Guia de Configuração McAfee SaaS Web Protection Service

Transcrição

Guia de Configuração
Revisão A
McAfee SaaS Web Protection Service 8.5.0
COPYRIGHT
Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
TRADEMARK ATTRIBUTIONS
Intel e o logótipo da Intel são marcas comerciais registadas da Intel Corporation nos Estados Unidos e/ou noutros países. McAfee, o logótipo da McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger,
McAfeeTechMaster, McAfee Total Protection, TrustedSource, VirusScan são marcas comerciais ou registadas da McAfee, Inc. ou das respetivas
subsidiárias nos Estados Unidos e noutros países. Outros nomes e marcas poderão ser propriedade de terceiros.
LICENSE INFORMATION
License Agreement
AVISO A TODOS OS UTILIZADORES: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA QUE ADQUIRIU, QUE DEFINE OS TERMOS
E CONDIÇÕES GERAIS DE UTILIZAÇÃO DO SOFTWARE LICENCIADO. SE NÃO SOUBER O TIPO DE LICENÇA QUE ADQUIRIU, CONSULTE OS
DOCUMENTOS RELATIVOS À COMPRA OU CONCESSÃO DA LICENÇA, INCLUÍDOS NO PACOTE DO SOFTWARE OU FORNECIDOS SEPARADAMENTE
DURANTE O PROCESSO DE COMPRA (TAL COMO UM FOLHETO, UM FICHEIRO EXISTENTE NO CD DO PRODUTO OU UM FICHEIRO DISPONÍVEL NO WEB
SITE A PARTIR DO QUAL TRANSFERIU O PACOTE DE SOFTWARE). SE NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO
INSTALE O SOFTWARE. CASE SEJA APLICÁVEL, PODERÁ DEVOLVER O PRODUTO À MCAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER UM REEMBOLSO
TOTAL.
2
Conteúdo
1
Introdução
5
Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2
Configurar o SaaS Web Protection Service
Determinar a autenticação do Web Protection . . . . . . . . .
Adicionar utilizadores à Gestão de contas (autenticação explícita de
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar detalhes de utilizador para ao McAfee Client Proxy . . .
WDS Connector (autenticação transparente) . . . . . . . . .
Transferir o WDS Connector . . . . . . . . . . . . .
3
7
. . . . . . . . . . . . .
utilizadores ou transparente)
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
Configuração de proxy
7
. 9
. 9
10
10
11
Configurar uma definição de proxy estático no seu browser . . . . . . . . . . . . . . . .
12
Métodos de configuração de proxy . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Configurar automaticamente o ficheiro Mozilla.cfg através de um script de início de sessão
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Criar uma configuração automática de proxy ou ficheiro de deteção automática de proxy Web
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Configurar WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
Configurar DNS para um script WPAD . . . . . . . . . . . . . . . . . . . . . .
16
Configurar um servidor Web para utilizar um ficheiro PAC ou WPAD . . . . . . . . . . 17
Exemplo de ficheiro WPAD ou PAC básico . . . . . . . . . . . . . . . . . . . . . 19
4
Problemas comuns de configuração
21
Verificar primeiro uma definição de proxy codificada . . . . . . . . . . . . . . . . . . .
Verificar se todas as configurações estão em minúsculas . . . . . . . . . . . . . . . . .
5
Configurar conjuntos de políticas
25
Peritagem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
Otimizar o WDS Connector para grandes instalações
25
27
Configurar o proxy para uma grande quantidade de clientes . . . . . . . . . . . . . . . .
21
21
27
3
Conteúdo
4
1
Introdução
®
O McAfee SaaS Web Protection Service fornece uma proteção em tempo real contra ameaças da Web
e conteúdo inapropriado no perímetro da rede antes que consigam entrar na rede interna. O tráfego
do browser dos utilizadores é redirecionado para o SaaS Web Protection Service. À medida que cada
pedido de conteúdo Web é recebido, o SaaS Web Protection Service verifica o conteúdo com as
políticas definidas e, se ativado, verifica a existência worms e vírus conhecidos. Apenas o conteúdo
que não viola estas políticas e não possui ameaças conhecidas é enviado ao utilizador. Pode ativar ou
desativar políticas de conteúdo Web específicas na Control Console, a interface gráfica abrangente do
SaaS Web Protection Service.
