McAfee SaaS Web Protection Service 8.5.0 Guide de configuration

Transcription

Guide de configuration
Révision A
McAfee SaaS Web Protection Service 8.5.0
COPYRIGHT
Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
DROITS DE MARQUES
Intel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc.
ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.
INFORMATIONS DE LICENCE
Accord de licence
À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE
VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE
TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI
ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE
CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS
N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ
RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL
2
Sommaire
1
2
Introduction
5
Conditions requises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Configuration de SaaS Web Protection Service
7
Détermination de l'authentification auprès de Web Protection . . . . . . . . . . . . . . . . 7
Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) . . 9
Ajout des détails d'un utilisateur pour McAfee Client Proxy . . . . . . . . . . . . . . . . . . 9
WDS Connector (authentification transparente) . . . . . . . . . . . . . . . . . . . . . 10
Téléchargement de WDS Connector . . . . . . . . . . . . . . . . . . . . . . . 10
3
Configuration de proxy
11
Configuration d'un paramètre de proxy statique dans votre navigateur . . . . . . . . . . . .
Méthodes de configuration de proxy . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration automatique du fichier Mozilla.cfg via un script de connexion . . . . . . .
Création d'un fichier PAC ou WPAC . . . . . . . . . . . . . . . . . . . . . . . .
Configuration WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de DNS pour un script WPAD . . . . . . . . . . . . . . . . . . . .
Configuration d'un serveur web pour utiliser un fichier PAC ou WPAD . . . . . . . . . .
Exemple basique de fichier WPAD ou PAC . . . . . . . . . . . . . . . . . . . . .
4
Problèmes de configuration courants
12
13
13
14
14
16
17
19
21
Vérification d'un paramètre de proxy codé en dur . . . . . . . . . . . . . . . . . . . .
21
Vérification du nom de toutes les configurations en minuscules . . . . . . . . . . . . . . . 21
5
Configuration d'ensembles de stratégies
25
Analyses (post-mortem) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
Optimisation de WDS Connector pour les installations plus grandes
Configuration du proxy pour un grand nombre de clients . . . . . . . . . . . . . . . . .
25
27
27
3
Sommaire
4
1
Introduction
®
McAfee SaaS Web Protection Service fournit une protection en temps réel contre les menaces
générées par le Web et les contenus inappropriés, dans le périmètre du réseau, avant qu'ils ne
puissent entrer dans le réseau interne; Le trafic des navigateurs des utilisateurs est redirigé vers le
SaaS Web Protection Service. Au fur et à mesure de la réception de requêtes de contenu web, SaaS
Web Protection Service vérifie le contenu en accord avec les stratégies définies et, si l'option est
activée, cherche les vers et virus connus. Seul le contenu qui ne viole pas ces stratégies et ne
comporte pas de menaces connues est renvoyé à l'utilisateur. Vous pouvez activer ou désactiver des
stratégies de contenu web spécifiques dans Control Console, l'interface graphique complète de SaaS
Web Protection Service.
Conditions requises
Une fois que vous avez défini vos stratégies de filtrage de contenu web dans Control Console, Web
Protection redirigera le trafic web de l'entreprise vers un serveur proxy pour initier la protection.
Avant d'utiliser Web Protection Service, il est impératif d'effectuer les opérations suivantes :
•
S'inscrire à Web Protection ;
•
Créer un client ;
•
Créer un domaine.
Vous pouvez envisager de mettre en œuvre la fonctionnalité d'intégration de répertoire dans la gestion
des comptes avant d'utiliser WDS Connector. Ainsi, vous augmenterez sérieusement les chances de faire
correspondre les adresses e-mail de l'utilisateur dans Active Directory et dans Control Console.
Pour en savoir plus sur les environnements pris en charge par Web Protection, consultez les dernières notes
de publication.
5
1
Introduction
Conditions requises
6
2
Configuration de SaaS Web Protection
Service
SaaS Web Protection Service (Web Protection) arrête les menaces avant qu'elles n'atteignent le réseau
de l'entreprise. Une fois les stratégies de filtrage de Web Protection définies, le trafic web doit être
redirigé vers un serveur proxy, puis la protection est initiée. Les sessions web de l'utilisateur final sont
également systématiquement filtrées par Web Protection afin de bloquer les virus et les logiciels
espions (spyware) avant qu'ils n'atteignent le réseau, si le service contre les menaces a été acheté.
Sommaire
Détermination de l'authentification auprès de Web Protection
Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente)
Ajout des détails d'un utilisateur pour McAfee Client Proxy
WDS Connector (authentification transparente)
La fenêtre Contrôles d'accès vous permet de définir la manière selon laquelle les utilisateurs
s'authentifient lorsqu'ils accèdent au Web. Vous pouvez par exemple enregistrer une liste
d'adresses IP acceptées par votre entreprise.
Choisissez l'un des quatre mécanismes fournis pour être autorisé à utiliser le système Web Protection :
Si nécessaire, on peut combiner plusieurs authentifications.
Authentification de l'intervalle d'adresses IP
Avantages :
•
Ne nécessite aucune connexion de l'utilisateur ;
•
Aucun mot de passe à gérer pour les utilisateurs ;
•
Aucun logiciel à installer ;
•
Peut être déployé en bordure de réseau par le biais du routage.
Inconvénients :
•
Les stratégies de groupe ne peuvent pas être appliquées (tous les utilisateurs ont la même
stratégie) ;
•
Aucun rapport individuel ; tous les rapports sont regroupés pour l'adresse IP externe.
Authentification d'utilisateur explicite
Avantages :
7
2
•
Les stratégies de groupe peuvent être appliquées (les utilisateurs peuvent avoir des stratégies
différentes) ;
•
Les rapports individuels se font pour chaque utilisateur ;
•
Aucun logiciel à installer.
