Guia de instalação Serviço McAfee SaaS Web Protection

Transcrição

Guia de instalação
Revisão A
Serviço McAfee SaaS Web Protection 8.5.0
COPYRIGHT
Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
ATRIBUIÇÕES DE MARCAS COMERCIAIS
Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active
Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,
McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee
Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros
países. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE LICENÇA
Contrato de licença
AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO
DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ
ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE
OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O
PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO
INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO
TOTAL.
2
Conteúdo
1
Introdução
5
Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2
3
Configurando um SaaS Web Protection Service
7
Determinando a autenticação do Web Protection . . . . . . . . . . . . . . . . . . . . .
Adicionar usuários ao Gerenciamento de contas (autenticação transparente ou explícita do usuário)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar detalhes do usuário ao McAfee Client Proxy . . . . . . . . . . . . . . . . . . .
WDS Connector (autenticação transparente) . . . . . . . . . . . . . . . . . . . . . .
Fazer download do WDS Connector . . . . . . . . . . . . . . . . . . . . . . .
7
. 9
. 9
10
10
Configuração de proxy
11
Definir uma configuração de proxy estático em seu navegador . . . . . . . . . . . . . . .
Métodos de configuração de proxy . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure automaticamente o arquivo Mozilla.cfg através de um script de login . . . . .
Criação de uma configuração automática de proxy ou arquivo do Web Proxy Auto-Detect . .
Configurar o WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar DNS para um script WPAD . . . . . . . . . . . . . . . . . . . . . .
Configurar um servidor Web para usar um arquivo PAC ou WPAD . . . . . . . . . . .
Exemplo de arquivo básico WPAD ou PAC . . . . . . . . . . . . . . . . . . . . .
4
Problemas comuns de configuração
12
13
13
14
14
15
16
18
21
Verifique uma configuração de proxy embutida em código . . . . . . . . . . . . . . . . . 21
Verificar se todas as configurações estão em minúsculas . . . . . . . . . . . . . . . . .
21
5
Configurar conjuntos de políticas
25
Perícia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
6
Otimizando o WDS Connector para instalações mais amplas
27
Configurar o proxy para grande número de clientes . . . . . . . . . . . . . . . . . . . . 27
3
Conteúdo
4
1
Introdução
®
O McAfee SaaS Web Protection Service fornece proteção em tempo real contra ameaças da Web e
conteúdo inapropriado no perímetro da rede antes que eles possam entrar na rede interna. O trafego
do navegador para usuários é redirecionado para o SaaS Web Protection Service. À medida que cada
solicitação para conteúdo de Web é recebida, o SaaS Web Protection Service verifica o conteúdo em
relação às políticas definidas e, se estiverem ativas, procura por worms e vírus conhecidos. Somente o
conteúdo que não violar essas políticas e estiver livre de ameaças conhecidas será retornado ao
usuário. Você pode ativar ou desativar políticas específicas de conteúdo da Web no Control Console, a
interface gráfica abrangente para o SaaS Web Protection Service.
Requisitos
Após definir suas políticas de filtragem da Web através do seu Control Console, o Web Protection
redirecionará o tráfego Web da empresa para um servidor proxy para iniciar as proteções.
O seguinte deve ser concluído antes de usar o Web Protection Service:
•
Assinar o Web Protection
•
Criar um cliente
•
Criar um domínio
Você pode querer considerar a implementação do recurso de Integração de diretórios no Gerenciamento
de contas antes de usar o WDS Connector. Desta forma, você aumenta significativamente a
probabilidade de que os endereços de e-mail do usuário no Active Directory correspondam aos
endereços de e-mail no Control Console.
Para obter informações de ambientes suportados para o Web Protection, consulte as últimas notas da
versão.
5
1
Introdução
Requisitos
6
2
Configurando um SaaS Web Protection
Service
O SaaS Web Protection Service (Web Protection) impede as ameaças antes de elas atingirem a rede
corporativa. Após as políticas de filtragem do Web Protection serem definidas, o tráfego na Web deve
ser redirecionado para um servidor proxy e a proteção é iniciada. Sistematicamente, as sessões da
Web do usuário final também são filtradas pelo Web Protection, para impedir que vírus ou spywares
cheguem à rede, se o serviço de ameaças tiver sido adquirido.
Conteúdo
Determinando a autenticação do Web Protection
Adicionar detalhes do usuário ao McAfee Client Proxy
WDS Connector (autenticação transparente)
A janela Controles de acesso permite que você defina a forma na qual os usuários são autenticados ao
acessar a Web. Por exemplo, você pode registrar uma lista de endereços IP aceitos para a sua
organização.
Escolha um dos quatro mecanismos fornecidos que permitem a você entrar no sistema Web
Protection:
Mais do que uma autenticação pode ser usada em conjunto, se necessário.
Autenticação da faixa de endereços IP
Vantagens:
•
Não é necessário logon de usuário.
•
Não é necessário manter senhas para os usuários
•
Nenhum software para ser instalado
•
Pode ser implementada na extremidade da rede usando o roteamento
Desvantagens:
•
As políticas de grupo não podem ser aplicadas (todos os usuários possuem uma política)
•
Não há geração de relatórios individuais, todos os relatórios são agrupados pelo endereço IP
externo
Autenticação explícita de usuário
Vantagens:
7
2
•