Requisitos
Após a definição das políticas de filtragem Web através da Control Console, o Web Protection
redirecionará o tráfego Web para um servidor proxy para iniciar as proteções.
Deve concluir as seguintes ações antes de utilizar o Web Protection Service:
•
Subscrever o Web Protection
•
Criar um cliente
•
Criar um domínio
Pode considerar a implementação da funcionalidade de integração de diretório na Gestão de contas
antes de utilizar o WDS Connector. Deste modo, aumenta significativamente a probabilidade de
correspondência dos endereços de correio eletrónico do utilizador no Active Directory com os endereços
de correio eletrónico na Control Console.
Para obter mais informações sobre os ambientes suportados para o Web Protection, consulte as mais
recentes notas da versão.
5
1
Introdução
Requisitos
6
2
Configurar o SaaS Web Protection
Service
O SaaS Web Protection Service (Web Protection) para as ameaças antes de chegarem à rede
empresarial. Após a definição das políticas de filtragem do Web Protection, o tráfego Web deve ser
redirecionado para um servidor proxy e a proteção é, então, iniciada. Sistematicamente, as sessões
Web do utilizador final também são filtradas pelo Web Protection para bloquear vírus e spyware antes
de chegarem à rede, caso tenha sido adquirido o serviço de ameaças.
Conteúdo
Determinar a autenticação do Web Protection
Adicionar utilizadores à Gestão de contas (autenticação explícita de utilizadores ou transparente)
Adicionar detalhes de utilizador para ao McAfee Client Proxy
WDS Connector (autenticação transparente)
A janela Controlos de acesso permite-lhe definir o modo através do qual os utilizadores são autenticados
ao aceder à Web. Por exemplo, pode registar uma lista de endereços IP aceites para a sua
organização.
Escolha um dos quatro mecanismos fornecidos que lhe permitem aceder ao sistema do Web
Protection.
Se necessário, pode ser utilizado mais de um tipo de autenticação em conjunto.
Autenticação do intervalo de endereço IP
Vantagens:
•
O utilizador não necessita de iniciar sessão
•
Os utilizadores não necessitam de manter palavras-passe
•
Não é necessário instalar software
•
Pode ser implementado no limite da rede utilizando o encaminhamento
Desvantagens:
•
Não é possível aplicar políticas de grupo (todos os utilizadores têm uma política)
•
Sem relatórios individuais, os relatórios são todos agrupados pelo endereço IP externo
Autenticação explícita de utilizadores
Vantagens:
7
2
•
É possível aplicar políticas de grupo (diferentes utilizadores podem ter diferentes políticas)
•
Relatório individual num regime por utilizador
•
Não é necessário instalar software
Desvantagens:
•
Os utilizadores necessitam de iniciar sessão em cada sessão do browser
•
As palavras-passe devem ser mantidas e/ou autenticadas no servidor da empresa
Autenticação transparente (WDS Connector)
Ao utilizar o WDS Connector, existem várias melhores práticas recomendadas.
•
Na maioria dos casos, a McAfee recomenda que o WDS Connector esteja num servidor dedicado.
Embora não seja um requisito para os clientes mais pequenos, um servidor dedicado minimiza a
probabilidade de interferência de outros processos com o WDS Connector.
•
A McAfee recomenda a desinstalação ou desativação de software não essencial do servidor onde se
encontra instalado o WDS Connector.