Inconvénients :
•
Nécessite que les utilisateurs se connectent à chaque session de navigateur ;
•
Les mots de passe doivent être gérés et/ou authentifiés auprès du serveur de l'entreprise.
Authentification transparente (WDS Connector)
Lorsque vous utilisez WDS Connector, il est conseillé de suivre quelques bonnes pratiques.
•
Dans la plupart des cas, McAfee conseille de placer WDS Connector sur un serveur dédié. Bien que
cela ne soit pas une obligation pour les petits clients, un serveur dédié minimise la probabilité
d'interférence d'un autre processus avec WDS Connector.
•
McAfee conseille de désinstaller ou de désactiver les logiciels non essentiels du serveur sur lequel
WDS Connector est installé.
Avantages :
•
•
Aucun mot de passe à gérer pour les utilisateurs dans le système Web Protection ;
•
différentes) ;
•
Les rapports individuels se font pour chaque utilisateur.
Inconvénients :
•
Nécessite l'installation d'un logiciel sur l'infrastructure de l'entreprise ;
•
Nécessite Active Directory et l'authentification NTLM pour reconnaître les utilisateurs ;
•
Nécessite que chaque utilisateur possède une adresse e-mail dans Active Directory, correspondant
à une adresse e-mail dans Control Console ;
•
Nécessite que les utilisateurs se connectent au domaine de manière interactive ;
•
Nécessite de router tout le trafic du navigateur par WDS Connector.
McAfee Client Proxy (MCP)
Le McAfee Client Proxy est un agent Windows qui redirige directement le trafic HTTP et HTTPS vers les
serveurs SaaS Web Protection. McAfee Client Proxy peut être configuré pour :
•
Toujours rediriger pour garantir une protection constante à partir du cloud ;
•
Rediriger lorsque l'utilisateur se trouve hors du réseau de l'entreprise, pour une protection
itinérante.
Le McAfee Client Proxy transmet des informations chiffrées au cloud sur l'utilisateur individuel,
l'appartenance aux groupes pour les utilisateurs et les détails du compte client. Le système identifie
automatiquement l'utilisateur, le groupe ou le client pour appliquer la stratégie appropriée.
Avantages :
8
•
•
Aucun mot de passe à gérer pour les utilisateurs dans le système Web Protection ;
Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente)
2
•
différentes) ;
•
Les rapports individuels se font pour chaque utilisateur ;
•
Peut être configuré pour éviter la désactivation de l'agent ;
•
Fonctionne au niveau du réseau pour tous les navigateurs et pour toutes les autres requêtes HTTP
ou HTTPS.
Inconvénients :
•
Ne fonctionne que sous Windows ;
•
Nécessite le déploiement sur le poste client (poste de travail ou ordinateur portable) ;
•
N'existe qu'en langue anglaise.
Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite
ou authentification transparente)
Gestion des comptes est un ensemble de pages d'administration vous permettant de configurer et de
gérer depuis un emplacement unique les entités de Web Protection Service. C'est une option de
McAfee Client Proxy.
Ces entités sont les suivantes :
•
Domaines
•
Utilisateurs
•
Autres administrateurs, notamment autres administrateurs de client, administrateurs de domaine,
gestionnaires de quarantaine et gestionnaires de rapports
En outre, utilisez Gestion des comptes pour l'administration des groupes d'utilisateurs partageant une
stratégie de filtrage des e-mails commune. Pour configurer les utilisateurs qui utiliseront Web
Protection Services, téléchargez le Guide de l'administrateur de la Gestion des comptes et suivez les
instructions.
1
Allez sur la page http://www.mcafeesaas.com
2
Connectez-vous si nécessaire.
3
Cliquez sur Documents de référence.
4
Cliquez sur Guide de l'administrateur de la Gestion des comptes.
Ajout des détails d'un utilisateur pour McAfee Client Proxy
McAfee Client Proxy peut être utilisé sans avoir besoin de définir des noms d'utilisateurs. Control
Console fait correspondre les noms d'utilisateurs avec les informations de domaine/nom de l'utilisateur
de Windows fournies par McAfee Client Proxy.
Control Console propose un utilitaire pour faire correspondre les noms d'utilisateurs aux utilisateurs de
messagerie qui ont été créés.
9
2
Procédure
1
Accédez à Web Protection | Stratégies | Stratégies McAfee Client Proxy.
2
Cliquez sur Utilitaire d'identification des utilisateurs MCP
Cet utilitaire fait automatiquement correspondre les noms d'utilisateurs d'Active Directory aux
comptes de messagerie de Control Console.
Si aucun nom d'utilisateur n'est fourni, l'utilitaire McAfee Client Proxy utilise les informations
spécifiques du groupe ou du client pour déterminer la stratégie à utiliser pour le filtrage.
WDS ConnectorSM, qui est une amélioration de SaaS Web Protection Service (Web Protection), permet
aux utilisateurs d'accéder au web par le biais de Web Protection en utilisant leurs informations
d'identification de domaine du réseau local. Cette fonction, aussi appelée authentification
transparente, élimine la nécessité d'authentifier un utilisateur, pour Web Protection, à chaque fois qu'il
ouvre un navigateur. A la place, Web Protection valide automatiquement l'utilisateur lorsque celui-ci
ouvre un navigateur. Les administrateurs du service Web Protection peuvent continuer à appliquer des
stratégies de groupe aux utilisateurs et à suivre les utilisations web individuelles, les menaces, etc.
Téléchargement de WDS Connector
Téléchargez le logiciel WDS Connector pour que vous puissiez l'installer et commencer à l'utiliser.
Procédure
1
Cliquez sur l'onglet Web Protection | Configuration.
2
Cliquez sur le lien WDS Connector.
3
Cliquez sur Télécharger WDS Connector pour télécharger et installer le logiciel WDS Connector.
Si l'accès à Control Console s'effectue à partir d'un serveur Windows utilisé comme serveur proxy
de WDS Connector, vous pouvez exécuter l'installation du logiciel lorsque vous le téléchargez. Dans
ce cas, cliquez sur Exécuter lorsque la première fenêtre du programme d'installation s'affiche.
Si l'accès à Control Console s'effectue à partir d'un ordinateur qui n'est pas le serveur proxy de
WDS Connector, vous devez enregistrer le logiciel sur une clé USB, sur un CD-ROM ou sur un autre
support, le transférer sur le serveur proxy de WDS Connector et l'installer.
10
3
