McAfee SaaS Web Protection Service 8.5.0 Guide de configuration
Transcription
McAfee SaaS Web Protection Service 8.5.0 Guide de configuration
Guide de configuration Révision A McAfee SaaS Web Protection Service 8.5.0 COPYRIGHT Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com DROITS DE MARQUES Intel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL 2 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration Sommaire 1 2 Introduction 5 Conditions requises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Configuration de SaaS Web Protection Service 7 Détermination de l'authentification auprès de Web Protection . . . . . . . . . . . . . . . . 7 Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) . . 9 Ajout des détails d'un utilisateur pour McAfee Client Proxy . . . . . . . . . . . . . . . . . . 9 WDS Connector (authentification transparente) . . . . . . . . . . . . . . . . . . . . . 10 Téléchargement de WDS Connector . . . . . . . . . . . . . . . . . . . . . . . 10 3 Configuration de proxy 11 Configuration d'un paramètre de proxy statique dans votre navigateur . . . . . . . . . . . . Méthodes de configuration de proxy . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration automatique du fichier Mozilla.cfg via un script de connexion . . . . . . . Création d'un fichier PAC ou WPAC . . . . . . . . . . . . . . . . . . . . . . . . Configuration WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration de DNS pour un script WPAD . . . . . . . . . . . . . . . . . . . . Configuration d'un serveur web pour utiliser un fichier PAC ou WPAD . . . . . . . . . . Exemple basique de fichier WPAD ou PAC . . . . . . . . . . . . . . . . . . . . . 4 Problèmes de configuration courants 12 13 13 14 14 16 17 19 21 Vérification d'un paramètre de proxy codé en dur . . . . . . . . . . . . . . . . . . . . 21 Vérification du nom de toutes les configurations en minuscules . . . . . . . . . . . . . . . 21 5 Configuration d'ensembles de stratégies 25 Analyses (post-mortem) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Optimisation de WDS Connector pour les installations plus grandes Configuration du proxy pour un grand nombre de clients . . . . . . . . . . . . . . . . . McAfee SaaS Web Protection Service 8.5.0 25 27 27 Guide de configuration 3 Sommaire 4 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 1 Introduction ® McAfee SaaS Web Protection Service fournit une protection en temps réel contre les menaces générées par le Web et les contenus inappropriés, dans le périmètre du réseau, avant qu'ils ne puissent entrer dans le réseau interne; Le trafic des navigateurs des utilisateurs est redirigé vers le SaaS Web Protection Service. Au fur et à mesure de la réception de requêtes de contenu web, SaaS Web Protection Service vérifie le contenu en accord avec les stratégies définies et, si l'option est activée, cherche les vers et virus connus. Seul le contenu qui ne viole pas ces stratégies et ne comporte pas de menaces connues est renvoyé à l'utilisateur. Vous pouvez activer ou désactiver des stratégies de contenu web spécifiques dans Control Console, l'interface graphique complète de SaaS Web Protection Service. Conditions requises Une fois que vous avez défini vos stratégies de filtrage de contenu web dans Control Console, Web Protection redirigera le trafic web de l'entreprise vers un serveur proxy pour initier la protection. Avant d'utiliser Web Protection Service, il est impératif d'effectuer les opérations suivantes : • S'inscrire à Web Protection ; • Créer un client ; • Créer un domaine. Vous pouvez envisager de mettre en œuvre la fonctionnalité d'intégration de répertoire dans la gestion des comptes avant d'utiliser WDS Connector. Ainsi, vous augmenterez sérieusement les chances de faire correspondre les adresses e-mail de l'utilisateur dans Active Directory et dans Control Console. Pour en savoir plus sur les environnements pris en charge par Web Protection, consultez les dernières notes de publication. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 5 1 Introduction Conditions requises 6 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 2 Configuration de SaaS Web Protection Service SaaS Web Protection Service (Web Protection) arrête les menaces avant qu'elles n'atteignent le réseau de l'entreprise. Une fois les stratégies de filtrage de Web Protection définies, le trafic web doit être redirigé vers un serveur proxy, puis la protection est initiée. Les sessions web de l'utilisateur final sont également systématiquement filtrées par Web Protection afin de bloquer les virus et les logiciels espions (spyware) avant qu'ils n'atteignent le réseau, si le service contre les menaces a été acheté. Sommaire Détermination de l'authentification auprès de Web Protection Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) Ajout des détails d'un utilisateur pour McAfee Client Proxy WDS Connector (authentification transparente) Détermination de l'authentification auprès de Web Protection La fenêtre Contrôles d'accès vous permet de définir la manière selon laquelle les utilisateurs s'authentifient lorsqu'ils accèdent au Web. Vous pouvez par exemple enregistrer une liste d'adresses IP acceptées par votre entreprise. Choisissez l'un des quatre mécanismes fournis pour être autorisé à utiliser le système Web Protection : Si nécessaire, on peut combiner plusieurs authentifications. Authentification de l'intervalle d'adresses IP Avantages : • Ne nécessite aucune connexion de l'utilisateur ; • Aucun mot de passe à gérer pour les utilisateurs ; • Aucun logiciel à installer ; • Peut être déployé en bordure de réseau par le biais du routage. Inconvénients : • Les stratégies de groupe ne peuvent pas être appliquées (tous les utilisateurs ont la même stratégie) ; • Aucun rapport individuel ; tous les rapports sont regroupés pour l'adresse IP externe. Authentification d'utilisateur explicite Avantages : McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 7 2 Configuration de SaaS Web Protection Service Détermination de l'authentification auprès de Web Protection • Les stratégies de groupe peuvent être appliquées (les utilisateurs peuvent avoir des stratégies différentes) ; • Les rapports individuels se font pour chaque utilisateur ; • Aucun logiciel à installer. Inconvénients : • Nécessite que les utilisateurs se connectent à chaque session de navigateur ; • Les mots de passe doivent être gérés et/ou authentifiés auprès du serveur de l'entreprise. Authentification transparente (WDS Connector) Lorsque