As políticas de grupo podem ser aplicadas (usuários diferentes podem possuir políticas diferentes)
•
Geração de relatórios individuais por usuário
•
Nenhum software para ser instalado
Desvantagens:
•
Requer que os usuários efetuem login uma vez para cada sessão de navegação
•
As senhas devem ser mantidas e/ou autenticadas no servidor corporativo
Autenticação transparente (WDS Connector)
Ao usar o WDS Connector, existem diversas melhores práticas que são recomendadas.
•
Na maioria dos casos, a McAfee recomenda que o WDS Connector esteja em um servidor dedicado.
Embora isso não seja um requisito para os clientes menores, um servidor dedicado reduz a
probabilidade de que outros processos interfiram no WDS Connector.
•
A McAfee recomenda desinstalar ou desativar os softwares que não são essenciais no servidor em
que o WDS Connector está instalado.
Vantagens:
•
Não é necessário logon de usuário.
•
Nenhuma manutenção de senhas para usuários no sistema Web Protection
•
•
Desvantagens:
•
Requer instalação de software na infraestrutura corporativa
•
Requer Active Directory e autenticação NTLM para reconhecer usuários
•
Requer que cada usuário tenha um endereço de e-mail no Active Directory que corresponda a um
endereço de e-mail correspondente no Control Console
•
Requer que os usuários efetuem login de forma interativa no domínio
•
Requer que todo o tráfego do navegador passe pelo WDS Connector
McAfee Client Proxy (MCP)
O McAfee Client Proxy é um agente Windows que redireciona perfeitamente o tráfego HTTP e HTTPS
para os servidores SaaS Web Protection. O McAfee Client Proxy pode ser configurado para:
•
Sempre redirecionar para proteção constante da nuvem
•
Redirecionar quando o usuário estiver fora da rede corporativa, para proteção de roaming
O McAfee Client Proxy passa para a nuvem informações criptografadas relativas ao usuário individual,
associação a grupos para os usuários e detalhes de contas de clientes. O sistema identifica
automaticamente o usuário, o grupo ou o cliente para aplicar a política adequada.
Vantagens:
8
•
Não é necessário login de usuário
•
Nenhuma manutenção de senhas para usuários no sistema Web Protection
•
2
•
•
Pode ser configurado para prevenir a desativação do agente
•
Funcionamento no nível de rede para todos os navegadores e qualquer outra solicitação de HTTP ou
HTTPS
Desvantagens:
•
Suporte ao Windows somente
•
Requer implantação ao ponto de extremidade (computador desktop ou laptop)
•
Idioma inglês somente
Adicionar usuários ao Gerenciamento de contas (autenticação
transparente ou explícita do usuário)
O Gerenciamento de contas é um conjunto de telas administrativas que você usa para configurar e
gerenciar, em um único local, as entidades no Web Protection Service. Esta é uma opção do McAfee
Client Proxy.
Estas entidades incluem:
•
Domínios
•
Usuários
•
Outros administradores, incluindo outros administradores de clientes, administradores de domínio,
gerenciadores de quarentena e gerenciadores de relatórios.
Além disso, você usa o Gerenciamento de contas para administrar grupos de usuários que
compartilham uma política comum de filtragem de e-mails. Para configurar os usuários que irão
utilizar o Web Protection Services, faça download do Guia do Administrador Gerenciamento de contas
e siga as instruções.
1
Acesse http://www.mcafeesaas.com.
2
Efetue login se necessário.
3
Clique em Reference Materials (Materiais de referência).
4
Clique em Guia do Administrador Gerenciamento de contas.
Adicionar detalhes do usuário ao McAfee Client Proxy
O McAfee Client Proxy pode ser usado sem definir nomes de usuário. O Control Console mapeia nomes
de usuário com as informações de nome domínio/usuário do Windows fornecidas pelo McAfee Client
Proxy.
O Control Console fornece um utilitário para mapear nomes de usuário para os usuários de e-mail
criados.
9
2
Tarefa
1
Inicie Web Protection | Políticas | Políticas do McAfee Client Proxy.
2
Clique em Utilitário de identificação de usuário do MCP
Esse utilitário automaticamente mapeia os nomes de usuário no Active Directory para as contas de
e-mail no Control Console.
Se não for fornecida nenhuma informação de nome de usuário, o utilitário McAfee Client Proxy usa
informações específicas do cliente ou do grupo, para determinar a política, para uso para filtragem.
O WDS ConnectorSM, que é um aprimoramento ao SaaS Web Protection Service (Web Protection),
permite aos usuários acessar a Web através do Web Protection usando as credenciais de domínio de
rede local existentes. Esse recurso, algumas vezes conhecido como autenticação transparente, elimina
a necessidade do Web Protection de autenticar um usuário todas as vezes que ele abrir um navegador.
Em vez disso, o Web Protection valida o usuário automaticamente sempre que ele abre um navegador.
Os administradores do serviço Web Protection podem continuar a aplicar políticas de grupo a usuários,
assim como a ratrear o uso individual da Web, ameaças e mais.
Fazer download do WDS Connector
Faça download do software WDS Connector para que você possa instalar o software e comece a usar o
WDS Connector.
Tarefa
1
Clique na guia Web Protection | Configuração.
2
Clique no link WDS Connector.
3
Clique em Fazer download do WDS Connector para baixar e instalar o software do WDS Connector.
Se você tiver acessado o Control Console a partir de um servidor Windows usado como servidor
proxy do WDS Connector, você pode executar a instalação do software quando fizer o download
dele. Nesse caso, clique em Executar quando a primeira janela do instalador for exibida.
Se você tiver acessado o Control Console a partir de um computador que não seja o servidor proxy
do WDS Connector, salve o software em uma unidade USB, CD ou outro meio de armazenamento,
e transfira o software para o servidor proxy do WDS Connector e depois instale o software.
10
3
Após configurar o Web Protection, você precisa configurar seus clientes para usar o proxy. Existem