Vantagens:
•
•
Sem manutenção de palavras-passe para os utilizadores no sistema do Web Protection
•
•
Desvantagens:
•
É necessária a instalação de software na infraestrutura empresarial
•
É necessário que o Active Directory e a autenticação NTLM reconheça os utilizadores
•
É necessário que cada utilizador possua um endereço de correio eletrónico no Active Directory que
corresponda a um endereço de correio eletrónico na Control Console
•
É necessário que os utilizadores iniciem sessão no domínio de forma interativa
•
É necessário que todo o tráfego do browser seja encaminhado através do WDS Connector
McAfee Client Proxy (MCP)
O McAfee Client Proxy é um agente do Windows que redireciona sem interrupções o tráfego HTTP e
HTTPS para os servidores do SaaS Web Protection. O McAfee Client Proxy pode ser configurado para:
•
Redirecionar sempre para uma proteção constante da nuvem
•
Redirecionar quando o utilizador não está na rede empresarial, para proteção de roaming
O McAfee Client Proxy transmite as informações encriptadas da nuvem referentes ao utilizador
individual, afiliação a um grupo para utilizadores e detalhes de conta do cliente. O sistema identifica
automaticamente o utilizador, o grupo ou o cliente para aplicar a política apropriada.
Vantagens:
8
•
•
Sem manutenção de palavras-passe para os utilizadores no sistema do Web Protection
•
Adicionar utilizadores à Gestão de contas (autenticação explícita de utilizadores ou transparente)
•
•
Pode ser configurado para evitar a desativação do agente
•
Trabalho ao nível de rede para todos os browsers e qualquer outra solicitação de HTTP ou HTTPS
2
Desvantagens:
•
Apenas suporte do Windows
•
É necessária implementação no terminal (ambiente de trabalho ou computador portátil)
•
Apenas inglês
Adicionar utilizadores à Gestão de contas (autenticação
explícita de utilizadores ou transparente)
A Gestão de contas é um conjunto de ecrãs administrativos que se utiliza para configurar e gerir,
numa única localização, as entidades do Web Protection Service. É uma opção do McAfee Client Proxy.
Estas entidades incluem:
•
Domínios
•
Utilizadores
•
Outros administradores, incluindo outros administradores de cliente, administradores de domínio,
gestores de quarentena e gestores de relatórios
Além disso, utiliza-se a Gestão de contas para administrar grupos de utilizadores que partilham uma
política de filtragem de correio eletrónico comum. Para definir os utilizadores que irão utilizar os Web
Protection Services, transfira o Guia de administração da gestão de contas e siga as instruções.
1
Aceda a http://www.mcafeesaas.com.
2
Inicie sessão, se necessário.
3
Clique em Materiais de referência.
4
Clique em Guia de administração da gestão de contas.
Adicionar detalhes de utilizador para ao McAfee Client Proxy
O McAfee Client Proxy pode ser utilizado sem definir nomes de utilizador. A Control Console mapeia
nomes de utilizador com as informações de domínio/nome de utilizador do Windows fornecidas pelo
McAfee Client Proxy.
A Control Console fornece um utilitário para mapear nomes de utilizador para os utilizadores de
correio eletrónico criados.
Tarefa
1
Inicie Web Protection | Políticas | Políticas do McAfee Client Proxy.
2
Clique em Utilitário de identificação do utilizador do MCP
Este utilitário mapeia automaticamente os nomes de utilizador no Active Directory para as contas
de correio eletrónico na Control Console.
Caso não sejam fornecidas informações de nome de utilizador, o utilitário McAfee Client Proxy utiliza
informações específicas do grupo ou cliente para determinar a política e para filtragem.
9
2
O WDS ConnectorSM, que é uma melhoria do SaaS Web Protection Service (Web Protection), permite
aos utilizadores aceder à Web através do Web Protection utilizando credenciais de domínio de rede
local existentes. Esta capacidade, por vezes conhecida como autenticação transparente, elimina a
necessidade de autenticação de um utilizador do Web Protection, sempre que abre um browser. Por
sua vez, o Web Protection valida automaticamente o utilizador sempre que abre um browser. Os
administradores do serviço Web Protection podem continuar a aplicar políticas de grupo aos
utilizadores, bem como monitorizar a utilização individual da Web, ameaças e muito mais.