vous utilisez WDS Connector, il est conseillé de suivre quelques bonnes pratiques. • Dans la plupart des cas, McAfee conseille de placer WDS Connector sur un serveur dédié. Bien que cela ne soit pas une obligation pour les petits clients, un serveur dédié minimise la probabilité d'interférence d'un autre processus avec WDS Connector. • McAfee conseille de désinstaller ou de désactiver les logiciels non essentiels du serveur sur lequel WDS Connector est installé. Avantages : • Ne nécessite aucune connexion de l'utilisateur ; • Aucun mot de passe à gérer pour les utilisateurs dans le système Web Protection ; • Les stratégies de groupe peuvent être appliquées (les utilisateurs peuvent avoir des stratégies différentes) ; • Les rapports individuels se font pour chaque utilisateur. Inconvénients : • Nécessite l'installation d'un logiciel sur l'infrastructure de l'entreprise ; • Nécessite Active Directory et l'authentification NTLM pour reconnaître les utilisateurs ; • Nécessite que chaque utilisateur possède une adresse e-mail dans Active Directory, correspondant à une adresse e-mail dans Control Console ; • Nécessite que les utilisateurs se connectent au domaine de manière interactive ; • Nécessite de router tout le trafic du navigateur par WDS Connector. McAfee Client Proxy (MCP) Le McAfee Client Proxy est un agent Windows qui redirige directement le trafic HTTP et HTTPS vers les serveurs SaaS Web Protection. McAfee Client Proxy peut être configuré pour : • Toujours rediriger pour garantir une protection constante à partir du cloud ; • Rediriger lorsque l'utilisateur se trouve hors du réseau de l'entreprise, pour une protection itinérante. Le McAfee Client Proxy transmet des informations chiffrées au cloud sur l'utilisateur individuel, l'appartenance aux groupes pour les utilisateurs et les détails du compte client. Le système identifie automatiquement l'utilisateur, le groupe ou le client pour appliquer la stratégie appropriée. Avantages : 8 • Ne nécessite aucune connexion de l'utilisateur ; • Aucun mot de passe à gérer pour les utilisateurs dans le système Web Protection ; McAfee SaaS Web Protection Service 8.5.0 Guide de configuration Configuration de SaaS Web Protection Service Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) 2 • Les stratégies de groupe peuvent être appliquées (les utilisateurs peuvent avoir des stratégies différentes) ; • Les rapports individuels se font pour chaque utilisateur ; • Peut être configuré pour éviter la désactivation de l'agent ; • Fonctionne au niveau du réseau pour tous les navigateurs et pour toutes les autres requêtes HTTP ou HTTPS. Inconvénients : • Ne fonctionne que sous Windows ; • Nécessite le déploiement sur le poste client (poste de travail ou ordinateur portable) ; • N'existe qu'en langue anglaise. Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) Gestion des comptes est un ensemble de pages d'administration vous permettant de configurer et de gérer depuis un emplacement unique les entités de Web Protection Service. C'est une option de McAfee Client Proxy. Ces entités sont les suivantes : • Domaines • Utilisateurs • Autres administrateurs, notamment autres administrateurs de client, administrateurs de domaine, gestionnaires de quarantaine et gestionnaires de rapports En outre, utilisez Gestion des comptes pour l'administration des groupes d'utilisateurs partageant une stratégie de filtrage des e-mails commune. Pour configurer les utilisateurs qui utiliseront Web Protection Services, téléchargez le Guide de l'administrateur de la Gestion des comptes et suivez les instructions. 1 Allez sur la page http://www.mcafeesaas.com 2 Connectez-vous si nécessaire. 3 Cliquez sur Documents de référence. 4 Cliquez sur Guide de l'administrateur de la Gestion des comptes. Ajout des détails d'un utilisateur pour McAfee Client Proxy McAfee Client Proxy peut être utilisé sans avoir besoin de définir des noms d'utilisateurs. Control Console fait correspondre les noms d'utilisateurs avec les informations de domaine/nom de l'utilisateur de Windows fournies par McAfee Client Proxy. Control Console propose un utilitaire pour faire correspondre les noms d'utilisateurs aux utilisateurs de messagerie qui ont été créés. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 9 2 Configuration de SaaS Web Protection Service WDS Connector (authentification transparente) Procédure 1 Accédez à Web Protection | Stratégies | Stratégies McAfee Client Proxy. 2 Cliquez sur Utilitaire d'identification des utilisateurs MCP Cet utilitaire fait automatiquement correspondre les noms d'utilisateurs d'Active Directory aux comptes de messagerie de Control Console. Si aucun nom d'utilisateur n'est fourni, l'utilitaire McAfee Client Proxy utilise les informations spécifiques du groupe ou du client pour déterminer la stratégie à utiliser pour le filtrage. WDS Connector (authentification transparente) WDS ConnectorSM, qui est une amélioration de SaaS Web Protection Service (Web Protection), permet aux utilisateurs d'accéder au web par le biais de Web Protection en utilisant leurs informations d'identification de domaine du réseau local. Cette fonction, aussi appelée authentification transparente, élimine la nécessité d'authentifier un utilisateur, pour Web Protection, à chaque fois qu'il ouvre un navigateur. A la place, Web Protection valide automatiquement l'utilisateur lorsque celui-ci ouvre un navigateur. Les administrateurs du service Web Protection peuvent continuer à appliquer des stratégies de groupe aux utilisateurs et à suivre les utilisations web individuelles, les menaces, etc. Téléchargement de WDS Connector Téléchargez le logiciel WDS Connector pour que vous puissiez l'installer et commencer à l'utiliser. Procédure 1 Cliquez sur l'onglet Web Protection | Configuration. 2 Cliquez sur le lien WDS Connector. 3 Cliquez sur Télécharger WDS Connector pour télécharger et installer le logiciel WDS Connector. Si l'accès à Control Console s'effectue à partir d'un serveur Windows utilisé comme serveur proxy de WDS Connector, vous pouvez exécuter l'installation du logiciel lorsque vous le téléchargez. Dans ce cas, cliquez sur Exécuter lorsque la première fenêtre du programme d'installation s'affiche. Si l'accès à Control Console s'effectue à partir d'un ordinateur qui n'est pas le serveur proxy de WDS Connector, vous devez enregistrer le logiciel sur une clé USB, sur un CD-ROM ou sur un autre support, le transférer sur le serveur proxy de WDS Connector et l'installer. 