quatro formas de fazer isto:
•
Configurar manualmente os clientes para apontar para o Web Protection e/ou o WDS Connector
usando as configurações de proxy do Internet Explorer ou do Firefox. Essa é uma forma efetiva de
bloquear o computador para apontar para o Web Protection. No entanto, o problema principal
dessa configuração é que ela não é muito flexível; por isso, ela é recomendada somente para
pequenos sites ou sites em que a maioria dos usuários está em desktops, e não em laptops. Além
disso, qualquer configuração do computador local abre a possibilidade de que o usuário irá reverter
essa configuração após a pessoa de TI ir embora. Também está discutido como bloquear o Internet
Explorer e o Firefox para que o usuário não possa alterar ou remover facilmente as configurações
de proxy.
•
Use um arquivo Proxy Auto Configuration (arquivo PAC) para criar um script de como um
navegador da Web de um usuário irá localizar e usar proxies Web em sua rede. Configurar clientes
manualmente para serem codificados em um proxy é muito problemático para os usuários em um
laptop, uma vez que aquele proxy não está disponível, a menos que estejam na rede da empresa,
através de uma conexão com fio ou VPN. Um arquivo PAC permite solucionar este problema
controlando onde o navegador buscará informações do proxy e, possivelmente ignorando o proxy e
indo diretamente para a Internet, quando o proxy não puder ser encontrado. Outra vantagem de
usar arquivos PAC é que você pode definir o que será usado no proxy e o que não será. Por
exemplo, apesar de a navegação geral na Web ser tipicamente enviada da melhor forma através do
Web Protection, você pode não querer que seus aplicativos importantes com base na Web sejam
canalizados através de um proxy. Com um arquivo PAC, você pode adicionar alguma inteligência
sobre como o navegador do usuário decide rotear o tráfego.
•
O Web Proxy Auto-Detect Protocol (WPAD) faz isso de forma que alguma ou nenhuma alteração
seja necessária no cliente, mas em vez disso, o navegador usa a configuração Detectar automaticamente
para procurar seu arquivo de configuração em um servidor Web. Se ele não puder encontrar as
configurações WPAD ou o servidor, o navegador se ajusta rapidamente e vai diretamente para a
Internet. Essa configuração é de longe a mais fácil no cliente, mas é mais intensa para o
administrador de sistemas porque ela inclui configuração Web, DHCP e os servidores DNS.
Felizmente, o formato do arquivo WPAD.DAT é idêntico ao arquivo PAC e proporcionamos exemplos
que você pode copiar e colar conforme necessário nesta seção.
•
Se você usar o McAfee Client Proxy, a política de configuração para o McAfee Client Proxy
determina como e onde o tráfego é redirecionado. Para obter mais informações, consulte a
documentação do McAfee Client Proxy no Control Console em Web Protection | Configuração | McAfee Client
Proxy.
Tarefas
•
Definir uma configuração de proxy estático em seu navegador na página 12
As configurações embutidas do Internet Explorer ou do Firefox funcionam bem para
pequenos sites, e sites nos quais os computadores são, em sua maioria, desktops.
Entretanto, estas configurações não funcionam bem para usuários de laptops que
trabalham local e remotamente, uma vez que eles não terão acesso à Internet se não
puderem alcançar o servidor proxy. Além disso, não haverá roteamento inteligente ou
failover caso o proxy não possa ser alcançado.
11
3
Definir uma configuração de proxy estático em seu navegador
Conteúdo
Métodos de configuração de proxy
As configurações embutidas do Internet Explorer ou do Firefox funcionam bem para pequenos sites, e
sites nos quais os computadores são, em sua maioria, desktops. Entretanto, estas configurações não
funcionam bem para usuários de laptops que trabalham local e remotamente, uma vez que eles não
terão acesso à Internet se não puderem alcançar o servidor proxy. Além disso, não haverá roteamento
inteligente ou failover caso o proxy não possa ser alcançado.
Antes de iniciar
Essa configuração supõe que o cliente e o servidor não estão configurados para bloquear a
porta 3128 e/ou a porta 8080.
Tarefa
1
Inicie o Internet Explorer.
2
Clique em Ferramentas | Opções.
3
Clique na guia Conexões.
4
Clique em Configurações da LAN.
5
Selecione Usar um servidor proxy para LAN. Se você estiver usando o WDS Connector:
a
Insira o nome de domínio totalmente qualificado (preferido), ou o nome de servidor DNS que
pode ser resolvido, no qual o WDS Connector esteja instalado.
b
No campo Porta, insira 3128.
6
Insira a entrada proxy fornecida no Kit de Ativação que você recebeu do provisionamento.
7
8
Selecione Ignorar servidor proxy para endereços locais.
Quando você tiver concluído, o servidor proxy deverá parecer como o seguinte exemplo:
onde proxy server é o nome do servidor que você instalou no WDS Connector. A McAfee recomenda
o uso de um domínio totalmente qualificado como o proxyserver.yourdomain.com em vez de
apenas um nome de servidor.
9
Clique na guia Conexões. Se você tiver entradas em Configurações de Conexão Discada e de Rede Virtual Privada,
é preciso configurar as entradas para o proxy também.
a
Selecione a configuração VPN, que você deseja configurar, e clique em Configurações.
b
Selecione Usar um servidor proxy para esta conexão.
10 Se você estiver usando o WDS Connector:
12
a
Insira o nome de domínio totalmente qualificado (preferido), ou o nome de servidor DNS que
pode ser resolvido, no qual o WDS Connector esteja instalado.
b
3
11 Se você não está usando o WDS Connector, a McAfee recomenda que você selecione Ignorar servidor
proxy para endereços locais. Insira o proxy fornecido no seu Kit de Ativação.
12 No campo Porta, insira porta 8080.
Para configurar proxies de computadores de usuários finais em sua organização, você pode usar um