Transferir o WDS Connector
Transfira o software do WDS Connector para que possa instalar o software e começar a utilizar o WDS
Connector.
Tarefa
1
Clique em Web Protection | Configuração.
2
Clique na ligação WDS Connector.
3
Clique em Transferir WDS Connector para transferir e instalar o software do WDS Connector.
Caso tenha acedido à Control Console a partir do servidor Windows que está a utilizar como
servidor proxy do WDS Connector, pode executar a instalação do software quando o transfere.
Neste caso, clique em Executar aquando da apresentação da primeira janela do instalador.
Caso aceda à Control Console a partir de um computador que não seja o servidor proxy do WDS
Connector, deve guardar o software numa unidade USB, CD ou outro meio, transferir o software
para o servidor proxy do WDS Connector e, em seguida, instalar o software.
10
3
Após a configuração do Web Protection, necessita de configurar a utilização de proxy dos seus
clientes. Existem quatro formas de o fazer:
•
Configure manualmente os clientes para apontar para o Web Protection e/ou o WDS Connector
utilizando as definições de proxy do Internet Explorer ou Firefox. É uma forma eficaz de bloquear
os computadores para apontarem para o Web Protection. Contudo, o principal problema com esta
configuração é que não é muito flexível, pelo que só é recomendada a locais de pequenas
dimensões ou locais nos quais a maioria dos utilizadores está em ambientes de trabalho e não em
computadores portáteis. Além disso, qualquer configuração do computador local oferece a
possibilidade de o utilizador inverter esta configuração após o afastamento do técnico de TI.
Também é abordado como bloquear o Internet Explorer e Firefox para que o utilizador não consiga
alterar nem remover facilmente as definições de proxy.
•
Utilize um ficheiro de configuração automática de proxy (ficheiro PAC) para definir no script como o
browser Web de um utilizador encontrará e utilizará os proxies Web na sua rede. Configurar
manualmente os clientes como estando impostos a um proxy é problemático para os utilizadores
num computador portátil, pois esse proxy não está disponível salvo se estiverem na rede da
empresa, através de uma ligação com fios ou VPN. Um ficheiro PAC permite-lhe corrigir este
problema ao corrigir o local de acesso do browser para obter informações de proxy e ignorando
possivelmente o proxy, acedendo diretamente à Internet, quando não for possível encontrar o
proxy. Outra vantagem da utilização de ficheiros PAC é que pode definir o que será efetuado
através de proxy. Por exemplo, numa navegação geral na Web normalmente é melhor enviar dados
através do Web Protection, pode não pretender que as suas aplicações importantes baseadas na
Web sejam canalizadas através de um proxy. Com um ficheiro PAC, pode adicionar algumas
informações a como o browser do utilizador decide encaminhar o tráfego.
•
O protocolo WPAD (Web Proxy Auto-Detect Protocol), para que sejam necessárias poucas ou
nenhumas alterações no cliente, mas em vez disso o browser utiliza a definição Detetar automaticamente
para procurar o seu ficheiro de configuração num servidor Web. Se não possível encontrar as
definições ou o servidor de WPAD, o browser adapta-se rapidamente e acede diretamente à
Internet. Esta definição é a mais fácil para o cliente, mas é mais intensa para o administrador de
sistema, pois inclui a configuração dos servidores de Web, DHCP e DNS. Felizmente, o formato do
ficheiro WPAD.DAT é idêntico ao ficheiro PAC e a McAfee fornece exemplos que pode copiar e colar
conforme necessário nesta secção.
•
Se utilizar o McAfee Client Proxy, a política de configuração para o McAfee Client Proxy determina
como e para onde o tráfego é direcionado. Para obter mais informações, consulte a documentação
do McAfee Client Proxy na Control Console em Web Protection | Configuração | McAfee Client Proxy.