10 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 3 Configuration de proxy Après avoir configuré Web Protection, vous devrez configurer vos clients pour utiliser le proxy. Il existe quatre manières de le faire : • Configurez manuellement les clients pour qu'ils pointent vers Web Protection et/ou WDS Connector en utilisant les paramètres de proxy d'Internet Explorer ou de Firefox. C'est une méthode efficace pour forcer les ordinateurs à pointer vers Web Protection. Cependant, le problème principal de cette configuration réside dans son manque de flexibilité ; elle n'est donc conseillée que pour les petits sites ou pour les sites dont la plupart des utilisateurs utilisent des postes de travail et non des ordinateurs portables. De plus, toute configuration de l'ordinateur local comporte le risque que l'utilisateur revienne à sa configuration antérieure dès que le personnel informatique a tourné le dos. Nous parlerons également de la manière de verrouiller Internet Explorer et Firefox pour que l'utilisateur ne puisse pas facilement modifier ou supprimer les paramètres de proxy. • Utilisez un fichier PAC pour écrire sous forme de script la manière selon laquelle le navigateur web d'un utilisateur va trouver et utiliser les serveurs proxy web sur votre réseau. Configurer manuellement des clients par un codage en dur du proxy peut s'avérer très problématique pour les utilisateurs d'ordinateurs portables, car ce proxy ne sera pas disponible s'ils ne sont pas connectés au réseau de l'entreprise, soit par une connexion filaire, soit par un VPN. Un fichier PAC vous permet de résoudre ce problème en contrôlant la direction que le navigateur prendra pour trouver les informations de proxy et en ignorant même le proxy pour aller directement sur Internet si le proxy est introuvable. L'utilisation des fichiers PAC offre également l'avantage de pouvoir définir ce qui sera géré par le proxy et ce qui ne le sera pas. Par exemple, bien qu'il soit en général plus prudent d'envoyer la navigation web générale vers Web Protection, vous ne voulez pas forcément envoyer vos applications critiques basées sur le web vers un proxy. Avec un fichier PAC, vous pouvez rendre plus intelligente la manière selon laquelle le navigateur de l'utilisateur redirige le trafic. • Le protocole WPAD, qui nécessite peu ou pas de modifications au niveau du client, mais plutôt au niveau du navigateur, utilise le paramètre Détecter automatiquement pour rechercher votre fichier de configuration sur un serveur web. S'il ne peut pas trouver les paramètres ou le serveur WPAD, le navigateur s'adapte rapidement et va directement sur Internet. Ce paramètre est de loin le plus facile à mettre en œuvre au niveau du client, mais il demande plus d'attention de la part de l'administrateur des systèmes car il nécessite de configurer les serveurs web, DHCP et DNS. Heureusement, les formats des fichiers WPAD.DAT et PAC sont identiques et nous fournissons dans cette section des exemples que vous pouvez copier et coller à volonté. • Si vous utilisez McAfee Client Proxy, la stratégie de configuration de McAfee Client Proxy détermine la méthode et la destination de la redirection du trafic. Pour en savoir plus, consultez la documentation de McAfee Client Proxy sur Control Console sous Web Protection | Configuration | McAfee Client Proxy. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 11 3 Configuration de proxy Configuration d'un paramètre de proxy statique dans votre navigateur Procédures • Configuration d'un paramètre de proxy statique dans votre navigateur, page 12 Le codage en dur des paramètres d'Internet Explorer ou de Firefox fonctionne bien pour les petits sites et pour les sites sur lesquels la plupart des ordinateurs sont des postes de travail. Cependant, ce paramétrage ne fonctionne pas bien pour des utilisateurs d'ordinateurs portables qui travaillent en local ou à distance car ils ne pourront pas avoir accès à Internet s'ils ne peuvent pas se connecter au serveur proxy. De plus, il n'y a pas de routage intelligent ou de reprise automatique si le proxy ne peut pas être atteint. Sommaire Configuration d'un paramètre de proxy statique dans votre navigateur Méthodes de configuration de proxy Configuration d'un paramètre de proxy statique dans votre navigateur Le codage en dur des paramètres d'Internet Explorer ou de Firefox fonctionne bien pour les petits sites et pour les sites sur lesquels la plupart des ordinateurs sont des postes de travail. Cependant, ce paramétrage ne fonctionne pas bien pour des utilisateurs d'ordinateurs portables qui travaillent en local ou à distance car ils ne pourront pas avoir accès à Internet s'ils ne peuvent pas se connecter au serveur proxy. De plus, il n'y a pas de routage intelligent ou de reprise automatique si le proxy ne peut pas être atteint. Avant de commencer Cette configuration suppose que le client et le serveur ne sont pas configurés pour bloquer le port 3128 et/ou le port 8080. Procédure 1 Lancez Internet Explorer. 2 Cliquez sur Outils | Options. 3 Cliquez sur l'onglet Connexions. 4 Cliquez sur Paramètres du réseau local. 5 Sélectionnez Utiliser un serveur proxy pour votre réseau local. Si vous utilisez WDS Connector : a Saisissez le nom de domaine complet (de préférence) ou le nom du serveur DNS pouvant être résolu correspondant au serveur sur lequel WDS Connector est installé. b Dans le champ Port, saisissez 3128. 6 Saisissez l'entrée de proxy fournie dans le kit d'activation que vous avez reçu lors de la configuration. 7 dans le champ Port, saisissez 8080. 8 Sélectionnez Contourner le serveur proxy pour les adresses locales. Lorsque vous avez terminé, le serveur proxy doit ressembler à l'exemple suivant : où serveur proxy est le nom du serveur sur lequel vous avez installé WDS Connector. McAfee conseille d'utiliser un nom de domaine complet comme proxyserver.yourdomain.com plutôt qu'un simple nom de serveur. 12 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration Configuration de proxy Méthodes de configuration de proxy 9 3 Cliquez sur l'onglet Connexions. Si vous avez des entrées dans Paramètres d'accès commuté et de réseau privé virtuel, vous devez également configurer ces entrées pour le proxy. a Sélectionnez le paramètre de réseau privé virtuel (VPN) que vous souhaitez configurer et cliquez sur Paramètres. b Sélectionnez Utiliser un serveur proxy pour cette connexion. 10 Si vous utilisez WDS Connector : a Saisissez le nom de domaine complet (de préférence) ou le nom du serveur DNS pouvant être résolu correspondant au serveur sur lequel WDS Connector est installé. b Dans le champ Port, saisissez 3128. 