевых хранилищах • Может интегрироваться с McAfee Device Control / DLP Endpoint • Рекомендуется использовать для усиления с Drive Encryption • При шифровании CD/DVD методом Onsite Access Only нужно использовать Windows Burner, Nero либо Roxio • Отдельные накопители можно исключить из действия политики (KB75531) • Процессы и каталоги ОС и ПО не шифровать 21
. Основные источники достоверной информации  www.mcafee.com/expertcenter - каталог технических материалов  https://kc.mcafee.com - база знаний  https://radetskiy.wordpress.com - мой блог  https://community.mcafee.com/community/business/data - анонсы, обсуждения  https://www.youtube.com/user/McAfee - канал McAfee на YouTube 22
. Ключевые моменты для DE, F&RMP и MNE Реальные внедрения шифрования • Ликбез или пилот для заказчика • Разработка политик шифрования (на бумаге), планирование операций (по этапам) • Формирование групп систем по общим признакам (сортировка + теги) • Назначение пользователей/ключей/соотв. политик (выбор токенов / ридеров) • Обучение/информирование персонала заказчика (до запуска шифрования!) • Резервное копирование важных данных с целевых систем • Развертывание и активация шифрования по отделам/департаментам • Контроль работы (запросы/отчеты), автоматизация (задачи, метки, автоответы) • Периодическая проверка восстановления доступа к зашифрованному 23
. Важные моменты Реальные внедрения шифрования • Сайзинг сервера еРО, SQL Standard • Организация коммуникации MA <-> ePO, смена портов • Исключения антивируса • Построение зеркал, обеспечение покрытия всех систем • Отличия пилота от внедрения или процесс миграции/переноса • Наличие загрузочного носителя EETech и инструкции для заказчика • Наличие резервных копий (если что-то пойдет не так) 24
. Полезные советы Реальные внедрения шифрования • (MA) C:Program Files (x86)McAfeeCommon FrameworkcmdAgent.exe /s • (DE) Используйте Autobooting для регламентных работ (обновление ОС, ПО) • (DE) Всегда добавляйте в pre-boot сервисную учетную запись • (DE) Pre-Boot Smart Check требует ~10 перезагрузок перед началом шифрования • (DE) Automatic Repair Windows 8 off [ bcdedit /set {current} recoveryenabled No ] • (MNE) Помните про исключения из парольной политики и DEGO для Mac • (F&RMP) Ключи лучше деактивировать а не удалять, избегайте Local Keys • (F&RMP) Если ключи не приходят по RDP – выполните logon локально • (F&RMP) Шифрует файлы на уровне I/O, не сокетов(!) помнить о blocking process • (F&RMP) При шифровании накопителя возможно два сценария 25
. 26 Вопросы? Замечания? Пожелания?
. 27 radetskiy.wordpress.com vr@bakotech.com linkedin.com/pub/vladislav-radetskiy/47/405/809

More Related Content

McAfee Encryption 2015

  • 2. . Пару слов о себе С 2011 года работаю в Группе компаний БАКОТЕК. Занимаюсь технической поддержкой проектов по ИБ. Отвечаю за такие направления McAfee:  Data Protection  Email Security  Endpoint Security  Mobile Security  One Time Password  Security-as-a-Service  Security Management Vladislav Radetskiy Lead Technical Support Engineer BAKOTECH GROUP +380 95 880-7370 vr@bakotech.com
  • 3. . О чем мы будем говорить  Инструменты шифрования McAfee  Основы работы с консолью McAfee ePO  Детальный обзор решений  Рассмотрение реальных проектов  Q&A 3
  • 4. . Процесс эволюции инструментов шифрования McAfee Encryption 4 DE = Drive Encryption, бывший Endpoint Encryption for PC (EEPC) FRMP = File and Removable Media Protection, бывший Endpoint Encryption for Files & Folders (EEFF) MNE = Management of Native Encryption (Apple FileVault + MS BitLocker) EEMac = Endpoint Encryption for Mac (использовался до выхода Mavericks 10.9)
  • 5. . По состоянию на 1 марта 2015 Актуальные версии ПО Управление • ePO 4.6.8 & ePO 5.1.1 • McAfee Agent 4.8 p3 & 5.0 Шифрование • Drive Encryption 7.1.2 • Management of Native Encryption 2.1.0 • File and Removable Media Protection 4.3.1 5