Après avoir configuré Web Protection, vous devrez configurer vos clients pour utiliser le proxy. Il existe
quatre manières de le faire :
•
Configurez manuellement les clients pour qu'ils pointent vers Web Protection et/ou WDS Connector
en utilisant les paramètres de proxy d'Internet Explorer ou de Firefox. C'est une méthode efficace
pour forcer les ordinateurs à pointer vers Web Protection. Cependant, le problème principal de
cette configuration réside dans son manque de flexibilité ; elle n'est donc conseillée que pour les
petits sites ou pour les sites dont la plupart des utilisateurs utilisent des postes de travail et non
des ordinateurs portables. De plus, toute configuration de l'ordinateur local comporte le risque que
l'utilisateur revienne à sa configuration antérieure dès que le personnel informatique a tourné le
dos. Nous parlerons également de la manière de verrouiller Internet Explorer et Firefox pour que
l'utilisateur ne puisse pas facilement modifier ou supprimer les paramètres de proxy.
•
Utilisez un fichier PAC pour écrire sous forme de script la manière selon laquelle le navigateur web
d'un utilisateur va trouver et utiliser les serveurs proxy web sur votre réseau. Configurer
manuellement des clients par un codage en dur du proxy peut s'avérer très problématique pour les
utilisateurs d'ordinateurs portables, car ce proxy ne sera pas disponible s'ils ne sont pas connectés
au réseau de l'entreprise, soit par une connexion filaire, soit par un VPN. Un fichier PAC vous
permet de résoudre ce problème en contrôlant la direction que le navigateur prendra pour trouver
les informations de proxy et en ignorant même le proxy pour aller directement sur Internet si le
proxy est introuvable. L'utilisation des fichiers PAC offre également l'avantage de pouvoir définir ce
qui sera géré par le proxy et ce qui ne le sera pas. Par exemple, bien qu'il soit en général plus
prudent d'envoyer la navigation web générale vers Web Protection, vous ne voulez pas forcément
envoyer vos applications critiques basées sur le web vers un proxy. Avec un fichier PAC, vous
pouvez rendre plus intelligente la manière selon laquelle le navigateur de l'utilisateur redirige le
trafic.
•
Le protocole WPAD, qui nécessite peu ou pas de modifications au niveau du client, mais plutôt au
niveau du navigateur, utilise le paramètre Détecter automatiquement pour rechercher votre fichier de
configuration sur un serveur web. S'il ne peut pas trouver les paramètres ou le serveur WPAD, le
navigateur s'adapte rapidement et va directement sur Internet. Ce paramètre est de loin le plus
facile à mettre en œuvre au niveau du client, mais il demande plus d'attention de la part de
l'administrateur des systèmes car il nécessite de configurer les serveurs web, DHCP et DNS.
Heureusement, les formats des fichiers WPAD.DAT et PAC sont identiques et nous fournissons dans
cette section des exemples que vous pouvez copier et coller à volonté.
•
Si vous utilisez McAfee Client Proxy, la stratégie de configuration de McAfee Client Proxy détermine
la méthode et la destination de la redirection du trafic. Pour en savoir plus, consultez la
documentation de McAfee Client Proxy sur Control Console sous Web Protection | Configuration | McAfee
Client Proxy.
11
3
Configuration d'un paramètre de proxy statique dans votre navigateur
Procédures
•
Configuration d'un paramètre de proxy statique dans votre navigateur, page 12
Le codage en dur des paramètres d'Internet Explorer ou de Firefox fonctionne bien pour les
petits sites et pour les sites sur lesquels la plupart des ordinateurs sont des postes de
travail. Cependant, ce paramétrage ne fonctionne pas bien pour des utilisateurs
d'ordinateurs portables qui travaillent en local ou à distance car ils ne pourront pas avoir
accès à Internet s'ils ne peuvent pas se connecter au serveur proxy. De plus, il n'y a pas de
routage intelligent ou de reprise automatique si le proxy ne peut pas être atteint.
Sommaire
Configuration d'un paramètre de proxy statique dans votre navigateur
Méthodes de configuration de proxy
Configuration d'un paramètre de proxy statique dans votre
navigateur
Le codage en dur des paramètres d'Internet Explorer ou de Firefox fonctionne bien pour les petits sites
et pour les sites sur lesquels la plupart des ordinateurs sont des postes de travail. Cependant, ce
paramétrage ne fonctionne pas bien pour des utilisateurs d'ordinateurs portables qui travaillent en
local ou à distance car ils ne pourront pas avoir accès à Internet s'ils ne peuvent pas se connecter au
serveur proxy. De plus, il n'y a pas de routage intelligent ou de reprise automatique si le proxy ne
peut pas être atteint.
Avant de commencer
Cette configuration suppose que le client et le serveur ne sont pas configurés pour bloquer
le port 3128 et/ou le port 8080.
Procédure
1
Lancez Internet Explorer.
2
Cliquez sur Outils | Options.
3
Cliquez sur l'onglet Connexions.
4
Cliquez sur Paramètres du réseau local.
5
Sélectionnez Utiliser un serveur proxy pour votre réseau local. Si vous utilisez WDS Connector :
a
Saisissez le nom de domaine complet (de préférence) ou le nom du serveur DNS pouvant être
résolu correspondant au serveur sur lequel WDS Connector est installé.
b
Dans le champ Port, saisissez 3128.
6
Saisissez l'entrée de proxy fournie dans le kit d'activation que vous avez reçu lors de la
configuration.
7
dans le champ Port, saisissez 8080.
8
Sélectionnez Contourner le serveur proxy pour les adresses locales.
Lorsque vous avez terminé, le serveur proxy doit ressembler à l'exemple suivant :
où serveur proxy est le nom du serveur sur lequel vous avez installé WDS Connector. McAfee
conseille d'utiliser un nom de domaine complet comme proxyserver.yourdomain.com plutôt qu'un
simple nom de serveur.
12
9
3
Cliquez sur l'onglet Connexions. Si vous avez des entrées dans Paramètres d'accès commuté et de réseau privé
virtuel, vous devez également configurer ces entrées pour le proxy.
a
Sélectionnez le paramètre de réseau privé virtuel (VPN) que vous souhaitez configurer et cliquez
sur Paramètres.
b
Sélectionnez Utiliser un serveur proxy pour cette connexion.
10 Si vous utilisez WDS Connector :
a