11 Si vous n'utilisez pas WDS Connector, McAfee vous conseille de sélectionner Contourner le serveur proxy pour les adresses locales. Saisissez le proxy fourni dans votre kit d'activation. 12 Dans le champ Port, saisissez la valeur de port 8080. Méthodes de configuration de proxy Pour configurer les proxys sur l'ordinateur des utilisateurs finaux de votre entreprise, vous pouvez utiliser un fichier PAC ou un script WPAD. Dans un environnement Windows, vous pouvez configurer une stratégie de groupe qui applique la configuration de proxy à tous les ordinateurs des utilisateurs finaux. Pour plus d'informations sur la fonctionnalité de stratégie de groupe, consultez la documentation de Microsoft correspondant à votre version de Windows. Configuration automatique du fichier Mozilla.cfg via un script de connexion Voici l'une des manières que vous pouvez choisir pour fournir ce fichier et modifier le fichier all.js via un script de connexion. Le script de connexion vérifie d'abord que Firefox est bien installé, puis il vérifie la présence du fichier Mozilla.cfg. Si Firefox est installé mais le fichier Mozilla.cfg n'existe pas, il se recopie dans le fichier et il modifie le fichier all.js en ajoutant une nouvelle ligne, puis en ajoutant la commande pref au fichier all.js, pour qu'il sache qu'il faut chercher le fichier Mozilla.cfg. Tout ce que ce script effectue est écrit dans un fichier journal pour que vous puissiez en connaître tous les détails, McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 13 3 Configuration de proxy Méthodes de configuration de proxy que l'installation ait réussi ou non. Il n'y a aucune conséquence pour l'utilisateur. La prochaine fois qu'il fermera et ouvrira le navigateur, il sera enfermé dans votre configuration de proxy. Procédure 1 Copiez le fichier Mozilla.cfg sur un lecteur partagé auxquels tous les utilisateurs ont accès sur votre réseau (en lecture seule). 2 Modifiez votre script de connexion de la manière suivante : N'oubliez pas de modifier \\server\share et de le remplacer par le nom de votre serveur et de votre dossier partagé. :: Firefox Proxy Config file drop and all.js adjustment GOTO Check :Check :: First check to see if Firefox is installed, then see if the config file is there IF NOT EXIST "C: \Program Files\Mozilla Firefox" GOTO Lognofirefox IF NOT EXIST "C:\Program Files\Mozilla Firefox\mozilla.cfg" GOTO Update IF NOT EXIST "C:\Program Files\Mozilla Firefox\mozilla .cfg" GOTO Update GOTO Logalreadyinstalled GOTO End :Update :: Drop the config file and adjust all.js copy \\server\share\mozilla.cfg C:\Program Files\Mozilla Firefox :: ::C reate a new line at the bottom of the all.js file ECHO. >> "C:\Program Files\Mozilla Firefox\greprefs\all.js" :: ::Add a pref to point to the new CFG file to the end of all .js ECHO pref(general.config.filename, mozilla.cfg); >> C:\Program Files\Mozilla Firefox \greprefs\all.js GOTO Loginstalled :Lognofirefox Echo %date% %time% user %username% on %computername% does not have FireFox installed >> \\server\share \log.txt GOTO End :Logalreadyinstalled Echo %date% %time% user %username% on %computername% already has mozilla.cfg downloaded >> \\server\share\log.txt GOTO End :Loginstalled Echo %date% %time% user %username% on %computername% SUCCESS!! FireFox Proxy installed! >> \\server\share\log.txt GOTO End :End ::All done! Testez toujours le script de connexion sur un ou deux ordinateurs avant de le lancer en production. Sur les ordinateurs que vous ne souhaitez pas verrouiller, ajoutez manuellement le fichier Mozilla.cfg mais ne mettez pas à jour le fichier all.js. Ainsi, le script ignorera cet ordinateur et supposera qu'il a déjà été mis à jour. Création d'un fichier PAC ou WPAC Les fichiers PAC ou WPAC sont de simples fichiers hébergés sur un serveur web interne qui utilisent JavaScript pour dire au navigateur ce qu'il doit faire avant d'essayer de charger une page web. L'avantage des fichiers PAC et WPAD est qu'ils vous aident à rendre la configuration de votre proxy plus intelligente pour qu'elle puisse s'adapter si l'ordinateur n'est pas connecté au réseau ou si le proxy est à l'arrêt. Vous pouvez également décider des sites qui seront soumis ou pas au proxy pour que les sites web qui sont critiques pour l'entreprise ne soient jamais affectés par le proxy. Configuration WPAD Lorsque vous utilisez le protocole WPAD, le navigateur visera d'abord DHCP pour lui donner l'emplacement des informations de votre fichier wpad.dat. S'il ne parvient pas à le trouver dans DHCP, il visera DNS avant d'essayer Internet. Vous devrez configurer le serveur DHCP pour fournir cette information. Ajoutez l'Option 252 à DHCP 14 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 3 Configuration de proxy Méthodes de configuration de proxy Procédure 1 Sur le serveur d'exécution de DHCP (ou en utilisant la console MMC sur votre ordinateur), sélectionnez Démarrer | Programmes | Outils d'administration | DHCP. 2 Faites un clic droit sur le serveur DHCP que vous souhaitez modifier et sélectionnez Définir les options prédéfinies. 3 Localisez 252. Si l'option n'existe pas : a Cliquez sur Ajouter pour ajouter une nouvelle option. b Dans le champ Nom d'option, saisissez WPAD. c Dans le champ Code, saisissez 252. d Dans le champ de données, saisissez la chaîne sélectionnée et cliquez sur OK. 4 Dans la liste déroulante Nom d'option, sélectionnez 252 WPAD. 5 Dans le champ Chaîne de caractères, entrez http://mywebserver/wpad.dat Où mywebserver est le nom du serveur web que vous avez placé dans votre fichier de configuration wpad.dat. Cette chaîne doit être en minuscules. 6 Cliquez sur OK. Suite à cette modification, ces informations WPAD seront publiées avec chaque nouvelle adresse IP. Vérifiez donc qu'elles sont correctes dans le serveur DHCP, que le script fonctionne et veillez à libérer/renouveler votre adresse IP pour pouvoir la tester après avoir cliqué sur OK. Une fois que vous avez effectué les étapes ci-dessus pour ajouter l'Option 252 à votre Serveur DHCP, vous pouvez choisir de l'appliquer à l'ensemble de votre serveur DHCP ou à certaines étendues uniquement, ou les deux. 7 Faites un clic droit sur Options de serveur et sélectionnez Configurer les options. Cette étape doit se faire en minuscules. 8 Sélectionnez Option 252 Vérifiez que les informations du serveur web, le port et le nom de fichier sont corrects. Tout doit être en minuscules. 