arquivo PAC ou um script WPAD.
Em um ambiente Windows, você pode configurar uma política de grupo que aplique a configuração de
proxy a todos os computadores de usuários finais. Para obter mais informações sobre o recurso de
política de grupo, consulte a documentação da Microsoft referente à sua versão do Windows.
Configure automaticamente o arquivo Mozilla.cfg através de um
script de login
Essa é uma das diversas maneiras que você poderia escolher para entregar este arquivo e editar o
arquivo all.js através de um script de login. O script de login primeiro verifica para ver se o Firefox
está instalado, depois ele verifica o arquivo Mozilla.cfg. Se o Firefox estiver instalado, mas o
Mozilla.cfg não existir, ele copia o arquivo e edita o arquivo all.js adicionando uma nova linha e, em
seguida, adicionando o comando pref ao arquivo all.js para que ele saiba como procurar o arquivo
Mozilla.cfg. Tudo o que esse script faz está gravado em um arquivo de registro para que você conheça
os detalhes completos, com referência ao sucesso da instalação. Não há impactos ao usuário. Da
próxima vez que eles fecharem e abrirem o navegador, eles serão bloqueados pela configuração proxy.
Tarefa
1
Copie o arquivo Mozilla.cfg para uma unidade compartilhada que todos os usuários podem acessar
em sua rede (somente leitura).
2
Edite seu script de login da seguinte maneira:
Não se esqueça de alterar \\server\share para seu nome de compartilhamento e servidor.
:: Firefox Proxy Config file drop and all.js adjustment GOTO Check :Check :: First check
to see if Firefox is installed, then see if the config file is there IF NOT EXIST "C:
\Program Files\Mozilla Firefox" GOTO Lognofirefox IF NOT EXIST "C:\Program Files\Mozilla
Firefox\mozilla.cfg" GOTO Update IF NOT EXIST "C:\Program Files\Mozilla Firefox\mozilla
.cfg" GOTO Update GOTO Logalreadyinstalled GOTO End :Update :: Drop the config file and
adjust all.js copy \\server\share\mozilla.cfg C:\Program Files\Mozilla Firefox :: ::C
reate a new line at the bottom of the all.js file ECHO. >> "C:\Program Files\Mozilla
Firefox\greprefs\all.js" :: ::Add a pref to point to the new CFG file to the end of all
.js ECHO pref(general.config.filename, mozilla.cfg); >> C:\Program Files\Mozilla Firefox
\greprefs\all.js GOTO Loginstalled :Lognofirefox Echo %date% %time% user %username% on
%computername% does not have FireFox installed >> \\server\share \log.txt
GOTO End
:Logalreadyinstalled Echo %date% %time% user %username% on %computername% already has
mozilla.cfg downloaded >> \\server\share\log.txt GOTO End
:Loginstalled Echo %date% %time% user %username% on %computername% SUCCESS!! FireFox
Proxy installed! >> \\server\share\log.txt GOTO End :End ::All done!
Sempre teste o script de login em um ou dois computadores antes de colocá-lo em produção.
Nos computadores que você não deseja bloquear, copie o arquivo Mozilla.cfg manualmente, mas
não atualize o arquivo all.js. Isso irá fazer com que o script ignore aquele computador e suponha
que ele já está atualizado.
13
3
Criação de uma configuração automática de proxy ou arquivo
do Web Proxy Auto-Detect
Um arquivo de Configuração de Proxy Automática (PAC) e um arquivo Web Proxy Auto-Detect (WPAD)
são ambos arquivos simples hospedados em um servidor Web interno que usa JavaScript para
informar ao navegador o que fazer antes de tentar carregar uma página da Web.
A vantagem por trás de arquivos PAC e WPAD é que eles ajudam a adicionar inteligência a sua
configuração de proxy para que possa ajustá-se quando o computador não está conectado à sua rede,
ou o proxy está bloqueado. Você também pode decidir quais sites serão e não serão com proxy, assim
sites da Web críticos para os negócios nunca serão afetados pelo proxy.
Configurar o WPAD
Quando você estiver usando o Web Proxy Auto-Detect Protocol, o navegador irá procurar no DHCP
para fornecer a ele o local das suas informações do arquivo wpad.dat. Se ele não puder encontrá-las
no DHCP, ele irá procurar no DNS antes de tentar a Internet. Você precisará configurar o servidor
DHCP para fornecer estas informações.
Adicionar a opção 252 ao DHCP
Tarefa
1
No servidor que estiver executando o DHCP (ou usando MMC no seu computador), selecione Iniciar |
Programas | Ferramentas administrativas | DHCP.
2
Clique com o botão direito no servidor DHCP que você deseja editar e selecione Configurar opções
predefinidas.
3
Localize a opção 252. Se ela não existir:
a
Clique em Adicionar para adicionar uma nova opção.
b
No campo Nome da opção, insira WPAD.
c
No campo Código, insira 252.
d
No campo dados, insira a cadeia de caracteres selecionada e clique em OK.
4
Na lista suspensa Nome da opção, selecione 252 WPAD.
5
No campo Cadeia de caracteres, digite http://mywebserver/wpad.dat.
Onde mywebserver é o nome do servidor Web onde você colocou seu arquivo de configuração
wpad.dat.
Essa cadeia de caracteres deve estar toda em minúsculas.
6
Clique em OK.
Depois de fazer essa alteração, essas informações do WPAD serão publicadas em cada novo
endereço IP. Portanto, certifique-se de que ela esteja correta no servidor DHCP, que o script esteja
funcionando e certifique-se de publicar/renovar seu endereço IP para que seja possível testá-lo após
clicar em OK. Agora que você concluiu a etapa acima onde adicionou a Opção 252 ao seu Servidor DHCP,
você tem a opção de configurar isso para todo o seu servidor DHCP ou escopos específicos ou
ambos.
7
Clique com o botão direito em Opções do servidor e selecione Configurar opções.
Essa etapa deve estar em minúsculas.
14
3
8
Selecione a Opção 252
Certifique-se de que tem as informações do servidor Web, porta e nome de arquivo corretos.
Isso deve estar em minúsculas.
9
Clique em OK.
10 Abra o escopo em questão.
11 Clique com o botão direito em Opções do escopo e clique em Configurar opções.
12 Selecione a Opção 252