Saisissez le nom de domaine complet (de préférence) ou le nom du serveur DNS pouvant être
résolu correspondant au serveur sur lequel WDS Connector est installé.
b
Dans le champ Port, saisissez 3128.
11 Si vous n'utilisez pas WDS Connector, McAfee vous conseille de sélectionner Contourner le serveur proxy
pour les adresses locales. Saisissez le proxy fourni dans votre kit d'activation.
12 Dans le champ Port, saisissez la valeur de port 8080.
Pour configurer les proxys sur l'ordinateur des utilisateurs finaux de votre entreprise, vous pouvez
utiliser un fichier PAC ou un script WPAD.
Dans un environnement Windows, vous pouvez configurer une stratégie de groupe qui applique la
configuration de proxy à tous les ordinateurs des utilisateurs finaux. Pour plus d'informations sur la
fonctionnalité de stratégie de groupe, consultez la documentation de Microsoft correspondant à votre
version de Windows.
Configuration automatique du fichier Mozilla.cfg via un script
de connexion
Voici l'une des manières que vous pouvez choisir pour fournir ce fichier et modifier le fichier all.js via
un script de connexion. Le script de connexion vérifie d'abord que Firefox est bien installé, puis il
vérifie la présence du fichier Mozilla.cfg. Si Firefox est installé mais le fichier Mozilla.cfg n'existe pas, il
se recopie dans le fichier et il modifie le fichier all.js en ajoutant une nouvelle ligne, puis en ajoutant la
commande pref au fichier all.js, pour qu'il sache qu'il faut chercher le fichier Mozilla.cfg. Tout ce que ce
script effectue est écrit dans un fichier journal pour que vous puissiez en connaître tous les détails,
13
3
que l'installation ait réussi ou non. Il n'y a aucune conséquence pour l'utilisateur. La prochaine fois
qu'il fermera et ouvrira le navigateur, il sera enfermé dans votre configuration de proxy.
Procédure
1
Copiez le fichier Mozilla.cfg sur un lecteur partagé auxquels tous les utilisateurs ont accès sur votre
réseau (en lecture seule).
2
Modifiez votre script de connexion de la manière suivante :
N'oubliez pas de modifier \\server\share et de le remplacer par le nom de votre serveur et de votre
dossier partagé.
:: Firefox Proxy Config file drop and all.js adjustment GOTO Check :Check :: First check
to see if Firefox is installed, then see if the config file is there IF NOT EXIST "C:
\Program Files\Mozilla Firefox" GOTO Lognofirefox IF NOT EXIST "C:\Program Files\Mozilla
Firefox\mozilla.cfg" GOTO Update IF NOT EXIST "C:\Program Files\Mozilla Firefox\mozilla
.cfg" GOTO Update GOTO Logalreadyinstalled GOTO End :Update :: Drop the config file and
adjust all.js copy \\server\share\mozilla.cfg C:\Program Files\Mozilla Firefox :: ::C
reate a new line at the bottom of the all.js file ECHO. >> "C:\Program Files\Mozilla
Firefox\greprefs\all.js" :: ::Add a pref to point to the new CFG file to the end of all
.js ECHO pref(general.config.filename, mozilla.cfg); >> C:\Program Files\Mozilla Firefox
\greprefs\all.js GOTO Loginstalled :Lognofirefox Echo %date% %time% user %username% on
%computername% does not have FireFox installed >> \\server\share \log.txt
GOTO End
:Logalreadyinstalled Echo %date% %time% user %username% on %computername% already has
mozilla.cfg downloaded >> \\server\share\log.txt GOTO End
:Loginstalled Echo %date% %time% user %username% on %computername% SUCCESS!! FireFox
Proxy installed! >> \\server\share\log.txt GOTO End :End ::All done!
Testez toujours le script de connexion sur un ou deux ordinateurs avant de le lancer en production.
Sur les ordinateurs que vous ne souhaitez pas verrouiller, ajoutez manuellement le
fichier Mozilla.cfg mais ne mettez pas à jour le fichier all.js. Ainsi, le script ignorera cet ordinateur
et supposera qu'il a déjà été mis à jour.
Création d'un fichier PAC ou WPAC
Les fichiers PAC ou WPAC sont de simples fichiers hébergés sur un serveur web interne qui utilisent
JavaScript pour dire au navigateur ce qu'il doit faire avant d'essayer de charger une page web.
L'avantage des fichiers PAC et WPAD est qu'ils vous aident à rendre la configuration de votre proxy
plus intelligente pour qu'elle puisse s'adapter si l'ordinateur n'est pas connecté au réseau ou si le
proxy est à l'arrêt. Vous pouvez également décider des sites qui seront soumis ou pas au proxy pour
que les sites web qui sont critiques pour l'entreprise ne soient jamais affectés par le proxy.
Configuration WPAD
Lorsque vous utilisez le protocole WPAD, le navigateur visera d'abord DHCP pour lui donner
l'emplacement des informations de votre fichier wpad.dat. S'il ne parvient pas à le trouver dans DHCP,
il visera DNS avant d'essayer Internet. Vous devrez configurer le serveur DHCP pour fournir cette
information.
Ajoutez l'Option 252 à DHCP
14
3
Procédure
1
Sur le serveur d'exécution de DHCP (ou en utilisant la console MMC sur votre ordinateur),
sélectionnez Démarrer | Programmes | Outils d'administration | DHCP.
2
Faites un clic droit sur le serveur DHCP que vous souhaitez modifier et sélectionnez Définir les options
prédéfinies.
3
Localisez 252. Si l'option n'existe pas :
a
Cliquez sur Ajouter pour ajouter une nouvelle option.
b
Dans le champ Nom d'option, saisissez WPAD.
c
Dans le champ Code, saisissez 252.
d
Dans le champ de données, saisissez la chaîne sélectionnée et cliquez sur OK.
4
Dans la liste déroulante Nom d'option, sélectionnez 252 WPAD.
5
Dans le champ Chaîne de caractères, entrez http://mywebserver/wpad.dat
Où mywebserver est le nom du serveur web que vous avez placé dans votre fichier de
configuration wpad.dat.
Cette chaîne doit être en minuscules.
6
Cliquez sur OK.
Suite à cette modification, ces informations WPAD seront publiées avec chaque nouvelle adresse IP.
Vérifiez donc qu'elles sont correctes dans le serveur DHCP, que le script fonctionne et veillez à
libérer/renouveler votre adresse IP pour pouvoir la tester après avoir cliqué sur OK. Une fois que
vous avez effectué les étapes ci-dessus pour ajouter l'Option 252 à votre Serveur DHCP, vous pouvez
choisir de l'appliquer à l'ensemble de votre serveur DHCP ou à certaines étendues uniquement, ou
les deux.
7
Faites un clic droit sur Options de serveur et sélectionnez Configurer les options.
Cette étape doit se faire en minuscules.
8
Sélectionnez Option 252