9 Cliquez sur OK. 10 Ouvrez l'étendue en question. 11 Faites un clic droit sur Options d'étendue et cliquez sur Configurer les options. 12 Sélectionnez Option 252 13 Remplissez le nom du serveur avec le nom de votre serveur web, le port et le fichier wpad.dat. Ces entrées doivent être en minuscules. 14 Cliquez sur OK. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 15 3 Configuration de proxy Méthodes de configuration de proxy Configuration de DNS pour un script WPAD Internet Explorer visera l'Option DHCP 252 si l'option Détecter automatiquement est sélectionnée ; vous pouvez donc vous demander pourquoi nous vous conseillons d'effectuer également cette modification pour le DNS. Il y a plusieurs raisons à cela : • Vous souhaitez que votre fichier de configuration de proxy fonctionne sur des ordinateurs qui ont une adresse IP statique. • Vous avez d'autres navigateurs, comme Firefox, qui préfèrent une entrée DNS plutôt que DHCP. • Vous pensez que votre paramètre de détection automatique va forcer le navigateur à chercher un fichier de configuration coûte que coûte, même dans un mauvais domaine. Par exemple, si vous avez choisi l'option Détecter automatiquement le proxy dans votre navigateur, mais que votre navigateur ne peut pas trouver le fichier wpad.dat pour dallas.mydomain.com, il cherchera les informations wpad dans wpad.mydomain.com puis dans wpad.com avant d'abandonner. S'il les trouve, il exécutera le script trouvé dans l'un de ces domaines, ce qui crée un problème de sécurité et de configuration évident. Nous devons supposer que vous souhaitez fournir des informations WPAD pour votre domaine local. Donc, si votre domaine local est mydomain.info, vous devez modifier le serveur DNS de mydomain.info et ajouter un enregistrement cname appelé WPAD qui pointe vers le serveur web contenant le fichier. Procédure 1 Démarrez DNS dans la console MMC en allant dans les outils d'administration du contrôleur de domaine qui héberge votre DNS. 2 Développez Zones de recherche directe. 3 Faites un clic droit sur votre zone de recherche directe et sélectionnez Nouvel alias (CNAME) 4 Dans le champ Alias, saisissez WPAD. 5 Saisissez le nom de domaine complet du serveur qui héberge votre fichier WPAD. 6 Cliquez sur OK. 7 Cliquez sur OK. Effectuez le test en choisissant l'option Détecter automatiquement dans Internet Explorer. Lorsque votre navigateur trouve une page appelée wpad.yourdomain.com, les informations de votre proxy sont mises à jour automatiquement. 8 16 Après avoir suivi les instructions de configuration DNS et DHCP ci-dessous, configurez votre navigateur pour détecter automatiquement les paramètres de proxy. a Lancez Internet Explorer. b Sélectionnez Outils | Options. c Cliquez sur l'onglet Connexions. d Sélectionnez Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire. e Sélectionnez Détecter automatiquement les paramètres. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration Configuration de proxy Méthodes de configuration de proxy 3 Configuration d'un serveur web pour utiliser un fichier PAC ou WPAD Pour utiliser un fichier PAC ou WPAD pour configurer vos serveurs proxy, vous devez configurer plusieurs éléments de votre réseau. Avant de commencer Le fichier PAC est bien plus simple que la configuration WPAD car, avec le fichier PAC, vous dites au navigateur où se trouve le fichier ; il suffit donc de le placer à la racine d'un serveur web et de dire au serveur comment il doit le charger. Par contre, la configuration WPAD utilise DHCP et DNS pour déterminer où se trouve le fichier si le navigateur de l'utilisateur utilise Détecter automatiquement les paramètres ; vous devez donc placer le fichier dans un serveur web et mettre à jour DHCP et DNS pour que le navigateur sache où il doit chercher. Les fichiers PAC et WPAD doivent être placés sur un serveur web. Nous conseillons vivement d'utiliser un serveur web interne plutôt qu'un serveur d'accès Internet ; nous conseillons également de rendre ce fichier accessible en lecture seule pour éviter qu'un pirate informatique ne redirige tout votre trafic Internet vers son site de logiciel espion (spyware) préféré. Pour en savoir plus sur tous les problèmes de sécurité possibles lors de l'utilisation d'un fichier PAC ou du protocole WPAD, consultez la page http://www.microsoft.com/technet/security/advisory/945713.mspx. Procédure 1 Copiez votre fichier proxy.pac dans le répertoire de documents racine de votre serveur web. • Il doit être dans le répertoire de documents racine ; • Il doit s'agir du serveur virtuel par défaut ou du serveur virtuel actif ; • Le nom de fichier doit être en minuscules. 2 Ajoutez une entrée MIME à la configuration de vos serveurs web pour qu'il sache comment ouvrir le fichier. 3 Ouvrez Gestionnaire des services Internet (IIS) sur le serveur web. 4 Pour ajouter un type MIME, faites un clic droit sur le site web. 5 Cliquez sur Propriétés. 6 Dans l'onglet En-têtes HTTP, cliquez sur Type MIME. 7 Cliquez sur Nouveau. 8 Dans le champ Extension, saisissez l'extension du nom de fichier extension: pac a Dans le champ Types MIME, saisissez : application/x‑javascript‑config b Cliquez sur OK, puis redémarrez le service IIS (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). Procédures • Configuration de serveurs web pour Apache version 1.x, page 18 Pour configurer les serveurs web pour Apache 1.x, suivez les étapes ci-dessous. • Configuration de navigateurs web pour Apache version 2.x, page 19 Pour configurer les serveurs web pour Apache 2.x, suivez les étapes ci-dessous. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 17 3 Configuration de proxy Méthodes de configuration de proxy Configuration de serveurs web pour Apache version 1.x Pour configurer les serveurs web pour Apache 1.x, suivez les étapes ci-dessous. Procédure 1 Modifiez /etc/apache/httpd.conf 2 Ajoutez AddType application/x‑javascript‑config pac 3 Modifiez /etc/apache2/mods-available/mime.conf. 4 Ajoutez AddType application/x‑javascript‑config pac Redémarrez le serveur Apache Web Server (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). 