  • 6. . Контроль четырех систем шифрования из одной панели еРО – единая консоль управления 6 McAfee ePO MS BitLocker Apple FileVault McAfee Drive Encryption + File and Media
  • 7. . Три основных порта, необходимых для коммуникации Агент-Сервер ePO – основы: агент 7 McAfee ePO McAfee Agent Encryption Endpoint 443 TCP 80 TCP 8081 TCP
  • 8. . Перечень систем ePO – основы: дерево систем Формируется • Вручную • Синхронизация с MS AD Возможна сортировка систем по • Тегам (меткам) • IP адресам/подсетям 8
  • 9. . Разделяем системы между группами ePO – основы: метки (теги) Могут назначаться • По критериям • Вручную (без критериев) Используются для • Сортировки систем • Выборочного запуска задач • Выбор. применения политик 9
  • 10. . Каждый модуль имеет свой набор политик ePO – основы: политики Политика My Default применяется сразу! Принцип управления: Создаем наборы политик и переключаем - наследование - по системам - по группам 10
  • 11. . Делегируем наборы разрешений ePO – основы: ролевая модель доступа Операции могут быть распределены между: • Администраторами (политики); • Help-Desk`ом (сброс паролей); • Инженерами (восстановление доступа); • Аудиторами/руководством (отчетность)… 11
  • 12. . Короткая характеристика решения Drive Encryption • Система FDE с поддержкой HDD, Opal, SED и SSD дисков • Широкий перечень поддерживаемых редакций Windows (XP – 8.1) • Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot… • Возможность добавить в pre-boot как доменных, так и недоменных пользователей • Поддержка различных токенов (KB79787) и кард-ридеров (KB79788) • Возможность сброса забытого пароля 6 разными способами • Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC • Для генерации случайных чисел DRBG использует HMAC SHA256 • Для аутентификации используется асимметричное шифрование RSA 2048 bit 12
  • 13. . Правильная последовательность внедрения Drive Encryption  Выполнить резервное копирование важной информации с целевых систем  Настроить задачу синхронизации учетных записей из MS AD  Определить политики по отношению к дереву систем, назначить пользователей  Установить DEGO для проверки конфликтного ПО и SMART  Установить модули шифрования при неактивной политике (Encryption_OFF)  Активировать шифрование (Encryption_ON) с включенным Pre-Boot Smart Check  По завершению процесса перезагрузить систему и пройти pre-boot * Подробнее см. заметку в блоге 13
  • 14. . Методы сброса пароля/восстановления доступа к зашифрованной системе Drive Encryption  Self-recovery - автономно  Admin recovery (challenge-response) - email, phone  EETech boot USB/CD - локально  DeepCommand on intel AMT systems - через Internet (IPsec)  Endpoint Assistant (Android & iOS devices) - автономно / 7.1  Self Service Portal (DPSSP) - через Internet / 7.2 Итого: 6 различных сценариев восстановления доступа 14
  • 15. . Полезные вещи, которые не включены по умолчанию Drive Encryption  SSO при использовании учетных записей из AD  Использование TPM модуля для выгрузки ключа шифрования  Add local domain users (EE:ALDU)  Отключение pre-boot при отсутствии синхронизации  Logon Hours на десктопах / серверах  Процессы и каталоги DE должны быть в исключениях антивирусного ПО 15
  • 16. . Короткая характеристика решения Management of Native Encryption • Контроль Apple FileVault и MS BitLocker средствами еРО • Два режима работы (report only & control) • При использовании MNE нет необходимости в MBAM сервере • Self Service Portal (DPSSP) • Поддержка DEGO для Mac • Периодическое пересоздание ключей восстановления • Поддержка устройств Windows To Go, Microsoft Surface Tablets 16