Vérifiez que les informations du serveur web, le port et le nom de fichier sont corrects.
Tout doit être en minuscules.
9
Cliquez sur OK.
10 Ouvrez l'étendue en question.
11 Faites un clic droit sur Options d'étendue et cliquez sur Configurer les options.
12 Sélectionnez Option 252
13 Remplissez le nom du serveur avec le nom de votre serveur web, le port et le fichier wpad.dat.
Ces entrées doivent être en minuscules.
14 Cliquez sur OK.
15
3
Configuration de DNS pour un script WPAD
Internet Explorer visera l'Option DHCP 252 si l'option Détecter automatiquement est sélectionnée ; vous pouvez
donc vous demander pourquoi nous vous conseillons d'effectuer également cette modification pour le
DNS. Il y a plusieurs raisons à cela :
•
Vous souhaitez que votre fichier de configuration de proxy fonctionne sur des ordinateurs qui ont
une adresse IP statique.
•
Vous avez d'autres navigateurs, comme Firefox, qui préfèrent une entrée DNS plutôt que DHCP.
•
Vous pensez que votre paramètre de détection automatique va forcer le navigateur à chercher un
fichier de configuration coûte que coûte, même dans un mauvais domaine.
Par exemple, si vous avez choisi l'option Détecter automatiquement le proxy dans votre navigateur, mais
que votre navigateur ne peut pas trouver le fichier wpad.dat pour dallas.mydomain.com, il
cherchera les informations wpad dans wpad.mydomain.com puis dans wpad.com avant
d'abandonner. S'il les trouve, il exécutera le script trouvé dans l'un de ces domaines, ce qui crée un
problème de sécurité et de configuration évident.
Nous devons supposer que vous souhaitez fournir des informations WPAD pour votre domaine
local. Donc, si votre domaine local est mydomain.info, vous devez modifier le serveur DNS de
mydomain.info et ajouter un enregistrement cname appelé WPAD qui pointe vers le serveur web
contenant le fichier.
Procédure
1
Démarrez DNS dans la console MMC en allant dans les outils d'administration du contrôleur de
domaine qui héberge votre DNS.
2
Développez Zones de recherche directe.
3
Faites un clic droit sur votre zone de recherche directe et sélectionnez Nouvel alias (CNAME)
4
Dans le champ Alias, saisissez WPAD.
5
Saisissez le nom de domaine complet du serveur qui héberge votre fichier WPAD.
6
Cliquez sur OK.
7
Cliquez sur OK.
Effectuez le test en choisissant l'option Détecter automatiquement dans Internet Explorer. Lorsque votre
navigateur trouve une page appelée wpad.yourdomain.com, les informations de votre proxy sont
mises à jour automatiquement.
8
16
Après avoir suivi les instructions de configuration DNS et DHCP ci-dessous, configurez votre
navigateur pour détecter automatiquement les paramètres de proxy.
a
b
Sélectionnez Outils | Options.
c
d
Sélectionnez Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire.
e
Sélectionnez Détecter automatiquement les paramètres.
3
Configuration d'un serveur web pour utiliser un fichier PAC ou
WPAD
Pour utiliser un fichier PAC ou WPAD pour configurer vos serveurs proxy, vous devez configurer
plusieurs éléments de votre réseau.
Avant de commencer
Le fichier PAC est bien plus simple que la configuration WPAD car, avec le fichier PAC, vous
dites au navigateur où se trouve le fichier ; il suffit donc de le placer à la racine d'un
serveur web et de dire au serveur comment il doit le charger. Par contre, la
configuration WPAD utilise DHCP et DNS pour déterminer où se trouve le fichier si le
navigateur de l'utilisateur utilise Détecter automatiquement les paramètres ; vous devez donc placer
le fichier dans un serveur web et mettre à jour DHCP et DNS pour que le navigateur sache
où il doit chercher.
Les fichiers PAC et WPAD doivent être placés sur un serveur web. Nous conseillons vivement d'utiliser
un serveur web interne plutôt qu'un serveur d'accès Internet ; nous conseillons également de rendre
ce fichier accessible en lecture seule pour éviter qu'un pirate informatique ne redirige tout votre trafic
Internet vers son site de logiciel espion (spyware) préféré. Pour en savoir plus sur tous les problèmes
de sécurité possibles lors de l'utilisation d'un fichier PAC ou du protocole WPAD, consultez la page
http://www.microsoft.com/technet/security/advisory/945713.mspx.
Procédure
1
Copiez votre fichier proxy.pac dans le répertoire de documents racine de votre serveur web.
•
Il doit être dans le répertoire de documents racine ;
•
Il doit s'agir du serveur virtuel par défaut ou du serveur virtuel actif ;
•
Le nom de fichier doit être en minuscules.
2
Ajoutez une entrée MIME à la configuration de vos serveurs web pour qu'il sache comment ouvrir le
fichier.
3
Ouvrez Gestionnaire des services Internet (IIS) sur le serveur web.
4
Pour ajouter un type MIME, faites un clic droit sur le site web.
5
Cliquez sur Propriétés.
6
Dans l'onglet En-têtes HTTP, cliquez sur Type MIME.
7
Cliquez sur Nouveau.
8
Dans le champ Extension, saisissez l'extension du nom de fichier extension: pac
a
Dans le champ Types MIME, saisissez : application/x‑javascript‑config
b
Cliquez sur OK, puis redémarrez le service IIS (lorsque cela est possible, selon les autres tâches
en cours sur ce serveur web).
Procédures
•
Configuration de serveurs web pour Apache version 1.x, page 18
Pour configurer les serveurs web pour Apache 1.x, suivez les étapes ci-dessous.
•
Configuration de navigateurs web pour Apache version 2.x, page 19
17
3
Configuration de serveurs web pour Apache version 1.x
Procédure
1
Modifiez /etc/apache/httpd.conf
2
Ajoutez AddType application/x‑javascript‑config pac
3
Modifiez /etc/apache2/mods-available/mime.conf.
4
Ajoutez AddType application/x‑javascript‑config pac
Redémarrez le serveur Apache Web Server (lorsque cela est possible, selon les autres tâches en
cours sur ce serveur web).
5
Effectuez le test en ouvrant http://yourwebserver.domain.com/proxy.pac. Si votre navigateur
web vous demande comment vous souhaiteriez ouvrir le fichier proxy.pac, c'est que vous avez
réalisé correctement cette étape. Configurez votre navigateur pour pointer vers le fichier proxy.pac
dans Internet Explorer en réalisant les étapes ci-dessous :
a
Cliquez sur Outils | Options.
b
c
Cliquez sur Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire, puis
définissez les paramètres pour configurer un VPN.