5 Effectuez le test en ouvrant http://yourwebserver.domain.com/proxy.pac. Si votre navigateur web vous demande comment vous souhaiteriez ouvrir le fichier proxy.pac, c'est que vous avez réalisé correctement cette étape. Configurez votre navigateur pour pointer vers le fichier proxy.pac dans Internet Explorer en réalisant les étapes ci-dessous : a Cliquez sur Outils | Options. b Cliquez sur l'onglet Connexions. c Cliquez sur Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire, puis définissez les paramètres pour configurer un VPN. d Dans le champ Script de configuration automatique, saisissez l'URL de votre serveur web. Configuration de serveur web pour un fichier WPAD.DAT : 6 Copiez le fichier wpad.dat dans le répertoire de documents racine de votre serveur web. a Il doit être dans le répertoire de documents racine et pas dans un sous-site ou dans un sous-répertoire. b Il doit s'agir du serveur virtuel par défaut ou du serveur virtuel actif. c Ce DOIT être un nom de fichier en minuscules ; WPAD.dat ne fonctionnera pas mais wpad.dat fonctionnera. 7 Ajoutez une entrée MIME à la configuration de vos serveurs web pour qu'il sache comment ouvrir le fichier. 8 Ouvrez Gestionnaire des services Internet (IIS) sur le serveur web. 9 Pour ajouter un type de contenu MIME, faites un clic droit sur le site web souhaité. 10 Cliquez sur Propriétés. 11 Dans l'onglet En-têtes HTTP, cliquez sur Types MIME. 12 Cliquez sur Nouveau. 13 Dans le champ extension, saisissez l'extension du nom de fichier : pac. 18 a Dans la zone Type MIME, saisissez : application/x-javascript-config. b Cliquez sur OK, puis redémarrez le service IIS (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). McAfee SaaS Web Protection Service 8.5.0 Guide de configuration Configuration de proxy Méthodes de configuration de proxy 3 Configuration de navigateurs web pour Apache version 2.x Pour configurer les serveurs web pour Apache 2.x, suivez les étapes ci-dessous. Procédure 1 Modifiez /etc/apache2/mods‑available/mime.conf 2 Ajoutez la ligne suivante : (dat for wpad, pac for .pac) a Ajoutez Type application/x-javascript-config dat b Redémarrez le serveur Apache Web Server (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). 3 Effectuez le test en ouvrant http://webserver/wpad.dat avec votre navigateur Internet. Si votre navigateur web vous demande comment vous souhaiteriez ouvrir le fichier wpad.dat (par exemple, avec Notepad), c'est que vous avez réalisé correctement cette étape. 4 Après avoir suivi les instructions de configuration DNS et DHCP ci-dessous, configurez votre navigateur pour détecter automatiquement les paramètres de proxy. a Lancez Internet Explorer. b Sélectionnez Outils | Options. c Cliquez sur l'onglet Connexions. d Cliquez sur Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire. e Sélectionnez Détecter automatiquement les paramètres. Exemple basique de fichier WPAD ou PAC Vous trouverez ci-dessous un exemple basique de fichier PAC ou WPAD. Exemple de fichier WPAD ou PAC function FindProxyForURL(url, host) { return "PROXY proxyserver.example.com:3128” } En supposant que votre serveur Internet Information Server ou Apache Web Server et Internet Explorer sont configurés correctement (nous en reparlerons ci-dessous), votre navigateur exécutera ce script et saura qu'il doit chercher le serveur proxy sur le port 3128, lorsqu'il essaie de charger une page web. S'il ne le trouve pas, il enverra le navigateur directement sur Internet. C'était un exemple plutôt simple. Que faire si vous voulez que votre fichier proxy ignore votre réseau local et votre ordinateur ? Fichier WPAD ou PAC qui ne passe pas par l'hôte ou le réseau local function FindProxyForURL(url, host) { function FindProxyForURL(url, host) { if ( isPlainHostName(host) || localHostOrDomainIs(host, "127.0.0.1")|| isInNet(host, "10.0.0.0", "255.0.0.0")) return "DIRECT"; else return ""PROXY proxyserver.example.com:3128"; } Si vous souhaitez configurer votre fichier PAC pour qu'il ignore certains sites web spécifiques, ajoutez shExpMatch(url,”www.myspecificsitenottoproxy.com). Reportez-vous à l'exemple suivant. Fichier WPAD ou PAC qui ignore des sites web spécifiques function FindProxyForURL(url, host) { if ( isPlainHostName(host) || localHostOrDomainIs(host , "127.0.0.1")|| isInNet(host, 10.0.0.0", "255.0.0.0) shExpMatch(url, "*.yourcompanyname .*")) // Ne pas passer par mxlogic.* return DIRECT; else return ""PROXY proxyserver.example .com:3128"; } McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 19 3 Configuration de proxy Méthodes de configuration de proxy Enfin, si vous voulez configurer votre serveur proxy pour qu'il agisse intelligemment lorsqu'il ne trouve pas le proxy, vous pouvez fournir plusieurs proxys ou simplement lui demander de rejoindre directement Internet. .... else return PROXY proxyserver.example.com:3128; proxy domain.com.web02.mxlogic.net: 8080; DIRECT; } Dans cet exemple, nous demandons au navigateur d'essayer le proxy local. S'il échoue, il essaie d'accéder directement à McAfee pour trouver le proxy. S'il &choue, il va directement sur Internet. Il existe de nombreuses options pour les fichiers PAC et WPAD. Microsoft Technet en propose plusieurs dans son article à l'adresse http://technet.microsoft.com/en-us/library/dd361918.aspx. Vous pouvez également trouver un article intéressant sur les différentes options de fichier PAC et WPAD à cette adresse : http://jcurnow.home.comcast.net/~jcurnow/WritingEffectivePACFiles.html Autres considérations Il est important de bien se rappeler qu'Internet Explorer n'offre aucune fonction de vérification d'erreurs pour les fichiers PAC ou WPAD. Si vous oubliez de fermer une accolade ou une parenthèse, ou si vous avez fait une faute dans le nom d'une commande, votre navigateur ne vous avertira pas. Il ira directement sur Internet. Donc, lorsque vous créez votre fichier PAC, le message « Aucun proxy » (si vous avez déjà vérifié qu'une connexion directe à votre proxy fonctionne) peut signifier que votre script comporte une erreur. Notez également que le navigateur peut mettre ce fichier en cache localement. Ainsi une modification du fichier PAC ou WPAD sur le serveur ne mènera pas forcément à un changement sur le client jusqu'à ce qu'il réinitialise sa configuration de proxy dans Internet Explorer ou dans Firefox. 