13 Preencha o nome do servidor com o nome do seu servidor Web, porta e arquivo wpad.dat.
Essas entradas devem estar todas em minúsculas.
14 Clique em OK.
Configurar DNS para um script WPAD
O Internet Explorer irá procurar DHCP Option 252 se o botão Detectar automaticamente estiver selecionado,
portanto você pode estar se perguntando porque recomendados que você faça essa alteração ao DNS
também. Existem diversos motivos pelos quais você deve fazer isso:
•
Você deseja que seu arquivo de configuração de proxy funcione em máquinas que têm um
endereço IP estático.
•
Você tem outros navegadores que podem preferir uma entrada DNS em relação ao DHCP, como o
Firefox.
•
Você está preocupado de que sua configuração Detectar automaticamente vá forçar o navegador a
fazer uma busca incessante até encontrar um arquivo config, possivelmente no domínio errado.
Por exemplo, se você tiver a opção Detectar automaticamente o proxy configurada no seu navegador, mas
o seu navegador não puder encontrar o arquivo wpad.dat para dallas.mydomain.com, ele irá
procurar informações do wpad em wpad.mydomain.com e, depois em wpad.com antes de desistir.
Caso ele encontre as informações, ele irá alegremente executar o script encontrado em qualquer
um desses domínios cirando um problema óbvio de segurança e configuração.
A suposição é que você deseja fornecer informações WPAD ao seu domínio local. Portanto,
supondo-se que seu domínio local seja mydomain.info você editaria o servidor DNS para
mydomain.info e adicionaria um registro CNAME chamado WPAD que aponta para o servidor Web
que contém o arquivo.
Tarefa
1
Inicie o DNS em MMC indo para ferramentas administrativas no controlador de domínio que
hospeda seu DNS.
2
Expanda Zonas de pesquisa direta.
3
Clique com o botão direito na sua zona de pesquisa direta e selecione Novo alias (CNAME).
4
No campo Alias, insira WPAD.
5
Insira o nome de domínio totalmente qualificado do servidor que está hospedando seu arquivo
WPAD.
6
Clique em OK.
15
3
7
Clique em OK.
Teste ao configurar a opção Detectar automaticamente no Internet Explorer. Quando seu navegador
encontra uma página chamada wpad.yourdomain.com, as informações do seu proxy são
automaticamente atualizadas.
8
Após completar as instruções de configuração de DNS e de DHCP a seguir, configure seu navegador
para detectar automaticamente as configurações do proxy.
a
b
Selecione Ferramentas | Opções.
c
d
Clique em Configurações da LAN se estiver conectado à rede.
e
Selecione Detectar automaticamente as configurações.
Configurar um servidor Web para usar um arquivo PAC ou
WPAD
Para usar um arquivo PAC ou WPAD para configurar seus proxies, é necessário configurar diversas
coisas na sua rede.
Antes de iniciar
O arquivo PAC é muito mais simples do que a configuração do WPAD porque com o arquivo
PAC você está indicando ao seu navegador onde encontrar o arquivo, portanto, você só
precisa colocá-lo no raiz de um servidor Web e indicar ao servidor como carregá-lo.
Entretanto, a configuração do WPAD usa DHCP e DNS para descobrir onde está o arquivo
quando o navegador do usuário é definido para Detectar automaticamente as configurações,
portanto, você precisará colocar o arquivo em um servidor Web e atualizar o DHCP e o DNS
para que o navegador saiba onde procurá-lo.
O arquivo PAC e o WPAD deve ser colocado em um servidor Web. Recomendaos um servidor Web
interno em vez de um servidor voltado para a Internet; também recomendamos tornar o arquivo
somente leitura para impedir que um hacker redirecionasse todo o seu tráfego de Internet para seu
site favorito de spyware. Para obter mais informações sobre possíveis problemas de segurança com o
uso de um arquivo PAC ou do protocolo WPAD, consulte http://www.microsoft.com/technet/security/
advisory/945713.mspx.
Tarefa
1
16
Copie o arquivo proxy.pac para o diretório do documento raiz no seu servidor Web.
•
É preciso que seja o diretório do documento raiz
•
É preciso que seja o servidor virtual padrão ou o servidor virtual ativo
•
É preciso que o nome do arquivo esteja em minúsculas
2
Adicione uma entrada MIME à configuração dos seus servidores Web para que eles saibam como
abrir o arquivo.
3
Abra o IIS Manager no servidor Web.
4
Clique com o botão direito no site da Web para adicionar um Tipo MIME.
5
Clique em Propriedades.
6
Na guia Cabeçalhos HTTP, clique em Tipo MIME.
7
Clique em Novo.
8
No campo Extensão, insira a extensão do nome de arquivo: pac
a
No campo Tipos Mime, insira: application/x‑javascript‑config
b
Clique em OK, depois, reinicie os Serviços IIS (quando apropriado fazê-lo, dependendo do que
mais esse servidor Web faz).
3
Tarefas
•
Configurar servidores Web para Apache version 1.x na página 17
Para configurar servidores da Web para Apache 1.x, complete as seguintes etapas.
•
Configurar navegadores da Web para Apache version 2.x na página 18
Configurar servidores Web para Apache version 1.x
Tarefa
1
Edite /etc/apache/httpd.conf
2
Adicione AddType application/x‑javascript‑config pac
3
Edite /etc/apache2/mods-available/mime.conf.
4
Adicione AddType application/x‑javascript‑config pac
Reinicie o Apache Web Server (quando apropriado fazê-lo, dependendo do que mais esse servidor
Web faz).
5
Teste abrindo http://yourwebserver.domain.com/proxy.pac. Se o seu navegador da Web lhe
perguntar como você gostaria de abrir o arquivo proxy.pac, você terá concluído essa etapa
corretamente. Configure seu navegador para apontar para o arquivo proxy.pac no Internet Explorer
completando o seguinte:
a
Clique em Ferramentas | Opções.
b
c
Clique em Configurações da LAN se estiver conectado à rede, defina as configurações para
configurar uma VPN.
d
No campo Script de configuração automática insira o URL do seu servidor Web.
Configuração de servidor Web para um arquivo WPAD.DAT:
6
Copie o arquivo wpad.dat para o diretório do documento raiz no seu servidor Web.
a