d
Dans le champ Script de configuration automatique, saisissez l'URL de votre serveur web.
Configuration de serveur web pour un fichier WPAD.DAT :
6
Copiez le fichier wpad.dat dans le répertoire de documents racine de votre serveur web.
a
Il doit être dans le répertoire de documents racine et pas dans un sous-site ou dans un
sous-répertoire.
b
Il doit s'agir du serveur virtuel par défaut ou du serveur virtuel actif.
c
Ce DOIT être un nom de fichier en minuscules ; WPAD.dat ne fonctionnera pas mais wpad.dat
fonctionnera.
7
Ajoutez une entrée MIME à la configuration de vos serveurs web pour qu'il sache comment ouvrir le
fichier.
8
Ouvrez Gestionnaire des services Internet (IIS) sur le serveur web.
9
Pour ajouter un type de contenu MIME, faites un clic droit sur le site web souhaité.
10 Cliquez sur Propriétés.
11 Dans l'onglet En-têtes HTTP, cliquez sur Types MIME.
12 Cliquez sur Nouveau.
13 Dans le champ extension, saisissez l'extension du nom de fichier : pac.
18
a
Dans la zone Type MIME, saisissez : application/x-javascript-config.
b
Cliquez sur OK, puis redémarrez le service IIS (lorsque cela est possible, selon les autres tâches
en cours sur ce serveur web).
3
Configuration de navigateurs web pour Apache version 2.x
Procédure
1
Modifiez /etc/apache2/mods‑available/mime.conf
2
Ajoutez la ligne suivante : (dat for wpad, pac for .pac)
a
Ajoutez Type application/x-javascript-config dat
b
Redémarrez le serveur Apache Web Server (lorsque cela est possible, selon les autres tâches en
cours sur ce serveur web).
3
Effectuez le test en ouvrant http://webserver/wpad.dat avec votre navigateur Internet. Si votre
navigateur web vous demande comment vous souhaiteriez ouvrir le fichier wpad.dat (par exemple,
avec Notepad), c'est que vous avez réalisé correctement cette étape.
4
Après avoir suivi les instructions de configuration DNS et DHCP ci-dessous, configurez votre
navigateur pour détecter automatiquement les paramètres de proxy.
a
b
Sélectionnez Outils | Options.
c
d
Cliquez sur Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire.
e
Sélectionnez Détecter automatiquement les paramètres.
Exemple basique de fichier WPAD ou PAC
Vous trouverez ci-dessous un exemple basique de fichier PAC ou WPAD.
Exemple de fichier WPAD ou PAC
function FindProxyForURL(url, host) { return "PROXY proxyserver.example.com:3128” }
En supposant que votre serveur Internet Information Server ou Apache Web Server et Internet
Explorer sont configurés correctement (nous en reparlerons ci-dessous), votre navigateur exécutera ce
script et saura qu'il doit chercher le serveur proxy sur le port 3128, lorsqu'il essaie de charger une
page web. S'il ne le trouve pas, il enverra le navigateur directement sur Internet.
C'était un exemple plutôt simple. Que faire si vous voulez que votre fichier proxy ignore votre réseau
local et votre ordinateur ?
Fichier WPAD ou PAC qui ne passe pas par l'hôte ou le réseau local
function FindProxyForURL(url, host) { function FindProxyForURL(url, host) { if (
isPlainHostName(host) || localHostOrDomainIs(host, "127.0.0.1")|| isInNet(host, "10.0.0.0",
"255.0.0.0")) return "DIRECT"; else return ""PROXY proxyserver.example.com:3128"; }
Si vous souhaitez configurer votre fichier PAC pour qu'il ignore certains sites web spécifiques, ajoutez
shExpMatch(url,”www.myspecificsitenottoproxy.com). Reportez-vous à l'exemple suivant.
Fichier WPAD ou PAC qui ignore des sites web spécifiques
function FindProxyForURL(url, host) { if ( isPlainHostName(host) || localHostOrDomainIs(host
, "127.0.0.1")|| isInNet(host, 10.0.0.0", "255.0.0.0) shExpMatch(url, "*.yourcompanyname
.*")) // Ne pas passer par mxlogic.* return DIRECT; else return ""PROXY proxyserver.example
.com:3128"; }
19
3
Enfin, si vous voulez configurer votre serveur proxy pour qu'il agisse intelligemment lorsqu'il ne trouve
pas le proxy, vous pouvez fournir plusieurs proxys ou simplement lui demander de rejoindre
directement Internet.
.... else return PROXY proxyserver.example.com:3128; proxy domain.com.web02.mxlogic.net:
8080; DIRECT; }
Dans cet exemple, nous demandons au navigateur d'essayer le proxy local. S'il échoue, il essaie
d'accéder directement à McAfee pour trouver le proxy. S'il &choue, il va directement sur Internet.
Il existe de nombreuses options pour les fichiers PAC et WPAD. Microsoft Technet en propose plusieurs
dans son article à l'adresse http://technet.microsoft.com/en-us/library/dd361918.aspx. Vous pouvez
également trouver un article intéressant sur les différentes options de fichier PAC et WPAD à cette
adresse : http://jcurnow.home.comcast.net/~jcurnow/WritingEffectivePACFiles.html
Autres considérations
Il est important de bien se rappeler qu'Internet Explorer n'offre aucune fonction de vérification
d'erreurs pour les fichiers PAC ou WPAD. Si vous oubliez de fermer une accolade ou une parenthèse,
ou si vous avez fait une faute dans le nom d'une commande, votre navigateur ne vous avertira pas. Il
ira directement sur Internet. Donc, lorsque vous créez votre fichier PAC, le message « Aucun proxy »
(si vous avez déjà vérifié qu'une connexion directe à votre proxy fonctionne) peut signifier que votre
script comporte une erreur.
Notez également que le navigateur peut mettre ce fichier en cache localement. Ainsi une modification
du fichier PAC ou WPAD sur le serveur ne mènera pas forcément à un changement sur le client jusqu'à
ce qu'il réinitialise sa configuration de proxy dans Internet Explorer ou dans Firefox.
20
4
Pour commencer à déterminer le problème de votre configuration de proxy, saisissez manuellement
votre nom de serveur et votre port dans la configuration de proxy d'Internet Explorer ou de Firefox.
Fermez puis rouvrez le navigateur puis essayez d'accéder à une page web.
Sommaire
Vérification d'un paramètre de proxy codé en dur
Vérification du nom de toutes les configurations en minuscules
Vérification d'un paramètre de proxy codé en dur
Si vous pouvez accéder à une page web, cela signifie que le proxy fonctionne. Si vous avez accès à
http://endoftime.mcafee.com et que vous obtenez un message d'erreur de Web Protection Page
introuvable, vous savez que vous êtes filtré par le service.