20 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 4 Problèmes de configuration courants Pour commencer à déterminer le problème de votre configuration de proxy, saisissez manuellement votre nom de serveur et votre port dans la configuration de proxy d'Internet Explorer ou de Firefox. Fermez puis rouvrez le navigateur puis essayez d'accéder à une page web. Sommaire Vérification d'un paramètre de proxy codé en dur Vérification du nom de toutes les configurations en minuscules Vérification d'un paramètre de proxy codé en dur Si vous pouvez accéder à une page web, cela signifie que le proxy fonctionne. Si vous avez accès à http://endoftime.mcafee.com et que vous obtenez un message d'erreur de Web Protection Page introuvable, vous savez que vous êtes filtré par le service. Si vous ne pouvez pas ouvrir de page web, votre serveur proxy a un problème. Si vous pouvez accéder à une page web sans être filtré, cela signifie qu'un script ou qu'un autre élément de configuration automatique a été endommagé. Vérification du nom de toutes les configurations en minuscules Comme cela a été spécifié dans plusieurs sections ci-dessus, plusieurs configurations WPAD de DNS, DHCP ainsi que le nom de votre fichier wpad.dat nécessitent des minuscules dans la plupart des systèmes. Vérifiez soigneusement ces noms. Une mauvaise vérification des erreurs sous Internet Explorer et Firefox : Il est possible qu'Internet Explorer exécute un fichier proxy.pac ou wpad.dat, mais il ne vous avertira pas d'une erreur éventuelle. Il abandonnera simplement et ira directement sur Internet. Testez vos scripts en utilisant les alertes mentionnées sur la page http://jcurnow.home.comcast.net/~jcurnow/ WritingEffectivePACFiles.html. Divers bogues et erreurs Microsoft Consultez la page http://technet.microsoft.com/en-us/library/cc302643.aspx. Pare-feux Vos ordinateurs doivent pouvoir accéder à votre serveur proxy sur lequel WDS Connector est exécuté. Le routeur et les commutateurs de votre entreprise situés entre les clients et le serveur proxy doivent laisser les postes de travail et les ordinateurs portables communiquer avec le serveur proxy sur le port 3128. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 21 4 Problèmes de configuration courants Vérification du nom de toutes les configurations en minuscules Votre serveur proxy sur lequel McAfee WDS Connector est installé doit autoriser les connexions entrantes sur le port 3128. Votre serveur proxy sur lequel WDS Connector est installé doit autoriser un grand nombre de connexions sur le port 3128. Tout pare-feu ou configuration Windows qui limite les connexions peut réduire le nombre d'ordinateurs qui peuvent utiliser le proxy en même temps, ce qui mène à une situation où certains ordinateurs sont contrôlés par le proxy alors que d'autres ne le sont pas. Enfin, le serveur proxy doit pouvoir communiquer avec McAfee sur le port 3128 (squid) pour pouvoir filtrer les requêtes. Si un pare-feu de serveur ou un pare-feu frontière (routeur) bloque ce port, le proxy ne pourra pas fonctionner. Problèmes avec le service WDS Connector Vérifiez que le service WDS Connector est en cours d'exécution sur le serveur proxy. Dans un environnement WPAD, il est probable que les utilisateurs soient dirigés directement sur Internet si ce service est arrêté ou indisponible. Dans une configuration de proxy codé en dur ou dans un environnement PAC sans « DIRECT », l'arrêt du service Web Protection générera une erreur de page introuvable. Si vous utilisez d'autres méthodes d'authentification, assurez-vous que le port 8080 est ouvert aux connexions sortantes. Problèmes avec le contrôleur de domaine et les utilisateurs Votre serveur proxy sur lequel WDS Connector a été installé doit pouvoir communiquer avec le contrôleur de domaine spécifié pendant l'installation. Si ce contrôleur de domaine a été rejeté par le pare-feu, supprimé, désinstallé ou s'il n'est pas disponible, les utilisateurs obtiendront une erreur d'authentification. Dans ce cas, WDS Connector ne peut pas se tourner vers un autre contrôleur de domaine. Si vous devez réinitialiser ou travailler sur le contrôleur de domaine vers lequel WDS Connector pointe, nous vous conseillons d'arrêter d'abord le service du connecteur, si vous êtes dans un environnement PAC ou WPAD. Si vous êtes codé en dur sur ce serveur proxy, arrêter WDS Connector ou travailler sur le composant de domaine (DC) pourra causer une panne d'Internet. Problèmes relatifs aux utilisateurs du domaine de WDS Connector Le serveur proxy sur lequel WDS Connector a été installé doit pouvoir communiquer avec le contrôleur de domaine spécifié pendant l'installation, en utilisant le compte d'utilisateur spécifié pendant le processus de configuration. Si ce compte d'utilisateur a été supprimé, a expiré ou a été verrouillé, les utilisateurs obtiendront une erreur d'authentification. Utilisateur non configuré dans Control Console Si un utilisateur n'a pas été créé dans Control Console et qu'il essaie d'utiliser le proxy par le biais de WDS Connector, il obtiendra une erreur d'authentification. Tous les utilisateurs doivent être configurés avant l'installation de WDS Connector. Envisagez d'utiliser la synchronisation d'annuaire de McAfee pour mettre automatiquement à jour vos utilisateurs entre votre Active Directory et la Console McAfee. Mot de passe incorrect, compte verrouillé ou compte arrivé à expiration dans Active Directory WDS Connector consulte Active Directory pour trouver les informations de son utilisateur. Cependant, si cet utilisateur s'est connecté à un ordinateur localement, il recevra une invite de connexion avant de se connecter au réseau. De plus, si le compte Active Directory de cet utilisateur a expiré, est verrouillé ou a été supprimé, cet utilisateur sera invité à se connecter avant d'atteindre une page web et pourra recevoir une erreur d'authentification. 22 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration Problèmes de configuration courants Vérification du nom de toutes les configurations en minuscules 4 Connexions qui ne font pas partie du domaine Si un utilisateur se connecte localement sur un ordinateur portable ou sur un poste de travail, il recevra une invite de connexion avant de pouvoir accéder à un site web, comme s'il avait essayé d'accéder à une ressource du serveur. Problèmes liés aux programmes Certains programmes ne peuvent pas authentifier par NTLM ou n'aiment pas être gérés par un proxy et peuvent générer une invite de connexion plutôt qu'un message d'erreur pour l'utilisateur. C'est généralement le cas avec des applications Java non professionnelles. Parfois, on peut passer cette étape en cliquant plusieurs fois. D'autres fois, il est nécessaire qu'un administrateur annule la configuration automatique du proxy. Mises à jour Windows McAfee conseille l'utilisation de WSUS pour fournir les mises à jour à vos postes de travail et à vos ordinateurs portables. Si vous essayez d'aller sur update.microsoft.com, vous pourrez constater un blocage pendant la phase de détection et finalement vous obtiendrez un message d'erreur si vous passez par le proxy. Il s'agit d'une erreur