Deve ser o diretório do documento raiz, e não algum subsite ou diretório inferior.
b
Deve ser o servidor virtual padrão ou servidor virtual ativo.
c
DEVE ser um nome de arquivo em minúsculas ou o WPAD.dat não irá funcionar, mas o wpad
.dat irá.
7
Adicione uma entrada MIME à configuração dos seus servidores Web para que eles saibam como
abrir o arquivo.
8
Abra o IIS Manager no servidor Web.
17
3
9
Para adicionar um Tipo MIME, clique com o botão direito no site da Web desejado.
10 Clique em Propriedades.
11 Na guia Cabeçalhos HTTP, clique em Tipos de MIME.
12 Clique em Novo.
13 No campo extensão, insira a extensão do nome de arquivo: pac.
a
Na caixa Tipo Mime, insira: application/x-javascript-config.
b
Clique em OK, depois, reinicie os Serviços IIS (quando apropriado fazê-lo, dependendo do que
mais esse servidor Web faz).
Configurar navegadores da Web para Apache version 2.x
Tarefa
1
Edite /etc/apache2/mods‑available/mime.conf
2
Adicione a seguinte linha: (dat for wpad, pac for .pac)
a
Adicione Type application/x-javascript-config dat
b
Reinicie o Apache Web Server (quando apropriado, dependendo do que mais esse servidor Web
faz).
3
Teste abrindo http://webserver/wpad.dat usando seu navegador da Internet. Se o seu navegador
da Web lhe perguntar como você gostaria de abrir o arquivo wpad.dat (por exemplo, com o Bloco
de notas), você terá concluído essa etapa corretamente.
4
Após completar as instruções de configuração de DNS e de DHCP a seguir, configure seu navegador
para detectar automaticamente as configurações do proxy.
a
b
Selecione Ferramentas | Opções.
c
d
Clique em Configurações da LAN se estiver conectado à rede.
e
Selecione Detectar automaticamente as configurações.
Exemplo de arquivo básico WPAD ou PAC
A seguir encontra-se um exemplo de um arquivo básico PAC ou WPAD.
Exemplo de arquivo WPAD ou PAC
function FindProxyForURL(url, host) { return "PROXY proxyserver.example.com:3128” }
Supondo-se que seu Internet Information Server ou Apache Web Server e Internet Explorer estão
configurados corretamente (voltaremos a isso a seguir), quando seu navegador tentar carregar uma
página da Web, ele irá executar este script e saberá procurar o proxyserver na porta 3128. Se ele não
puder encontrá-la, ele irá enviar o navegador diretamente para a Internet.
Este foi um exemplo bem simples. O que aconteceria se você decidisse que quer que seu arquivo
proxy ignore sua rede local e o computador?
18
3
O arquivo WPAD ou PAC que não usa um proxy no host local ou rede
function FindProxyForURL(url, host) { function FindProxyForURL(url, host) { if (
isPlainHostName(host) || localHostOrDomainIs(host, "127.0.0.1")|| isInNet(host, "10.0.0.0",
"255.0.0.0")) return "DIRECT"; else return ""PROXY proxyserver.example.com:3128"; }
Se você gostaria de configurar seu arquivo PAC para ignorar sites da Web específicos, deve adicionar
shExpMatch(url,”www.myspecificsitenottoproxy.com). Veja o exemplo a seguir.
Arquivo WPAD ou PAC que ignora sites da Web específicos
function FindProxyForURL(url, host) { if ( isPlainHostName(host) || localHostOrDomainIs(host
, "127.0.0.1")|| isInNet(host, 10.0.0.0", "255.0.0.0) shExpMatch(url, "*.yourcompanyname
.*")) // Don’t proxy mxlogic.* return DIRECT; else return ""PROXY proxyserver.example.com:
3128"; }
Por fim, se gostaria de configurar seu servidor proxy para que tenha mais inteligência sobre o que
fazer se ele não puder localizar o proxy, você pode fornecer vários proxies ou apenas mandá-lo ir
diretamente para a Internet.
…. else return PROXY proxyserver.example.com:3128; proxy domain.com.web02.mxlogic.net:8080;
DIRECT; }
Neste exemplo estamos mandando o navegador tentar o proxy local. Se isso falhar, tente ir
diretamente para a McAfee para usar o proxy. Se isso falhar, vá diretamente para a Internet.
Há muitas opções diferentes que você pode usar em seus arquivos PAC e WPAD. A Microsoft Technet
tem alguns em seu artigo em http://technet.microsoft.com/en-us/library/dd361918.aspx. Há também
um ótimo artigo sobre diferentes opções de arquivos PAC e WPAD aqui: http://
jcurnow.home.comcast.net/~jcurnow/WritingEffectivePACFiles.html
Outras considerações
Um aspecto importante a ser lembrado é que o Internet Explorer não fornece nenhuma verificação de
erro para um arquivo PAC ou WPAD. Se você perdeu uma chave ou parêntese de fechamento, ou
digitou errado um comando, seu navegador não vai lhe avisar, ele simplesmente irá direto para a
Internet. Portanto, quando você está criando seu arquivo PAC, nenhum proxy (e você já confirmou
que uma conexão direta com o seu proxy funciona) pode significar que há um erro em seu script em
algum lugar.
Além disso, observe que o navegador pode colocar esse arquivo em cache localmente, portanto, as
alterações feitas no arquivo PAC ou WPAD no servidor podem não resultar em nenhuma alteração no
cliente, até que eles desativem sua configuração do proxy e a ativem novamente no Internet Explorer
ou no Firefox.
19
3
20
4
Para começar a determinar o que está errado com a configuração do seu proxy, insira o nome do seu
servidor e porta manualmente na configuração do proxy do Internet Explorer ou do Firefox, feche e
reabra o navegador e, a seguir, tente acessar uma página da Web.
Conteúdo
Verifique uma configuração de proxy embutida em código
Verificar se todas as configurações estão em minúsculas
Verifique uma configuração de proxy embutida em código
Se você conseguir acessar uma página da Web isso significa que o proxy funcionou. Se conseguir
acessar http://endoftime.mcafee.com e receber uma mensagem de erro Página não encontrada do Web
Protection, você saberá que está sendo filtrado pelo serviço.
Se não conseguir acessar uma página da Web, você saberá que seu servidor proxy tem um problema.
Se você conseguir acessar uma página da Web, mas não estiver sendo filtrado, um script ou outra
configuração automática está incorreta.