Si vous ne pouvez pas ouvrir de page web, votre serveur proxy a un problème. Si vous pouvez
accéder à une page web sans être filtré, cela signifie qu'un script ou qu'un autre élément de
configuration automatique a été endommagé.
Comme cela a été spécifié dans plusieurs sections ci-dessus, plusieurs configurations WPAD de DNS,
DHCP ainsi que le nom de votre fichier wpad.dat nécessitent des minuscules dans la plupart des
systèmes. Vérifiez soigneusement ces noms.
Une mauvaise vérification des erreurs sous Internet Explorer et Firefox :
Il est possible qu'Internet Explorer exécute un fichier proxy.pac ou wpad.dat, mais il ne vous avertira
pas d'une erreur éventuelle. Il abandonnera simplement et ira directement sur Internet. Testez vos
scripts en utilisant les alertes mentionnées sur la page http://jcurnow.home.comcast.net/~jcurnow/
WritingEffectivePACFiles.html.
Divers bogues et erreurs Microsoft
Consultez la page http://technet.microsoft.com/en-us/library/cc302643.aspx.
Pare-feux
Vos ordinateurs doivent pouvoir accéder à votre serveur proxy sur lequel WDS Connector est exécuté.
Le routeur et les commutateurs de votre entreprise situés entre les clients et le serveur proxy doivent
laisser les postes de travail et les ordinateurs portables communiquer avec le serveur proxy sur le
port 3128.
21
4
Votre serveur proxy sur lequel McAfee WDS Connector est installé doit autoriser les connexions
entrantes sur le port 3128.
Votre serveur proxy sur lequel WDS Connector est installé doit autoriser un grand nombre de
connexions sur le port 3128. Tout pare-feu ou configuration Windows qui limite les connexions peut
réduire le nombre d'ordinateurs qui peuvent utiliser le proxy en même temps, ce qui mène à une
situation où certains ordinateurs sont contrôlés par le proxy alors que d'autres ne le sont pas.
Enfin, le serveur proxy doit pouvoir communiquer avec McAfee sur le port 3128 (squid) pour pouvoir
filtrer les requêtes. Si un pare-feu de serveur ou un pare-feu frontière (routeur) bloque ce port, le
proxy ne pourra pas fonctionner.
Problèmes avec le service WDS Connector
Vérifiez que le service WDS Connector est en cours d'exécution sur le serveur proxy. Dans un
environnement WPAD, il est probable que les utilisateurs soient dirigés directement sur Internet si ce
service est arrêté ou indisponible. Dans une configuration de proxy codé en dur ou dans un
environnement PAC sans « DIRECT », l'arrêt du service Web Protection générera une erreur de page
introuvable.
Si vous utilisez d'autres méthodes d'authentification, assurez-vous que le port 8080 est ouvert aux
connexions sortantes.
Problèmes avec le contrôleur de domaine et les utilisateurs
Votre serveur proxy sur lequel WDS Connector a été installé doit pouvoir communiquer avec le
contrôleur de domaine spécifié pendant l'installation. Si ce contrôleur de domaine a été rejeté par le
pare-feu, supprimé, désinstallé ou s'il n'est pas disponible, les utilisateurs obtiendront une erreur
d'authentification. Dans ce cas, WDS Connector ne peut pas se tourner vers un autre contrôleur de
domaine. Si vous devez réinitialiser ou travailler sur le contrôleur de domaine vers lequel WDS
Connector pointe, nous vous conseillons d'arrêter d'abord le service du connecteur, si vous êtes dans
un environnement PAC ou WPAD. Si vous êtes codé en dur sur ce serveur proxy, arrêter WDS
Connector ou travailler sur le composant de domaine (DC) pourra causer une panne d'Internet.
Problèmes relatifs aux utilisateurs du domaine de WDS Connector
Le serveur proxy sur lequel WDS Connector a été installé doit pouvoir communiquer avec le contrôleur
de domaine spécifié pendant l'installation, en utilisant le compte d'utilisateur spécifié pendant le
processus de configuration. Si ce compte d'utilisateur a été supprimé, a expiré ou a été verrouillé, les
utilisateurs obtiendront une erreur d'authentification.
Utilisateur non configuré dans Control Console
Si un utilisateur n'a pas été créé dans Control Console et qu'il essaie d'utiliser le proxy par le biais de
WDS Connector, il obtiendra une erreur d'authentification. Tous les utilisateurs doivent être configurés
avant l'installation de WDS Connector. Envisagez d'utiliser la synchronisation d'annuaire de McAfee
pour mettre automatiquement à jour vos utilisateurs entre votre Active Directory et la Console
McAfee.
Mot de passe incorrect, compte verrouillé ou compte arrivé à expiration dans
Active Directory
WDS Connector consulte Active Directory pour trouver les informations de son utilisateur. Cependant,
si cet utilisateur s'est connecté à un ordinateur localement, il recevra une invite de connexion avant de
se connecter au réseau. De plus, si le compte Active Directory de cet utilisateur a expiré, est verrouillé
ou a été supprimé, cet utilisateur sera invité à se connecter avant d'atteindre une page web et pourra
recevoir une erreur d'authentification.
22
4
Connexions qui ne font pas partie du domaine
Si un utilisateur se connecte localement sur un ordinateur portable ou sur un poste de travail, il
recevra une invite de connexion avant de pouvoir accéder à un site web, comme s'il avait essayé
d'accéder à une ressource du serveur.
Problèmes liés aux programmes
Certains programmes ne peuvent pas authentifier par NTLM ou n'aiment pas être gérés par un proxy
et peuvent générer une invite de connexion plutôt qu'un message d'erreur pour l'utilisateur. C'est
généralement le cas avec des applications Java non professionnelles. Parfois, on peut passer cette
étape en cliquant plusieurs fois. D'autres fois, il est nécessaire qu'un administrateur annule la
configuration automatique du proxy.
Mises à jour Windows
McAfee conseille l'utilisation de WSUS pour fournir les mises à jour à vos postes de travail et à vos
ordinateurs portables. Si vous essayez d'aller sur update.microsoft.com, vous pourrez constater un
blocage pendant la phase de détection et finalement vous obtiendrez un message d'erreur si vous
passez par le proxy. Il s'agit d'une erreur connue du site de mise à jour de Microsoft Windows, y
compris de leur propre serveur IAS et des serveurs proxy. La manière la plus rapide d'éviter ce
problème est de désactiver Détecter automatiquement avant d'aller sur le site de mise à jour