connue du site de mise à jour de Microsoft Windows, y compris de leur propre serveur IAS et des serveurs proxy. La manière la plus rapide d'éviter ce problème est de désactiver Détecter automatiquement avant d'aller sur le site de mise à jour Windows. Une autre option consiste à exclure les serveurs de mise à jour Windows de votre fichier WPAD.DAT ou Proxy.pac. Pour cela, saisissez la commande shExpMatch (url, website) dans votre script pour éviter que les sites suivants ne soient gérés par le proxy : • http://download.windowsupdate.com • http://download.microsoft.com • https://*.windowsupdate.microsoft .com • http://windowsupdate.microsoft.com • http://*.windowsupdate.microsoft.com • http://ntservicepack.microsoft.com • http://*.update.microsoft.com • http://wustat.windows.com • http://*.download.windowsupdate.com • https://*.update.microsoft.com • http://update.microsoft.com • https://update.microsoft.com • http://*.windowsupdate.com Le site web qui parle de ce problème et qui propose une solution est http://support.microsoft.com/kb/ 885819 Configuration incorrecte du serveur web Testez l'ouverture de http://webserver/wpad.dat avec votre navigateur Internet. Si votre navigateur web vous demande comment vous souhaiteriez ouvrir le fichier wpad.dat (par exemple, avec Notepad), c'est que vous avez réalisé correctement cette étape. Erreurs de fichier PAC/WPAD Le fichier PAC comporte une fonction JavaScript. Les erreurs de syntaxe dans JavaScript empêcheront l'exécution du fichier PAC et ne configureront pas le proxy correctement. Le comportement par défaut de la plupart des navigateurs est de ne pas définir de proxy pour que le trafic soit dirigé directement vers Internet, sans filtrage. Pour tester les erreurs de syntaxe, utilisez un outil de validation JavaScript. Un outil simple est disponible à l'adresse http://javascriptlint.com/ McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 23 4 Problèmes de configuration courants Vérification du nom de toutes les configurations en minuscules online_lint.php. Copiez et collez le contenu du fichier PAC dans la zone de texte et exécutez le test. On peut généralement ignorer les avertissements, mais toute erreur de syntaxe ou toute autre erreur doit être corrigée pour que le fichier PAC fonctionne correctement. 24 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 5 Configuration d'ensembles de stratégies L'onglet Ensembles de stratégies répertorie la liste des stratégies de navigation web définies pour le client de l'entreprise donné, y compris les stratégies par défaut, et vous permet d'ouvrir l'onglet de configuration de stratégie pour modifier les stratégies. Ensembles de stratégies par défaut Il existe trois ensembles de stratégies par défaut que vous pouvez utiliser comme point de départ pour créer des ensembles de stratégies personnalisés : • La stratégie indulgente. Elle correspond à l'ensemble de stratégies le moins strict. • La stratégie modérée. Elle correspond à un ensemble de stratégies moyennement strict. • La stratégie stricte. Elle correspond à l'ensemble de stratégies le plus strict. Vous pouvez effectuer l'une des opérations suivantes : • Accepter les configurations de stratégies des ensembles de stratégies par défaut ; • Créer, mettre à jour ou supprimer des ensembles de stratégies personnalisés ; • Personnaliser ou supprimer un ensemble de stratégies par défaut. Pour en savoir plus sur la configuration de vos stratégies, sélectionnez Control Console | Web Protection | Stratégies. Cliquez sur Nouveau et suivez les instructions de la section Aide. Lien Planification de stratégies Le lien Planification de stratégies permet au client de définir des stratégies ou des règles différentes pour leurs utilisateurs, à des heures différentes de la journée ou pendant des jours différents dans la semaine. Par exemple, des sites différents peuvent être autorisés à l'heure du déjeuner et pendant les heures de travail. Pour définir les jours et les heures d'accès autorisé à des sites spécifiques, sélectionnez Control Console | Web Protection | Stratégies | Planification de stratégies et suivez les instructions de la section Aide. Analyses (post-mortem) L'onglet Analyses (post-mortem) web permet aux administrateurs de clients de consulter les données des journaux disponibles pour étudier leur service. Les administrateurs peuvent filtrer, trier et exporter des données du journal pour déterminer spécifiquement ce que les utilisateurs on demandé, l'action qui en a résulté, l'usage de bande passante, la détection de virus, etc. Les données peuvent être filtrées par date, par utilisateur, par résultat ou selon d'autres paramètres, et elles peuvent être triées de manière appropriée. Cette fonction fournit à un client les données les plus précises sur le service Web Filtering. Pour en savoir plus sur la configuration de filtres ou de recherches triées dans Analyses (post-mortem), sélectionnez Control Console | Web Protection | Analyses (post-mortem). Suivez les instructions de la section Aide. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 25 5 Configuration d'ensembles de stratégies Analyses (post-mortem) 26 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 6 Optimisation de WDS Connector pour les installations plus grandes Pour les organisations de plus de 500 clients, McAfee conseille de configurer WDS Connector pour utiliser davantage d'enfants d'autorisation que le nombre de cinq défini par défaut. Configuration du proxy pour un grand nombre de clients La configuration pour un grand nombre de clients est réalisée dans le fichier de configuration squid (squid.conf) qui contrôle le comportement du proxy de WDS Connector. Utilisateurs qui ont un grand nombre de clients En utilisant un éditeur de texte quelconque (par exemple, notepad), ouvrez le fichier squid.conf (son emplacement par défaut est c:\program files\wds connector\wds connector proxy\etc\squid.conf), et remplacez auth_param ntlm children 5 par auth_param ntlm children 25 (Vérifiez qu'il n'y a pas de # avant la valeur). Vous devez redémarrer le service WDS Connector pour que les modifications soient prises en compte. Ce nombre peut atteindre 100 en toute sécurité. Celui-ci définit le nombre d'authentifications NTLM simultanées. McAfee SaaS Web Protection Service 8.5.0 Guide de configuration 27 6 Optimisation de WDS Connector pour les installations plus grandes Configuration du proxy pour un grand nombre de clients 28 McAfee SaaS Web Protection Service 8.5.0 Guide de configuration A03