Conforme observado em diversas seções acima, diversas configurações WPAD no DNS, DHCP e no
nome de arquivo do seu arquivo wpad.dat exigem minúsculas na maioria dos sistemas. Verifique essas
áreas cuidadosamente.
Uma falta de verificação de erros no Internet Explorer e no Firefox:
O Internet Explorer pode executar um arquivo proxy.pac ou wpad.dat, mas ele não lhe dirá se ele
encontrou um erro, ele apenas irá desistir e irá direto para a Internet. Teste seus scripts usando os
alertas conforme mencionado em http://jcurnow.home.comcast.net/~jcurnow/
WritingEffectivePACFiles.html.
Diversos erros e bugs da Microsoft
Consulte http://technet.microsoft.com/en-us/library/cc302643.aspx.
Firewalls
Seus computadores devem ser capazes de acessar seus servidores proxy onde o WDS Connector está
em execução.
Os roteadores e switches da sua empresa entre os clientes e o servidor proxy devem permitir que os
desktops e os laptops se comuniquem com o servidor proxy na porta 3128.
21
4
Seu servidor proxy onde o McAfee WDS Connector está instalado deve permitir conexões de entrada
da porta 3128.
Seu servidor proxy onde o WDS Connector está instalado deve permitir muitas conexões da porta
3128. Qualquer configuração do firewall ou do Windows que limita as conexões pode reduzir o número
de computadores que podem usar proxy de uma vez, resultando em uma situação na qual algumas
máquinas usam proxy e outras não.
Por fim, o servidor proxy deve ser capaz de se comunicar com a McAfee na porta 3128 (squid) para
ser capaz de filtrar solicitações. Se um firewall do servidor ou firewall de borda (roteador) estiver
bloqueando esta porta, o proxy não poderá funcionar.
Problemas com o serviço do WDS Connector
Verifique se o serviço do WDS Connector está em execução no servidor proxy. Em um ambiente
WPAD, os usuários provavelmente irão diretamente para a Internet se este serviço estiver
interrompido ou indisponível. Em uma configuração de proxy embutida ou em um ambiente PAC sem
“DIRECT”, a desativação do serviço Web Protection irá causar um erro de página não encontrada.
Se for usar outros métodos de autenticação, assegure-se de que a porta 8080 esteja aberta para
conexões de saída.
Problemas de controlador e usuário de domínio
Se servidor proxy onde o WDS Connector estava instalado deve ser capaz de se comunicar com o
controlador de domínio especificado durante a instalação. Se este controlador de domínio tiver o
firewall desativado, removido ou desinstalado ou não estiver disponível, os usuários terão um erro de
autenticação. O WDS Connector não poderá realizar o failover para outro controlador de domínio neste
momento. Se você precisar restaurar ou trabalhar no controlador de domínio ao qual o WDS
Connector estiver apontando, recomendamos parar o serviço do conector primeiro, se você estiver em
um ambiente PAC ou WPAD. Se o serviço estiver embutido neste servidor proxy, desativar o WDS
Connector ou trabalhar no DC poderá causar uma interrupção do serviço de Internet.
Problemas de usuário de domínio do WDS Connector
O servidor proxy onde o WDS Connector foi instalado deve ser capaz de se comunicar com o
controlador de domínio especificado durante a instalação usando a conta de usuário especificada
durante o processo de configuração. Se esta conta de usuário tiver sido excluída, tiver expirado ou
estiver bloqueada, os usuários terão um erro de autenticação.
Usuário não configurado no Control Console
Se um usuário não tiver sido criado no Control Console e tentar usar o proxy através do WDS
Connector eles receberão um erro de autenticação. Todos os usuários devem ser configurados antes
da instalação do WDS Connector. Considere usar o Directory Sync da McAfee para atualizar
automaticamente seus usuários entre seu Active Directory e o McAfee Console.
Senha incorreta do usuário, conta bloqueada, Conta vencida no Active Directory
O WDS Connector procura no seu Active Directory suas informações de usuário. Entretanto, se aquele
usuário tiver feito login em um computador localmente, ele irá receber instruções antes de efetuar
logon na rede. Além disso, se aquela conta do AD do usuário estiver vencida, bloqueada ou tiver sido
excluída, esse usuário será solicitado a efetuar logon antes de acessar uma página da Web, e poderá
receber um erro de autenticação.
22
4
Logon que não é de domínio
Se um usuário efetuar logon localmente em um laptop ou computador desktop, ele irá receber uma
instrução de login antes de receber permissão para acessar um site da Web, exatamente como ele
receberia quando tentasse acessar um recurso de servidor.
Problemas de programa
Alguns programas não podem fazer a autenticação usando NTLM ou não aceitam usar proxy e podem
fazer com que o usuário veja uma instrução de logon em vez de uma mensagem de erro. Nós
normalmente vemos isso em Java Apps não comerciais. Algumas vezes clicar diversas vezes irá
permitir superar isso. Outras vezes um administrador pode precisar desmarcar a configuração
automática no proxy.
Atualizações do Windows
A McAfee recomenda usar o WSUS para fornecer atualizações em seus computadores desktop e
laptop, se você estiver tentandoir para update.microsoft.com poderá descobrir que a fase de detecção
trava e, por fim, retorna uma mensagem de erro se você estiver acessando através do proxy. Esse é
um problema conhecido com o site do Microsoft Windows Update e servidores proxy que incluem seu
próprio servidor IAS. A maneira rápida de contornar isso é desativar detectar automaticamente antes
de ir para o Windows Update. Outra opção é excluir os servidores do Windows Update em seu arquivo
WPAD.DAT ou Proxy.pac. Você pode fazer isso usando o comando shExpMatch (url, site) em seu script
para que ele não use o proxy nos seguintes sites da Web:
•
http://download.windowsupdate.com
•
http://download.microsoft.com
•
https://*.windowsupdate.microsoft