Windows. Une autre option consiste à exclure les serveurs de mise à jour Windows de votre
fichier WPAD.DAT ou Proxy.pac. Pour cela, saisissez la commande shExpMatch (url, website) dans
votre script pour éviter que les sites suivants ne soient gérés par le proxy :
•
http://download.windowsupdate.com
•
http://download.microsoft.com
•
https://*.windowsupdate.microsoft
.com
•
http://windowsupdate.microsoft.com
•
http://*.windowsupdate.microsoft.com
•
http://ntservicepack.microsoft.com
•
http://*.update.microsoft.com
•
http://wustat.windows.com
•
http://*.download.windowsupdate.com
•
https://*.update.microsoft.com
•
http://update.microsoft.com
•
https://update.microsoft.com
•
http://*.windowsupdate.com
Le site web qui parle de ce problème et qui propose une solution est http://support.microsoft.com/kb/
885819
Configuration incorrecte du serveur web
Testez l'ouverture de http://webserver/wpad.dat avec votre navigateur Internet. Si votre navigateur
web vous demande comment vous souhaiteriez ouvrir le fichier wpad.dat (par exemple, avec
Notepad), c'est que vous avez réalisé correctement cette étape.
Erreurs de fichier PAC/WPAD
Le fichier PAC comporte une fonction JavaScript. Les erreurs de syntaxe dans JavaScript empêcheront
l'exécution du fichier PAC et ne configureront pas le proxy correctement. Le comportement par défaut
de la plupart des navigateurs est de ne pas définir de proxy pour que le trafic soit dirigé directement
vers Internet, sans filtrage. Pour tester les erreurs de syntaxe, utilisez un outil de
validation JavaScript. Un outil simple est disponible à l'adresse http://javascriptlint.com/
23
4
online_lint.php. Copiez et collez le contenu du fichier PAC dans la zone de texte et exécutez le test. On
peut généralement ignorer les avertissements, mais toute erreur de syntaxe ou toute autre erreur doit
être corrigée pour que le fichier PAC fonctionne correctement.
24
5
L'onglet Ensembles de stratégies répertorie la liste des stratégies de navigation web définies pour le client
de l'entreprise donné, y compris les stratégies par défaut, et vous permet d'ouvrir l'onglet de
configuration de stratégie pour modifier les stratégies.
Ensembles de stratégies par défaut
Il existe trois ensembles de stratégies par défaut que vous pouvez utiliser comme point de départ pour
créer des ensembles de stratégies personnalisés :
•
La stratégie indulgente. Elle correspond à l'ensemble de stratégies le moins strict.
•
La stratégie modérée. Elle correspond à un ensemble de stratégies moyennement strict.
•
La stratégie stricte. Elle correspond à l'ensemble de stratégies le plus strict.
Vous pouvez effectuer l'une des opérations suivantes :
•
Accepter les configurations de stratégies des ensembles de stratégies par défaut ;
•
Créer, mettre à jour ou supprimer des ensembles de stratégies personnalisés ;
•
Personnaliser ou supprimer un ensemble de stratégies par défaut.
Pour en savoir plus sur la configuration de vos stratégies, sélectionnez Control Console | Web Protection |
Stratégies. Cliquez sur Nouveau et suivez les instructions de la section Aide.
Lien Planification de stratégies
Le lien Planification de stratégies permet au client de définir des stratégies ou des règles différentes
pour leurs utilisateurs, à des heures différentes de la journée ou pendant des jours différents dans la
semaine. Par exemple, des sites différents peuvent être autorisés à l'heure du déjeuner et pendant les
heures de travail.
Pour définir les jours et les heures d'accès autorisé à des sites spécifiques, sélectionnez Control Console |
Web Protection | Stratégies | Planification de stratégies et suivez les instructions de la section Aide.
Analyses (post-mortem)
L'onglet Analyses (post-mortem) web permet aux administrateurs de clients de consulter les données des
journaux disponibles pour étudier leur service. Les administrateurs peuvent filtrer, trier et exporter des
données du journal pour déterminer spécifiquement ce que les utilisateurs on demandé, l'action qui en
a résulté, l'usage de bande passante, la détection de virus, etc. Les données peuvent être filtrées par
date, par utilisateur, par résultat ou selon d'autres paramètres, et elles peuvent être triées de manière
appropriée. Cette fonction fournit à un client les données les plus précises sur le service Web Filtering.
Pour en savoir plus sur la configuration de filtres ou de recherches triées dans Analyses (post-mortem),
sélectionnez Control Console | Web Protection | Analyses (post-mortem). Suivez les instructions de la section Aide.
25
5
Analyses (post-mortem)
26
6
Optimisation de WDS Connector pour les
installations plus grandes
Pour les organisations de plus de 500 clients, McAfee conseille de configurer WDS Connector pour
utiliser davantage d'enfants d'autorisation que le nombre de cinq défini par défaut.
Configuration du proxy pour un grand nombre de clients
La configuration pour un grand nombre de clients est réalisée dans le fichier de configuration squid
(squid.conf) qui contrôle le comportement du proxy de WDS Connector.
Utilisateurs qui ont un grand nombre de clients
En utilisant un éditeur de texte quelconque (par exemple, notepad), ouvrez le fichier squid.conf (son
emplacement par défaut est c:\program files\wds connector\wds connector proxy\etc\squid.conf), et
remplacez
auth_param ntlm children 5
par
auth_param ntlm children 25
(Vérifiez qu'il n'y a pas de # avant la valeur).
Vous devez redémarrer le service WDS Connector pour que les modifications soient prises en compte.
Ce nombre peut atteindre 100 en toute sécurité. Celui-ci définit le nombre d'authentifications NTLM
simultanées.
27
6
Optimisation de WDS Connector pour les installations plus grandes
Configuration du proxy pour un grand nombre de clients
28
A03

McAfee SaaS Web Protection Service 8.5.0 Guide de configuration

Transcription

Documents pareils

Anonymat internet

1/ Le premier programme

Aide évoluée en ligne

AutoCAD : Objects AEC et Applications Object ARX

Ingénieur Senior Sécurité

C`est quoi un proxy ?

Demande de raccordement pour pompe à chaleur (PAC)

Interaction Dynamique Basée sur la Délégation

McAfee Total Protection 2014

McAfee® Internet Security