Tarefas
•
Configurar uma definição de proxy estático no seu browser na página 12
A codificação de definições do Internet Explorer ou Firefox funciona perfeitamente em
locais de pequenas dimensões e em locais nos quais os computadores são
maioritariamente computadores de secretária. Contudo, esta definição não funciona
corretamente para os utilizadores com computadores portáteis que trabalham local e
remotamente, pois não terão acesso à Internet caso não obtenham o servidor proxy. Além
disso, não existe Intelligent Routing nem ativação pós-falha caso o proxy seja inacessível.
11
3
Configurar uma definição de proxy estático no seu browser
Conteúdo
Métodos de configuração de proxy
A codificação de definições do Internet Explorer ou Firefox funciona perfeitamente em locais de
pequenas dimensões e em locais nos quais os computadores são maioritariamente computadores de
secretária. Contudo, esta definição não funciona corretamente para os utilizadores com computadores
portáteis que trabalham local e remotamente, pois não terão acesso à Internet caso não obtenham o
servidor proxy. Além disso, não existe Intelligent Routing nem ativação pós-falha caso o proxy seja
inacessível.
Antes de começar
Esta configuração supõe que o cliente e o servidor não estão configurados para bloquear a
porta 3128 e/ou a porta 8080.
Tarefa
1
Inicie o Internet Explorer.
2
Clique em Ferramentas | Opções.
3
Clique no separador Ligações.
4
Clique em Definições de LAN.
5
Selecione Utilizar um servidor proxy para a LAN. Se estiver a utilizar o WDS Connector:
a
Introduza o nome de domínio completamente qualificado (preferencial) ou o nome de servidor
DNS passível de resolução do servidor no qual está instalado o WDS Connector.
b
No campo Porta, introduza 3128.
6
Introduza a entrada de proxy fornecida no kit de ativação recebido no registo.
7
8
Selecione Ignorar o servidor proxy para endereços locais.
Quando concluir, o servidor proxy deve assemelhar-se ao seguinte exemplo:
onde servidor proxy é o nome do servidor instalado no WDS Connector. A McAfee recomenda a
utilização de um nome de domínio completamente qualificado como proxyserver.yourdomain.com
em vez de apenas um nome de servidor.
9
12
Clique no separador Ligações. Caso possua entradas nas Definições de acesso telefónico e rede privada virtual,
também necessita de configurar as entradas para o proxy.
a
Selecione a definição da VPN, que pretende configurar, e clique em Definições.
b
Selecione Utilizar um servidor proxy para esta ligação.
3
10 Se estiver a utilizar o WDS Connector:
a
Introduza o nome de domínio completamente qualificado (preferencial) ou o nome de servidor
DNS passível de resolução do servidor no qual está instalado o WDS Connector.
b
11 Caso não esteja a utilizar o WDS Connector, a McAfee recomenda a seleção de Ignorar o servidor proxy
para endereços locais. Introduza o proxy fornecido no seu kit de ativação.
12 No campo Porta, introduza a porta 8080.
Para configurar proxies para os computadores dos utilizadores finais da sua organização, pode utilizar
um ficheiro PAC ou um script WPAD.
Num ambiente Windows, pode configurar uma política de grupo que aplique a configuração de proxy a
todos os computadores de utilizadores finais. Para obter mais informações sobre a funcionalidade da
política de grupo, consulte a documentação da Microsoft para a sua versão do Windows.
Configurar automaticamente o ficheiro Mozilla.cfg através de
um script de início de sessão
Esta é uma das várias formas pelas quais pode optar para fornecer este ficheiro e editar o ficheiro
all.js através de um script de início de sessão. O script de início de sessão efetua uma primeira
verificação para detetar se o Firefox está instalado e, em seguida, verifica o ficheiro Mozilla.cfg. Caso o
Firefox esteja instalado, mas não exista o ficheiro Mozilla.cfg, o script copia o ficheiro e edita o ficheiro
all.js adicionando uma nova linha, em seguida, adicionando o comando pref ao ficheiro all.js para que
saiba procurar o ficheiro Mozilla.cfg. Todas as ações deste script são gravadas num ficheiro de registo
para que saiba todos os detalhes relativamente ao êxito da instalação. Não afeta o utilizador. Da
13
3
próxima vez que os utilizadores fecharem e abrirem o browser, ficarão bloqueados pela sua
configuração de proxy.