  • 17. . Перечень поддерживаемых ОС Management of Native Encryption 17 Windows Server 2012 R2 Windows 7.0 (32-bit/64-bit) Enterprise and Ultimate Windows 8.0 (32-bit/64-bit) Windows 8.1 Update 2 (32-bit/64-bit) Windows 8.1 Update 1 (32-bit/64-bit) Windows 8.1 (32-bit/64-bit) Windows 8 Enterprise and Professional Windows to Go OS X 10.8 (Mountain Lion) OS X 10.9 (Mavericks) OS X 10.10.1 (Yosemite)
  • 18. . Короткая характеристика решения File and Removable Media Protection • Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256) • Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты • Гибкое делегирование ключей (User based / System based) 18
  • 19. . Работа с CD/DVD и USB накопителями File and Removable Media Protection • Без шифрования/вручную/принудительно либо Read Only • (USB) возможность привязки накопителя к конкретной системе • (USB) возможность доступа на внешней системе (Windows & Mac) • Доступ к зашифрованному без необходимости доп. ПО 19
  • 20. . Принцип назначения ключей File and Removable Media Protection • Создаем необходимые ключи • Создаем политику назначения ключа • Выбираем к какому пользователю и на какой системе должна применяться политика, т.е. 20
  • 21. . Особенности использования или о чем следует помнить File and Removable Media Protection • Развертывается только на клиентские ОС Windows, тем не менее может шифровать документы на сетевых хранилищах • Может интегрироваться с McAfee Device Control / DLP Endpoint • Рекомендуется использовать для усиления с Drive Encryption • При шифровании CD/DVD методом Onsite Access Only нужно использовать Windows Burner, Nero либо Roxio • Отдельные накопители можно исключить из действия политики (KB75531) • Процессы и каталоги ОС и ПО не шифровать 21
  • 22. . Основные источники достоверной информации  www.mcafee.com/expertcenter - каталог технических материалов  https://kc.mcafee.com - база знаний  https://radetskiy.wordpress.com - мой блог  https://community.mcafee.com/community/business/data - анонсы, обсуждения  https://www.youtube.com/user/McAfee - канал McAfee на YouTube 22
  • 23. . Ключевые моменты для DE, F&RMP и MNE Реальные внедрения шифрования • Ликбез или пилот для заказчика • Разработка политик шифрования (на бумаге), планирование операций (по этапам) • Формирование групп систем по общим признакам (сортировка + теги) • Назначение пользователей/ключей/соотв. политик (выбор токенов / ридеров) • Обучение/информирование персонала заказчика (до запуска шифрования!) • Резервное копирование важных данных с целевых систем • Развертывание и активация шифрования по отделам/департаментам • Контроль работы (запросы/отчеты), автоматизация (задачи, метки, автоответы) • Периодическая проверка восстановления доступа к зашифрованному 23
  • 24. . Важные моменты Реальные внедрения шифрования • Сайзинг сервера еРО, SQL Standard • Организация коммуникации MA <-> ePO, смена портов • Исключения антивируса • Построение зеркал, обеспечение покрытия всех систем • Отличия пилота от внедрения или процесс миграции/переноса • Наличие загрузочного носителя EETech и инструкции для заказчика • Наличие резервных копий (если что-то пойдет не так) 24
  • 25. . Полезные советы Реальные внедрения шифрования • (MA) C:Program Files (x86)McAfeeCommon FrameworkcmdAgent.exe /s • (DE) Используйте Autobooting для регламентных работ (обновление ОС, ПО) • (DE) Всегда добавляйте в pre-boot сервисную учетную запись • (DE) Pre-Boot Smart Check требует ~10 перезагрузок перед началом шифрования • (DE) Automatic Repair Windows 8 off [ bcdedit /set {current} recoveryenabled No ] • (MNE) Помните про исключения из парольной политики и DEGO для Mac • (F&RMP) Ключи лучше деактивировать а не удалять, избегайте Local Keys • (F&RMP) Если ключи не приходят по RDP – выполните logon локально • (F&RMP) Шифрует файлы на уровне I/O, не сокетов(!) помнить о blocking process • (F&RMP) При шифровании накопителя возможно два сценария 25