.com
•
http://windowsupdate.microsoft.com
•
http://*.windowsupdate.microsoft.com
•
http://ntservicepack.microsoft.com
•
http://*.update.microsoft.com
•
http://wustat.windows.com
•
http://*.download.windowsupdate.com
•
https://*.update.microsoft.com
•
http://update.microsoft.com
•
https://update.microsoft.com
•
http://*.windowsupdate.com
O site da Web que discute esse problema e fornece uma maneira de contornar a questão é http://
support.microsoft.com/kb/885819
Servidor Web configurado incorretamente
Teste sua capacidade abrindo http://webserver/wpad.dat usando seu navegador da Internet. Se o seu
navegador da Web lhe perguntar como você gostaria de abrir o arquivo wpad.dat, (por exemplo, com
o Bloco de notas), você terá concluído essa etapa corretamente.
Erros de arquivo PAC/WPAD
O arquivo PAC contém uma função JavaScript. Os erros de sintaxe no JavaScript irão impedir o
arquivo PAC de ser executado e não irão configurar o proxy adequadamente. O comportamento
padrão para a maioria dos navegadores é não configurar nenhum proxy, portanto o tráfego será
direcionado para a Internet sem nenhuma filtragem. Para testar quanto a erros de sintaxe, use uma
ferramenta de validação de JavaScript. Uma simples pode ser encontrada em http://
javascriptlint.com/online_lint.php — copie e cole o conteúdo do arquivo PAC na área de texto e
execute o teste. Os avisos podem geralmente ser ignorados, mas quaisquer erros de sintaxe ou outros
erros devem ser tratados para que o arquivo PAC possa funcionar adequadamente.
23
4
24
5
A guia Conjuntos de políticas lista as políticas de navegação na Web atualmente definidas para o cliente
corporativo designado, incluindo políticas padrão e de amostra, e permite a você abrir a guia
específica de configuração de política para modificar as políticas.
Conjuntos de políticas de amostra
Existem três conjuntos de políticas de amostra que você pode usar como ponto de partida para a
criação de conjuntos personalizados de políticas.
•
Política tolerante — contém o conjunto de políticas menos rigoroso
•
Política moderada — contém um conjunto de políticas moderadamente rigoroso
•
Política rigorosa — contém o conjunto de políticas mais rigoroso
Você pode executar uma das seguintes ações:
•
Aceitar as configurações de política nos conjuntos de políticas padrão.
•
Criar, atualizar, ou excluir conjuntos de políticas personalizados.
•
Personalizar ou excluir um conjunto de políticas de amostra.
Para obter mais informações com relação à configuração das suas políticas, selecione Control Console |
Web Protection | Políticas. Clique em Novo e siga as instruções na Ajuda.
Link Programação de política
O link Programação de política permite ao cliente definir diferentes políticas ou regras para seus
usuários em diferentes horários do dia ou dias da semana. Por exemplo, sites diferentes podem ser
permitidos no horário de almoço, dos quais não são permitidos nos horários de trabalho padrão.
Para definir os dias e a hora para permitir aos clientes acessarem sites específicos, selecione o link
Control Console | Web Protection | Políticas | Programação de política e siga as instruções na Ajuda.
Perícia
A Perícia de Web permite que os administradores do cliente se aprofundem nos dados de registro
disponíveis para analisar seu serviço. Os administradores podem filtrar, classificar e exportar dados
dos registros para determinar especificamente quais deles ou todos os usuários, a ação resultante, o
uso da largura de banda, a detecção de vírus, etc. Os dados podem ser filtrados por data, usuário,
categoria, ação resultante e mais e pode ser classificado adequadamente. Essa função permite que os
dados mais aprofundados estejam disponíveis para um cliente no Serviço Web Filtering.
Para obter informações adicionais sobre como configurar filtros e classificar a pesquisa em Perícia,
selecione Control Console | Web Protection | Perícia. Siga as instruções na Ajuda.
25
5
Perícia
26
6
Otimizando o WDS Connector para
instalações mais amplas
Para clientes com mais de 500 clientes, a McAfee recomenda configurar o WDS Connector para usar
mais autorização filho do que o padrão de cinco.
Configurar o proxy para grande número de clientes
A configuração para grande número de clientes é realizada no arquivo de configuração squid
(squid.com), que controla o comportamento para o proxy do WDS Connector.
Clientes com grande número de clientes
Usando qualquer editor de texto (por exemplo, notepad), abra o arquivo squid.conf (local padrão c:
\program files\wds connector\wds connector proxy\etc\squid.conf), e substitua
auth_param ntlm children 5
com
auth_param ntlm children 25
(Certifique-se de que não haja # antes da entrada.)
Você deve reiniar o serviço do WDS Connector antes das alterações terem efeito. Esse número pode ser
seguramente elevado para 100. Isso define o número de autenticações NTLM simultâneas.
27
6
Otimizando o WDS Connector para instalações mais amplas
Configurar o proxy para grande número de clientes
28
A12

Guia de instalação Serviço McAfee SaaS Web Protection

Transcrição

Documentos relacionados

CONEXÃO DOMÉSTICA – GOOGLE CHROME 1

Configurações Básicas para ativar e configurar o WebProtection

Faça da data sheet

Guia de Configuração McAfee SaaS Web Protection Service

ajuste de configuração para o funcionamento do internet explorer 7.0

Como entrar no ambiente do Yahoo Grupos?

Limpeza do navegador Microsoft Internet Explorer

comprovadamente

McAfee Advanced Correlation Engine Data Sheet

Abertura de Chamados para Problemas Técnicos Equipamentos HP

O photo Paint pertence ao pacote de aplicativos gráficos do

Gestão Financeira para Modelos de Negócio Web

criando o seu currículo lattes

Relatório do McAfee Labs sobre ameaças Agosto de 2014

SAAS – Software as a Service

McAfee Endpoint Security 10.1.0 Guia de instalação Para ser usado