Tarefa
1
Copie o ficheiro Mozilla.cfg para uma unidade partilhada de modo a que todos os utilizadores da
sua rede lhe possam aceder (apenas de leitura).
2
Edite o seu script de início de sessão como se segue:
Não se esqueça de alterar \\server\share para o seu servidor e nome da partilha.
:: Firefox Proxy Config file drop and all.js adjustment GOTO Check :Check :: First check
to see if Firefox is installed, then see if the config file is there IF NOT EXIST "C:
\Program Files\Mozilla Firefox" GOTO Lognofirefox IF NOT EXIST "C:\Program Files\Mozilla
Firefox\mozilla.cfg" GOTO Update IF NOT EXIST "C:\Program Files\Mozilla Firefox\mozilla
.cfg" GOTO Update GOTO Logalreadyinstalled GOTO End :Update :: Drop the config file and
adjust all.js copy \\server\share\mozilla.cfg C:\Program Files\Mozilla Firefox :: ::C
reate a new line at the bottom of the all.js file ECHO. >> "C:\Program Files\Mozilla
Firefox\greprefs\all.js" :: ::Add a pref to point to the new CFG file to the end of all
.js ECHO pref(general.config.filename, mozilla.cfg); >> C:\Program Files\Mozilla Firefox
\greprefs\all.js GOTO Loginstalled :Lognofirefox Echo %date% %time% user %username% on
%computername% does not have FireFox installed >> \\server\share \log.txt
GOTO End
:Logalreadyinstalled Echo %date% %time% user %username% on %computername% already has
mozilla.cfg downloaded >> \\server\share\log.txt GOTO End
:Loginstalled Echo %date% %time% user %username% on %computername% SUCCESS!! FireFox
Proxy installed! >> \\server\share\log.txt GOTO End :End ::All done!
Teste sempre o script de início de sessão num ou dois computadores antes de o colocar em
produção.
Nos computadores que não pretende bloquear, largue o ficheiro Mozilla.cfg manualmente, mas não
atualize o ficheiro all.js. Tal fará com que o script ignore esse computador e assuma que já está
atualizado.
Criar uma configuração automática de proxy ou ficheiro de
deteção automática de proxy Web
Um ficheiro de configuração automática de proxy (PAC) e um ficheiro de deteção automática de proxy
Web (WPAD) são ficheiros simples alojados num servidor Web interno que utiliza JavaScript para
indicar ao browser o que fazer antes de tentar carregar uma página Web.
A vantagem inerente aos ficheiros PAC e WPAD é que o ajudam a adicionar inteligência à sua
configuração de proxy para que se possa ajustar quando o computador não está ligado à rede ou
quando o proxy está inativo. Também pode decidir quais que sites que serão efetuados com proxy
para que os sites fundamentais de negócio nunca sejam afetados pelo proxy.
Configurar WPAD
Quando está a utilizar o protocolo WPAD (Web Proxy Auto-Detect Protocol), primeiro o browser
procura o DHCP para fornecer a localização das informações do seu ficheiro wpad.dat. Caso não o
encontre no DHCP, procurará no DNS antes de experimentar na Internet. Necessita de configurar o
servidor DHCP para que forneça estas informações.
Adicionar Opção 252 ao DHCP
14
3
Tarefa
1
No servidor de DHCP (ou utilizando o MMC no seu computador), selecione Iniciar | Programas |
Ferramentas administrativas | DHCP.
2
Clique com o botão direito no servidor DHCP que pretende editar e selecione Definir opções predefinidas.
3
Localize 252. Se não existir:
a
Clique em Adicionar para adicionar uma nova opção.
b
No campo Nome da opção, introduza WPAD.
c
No campo Código, introduza 252.
d
No campo Dados, introduza a string selecionada e clique em OK.
4
Na lista pendente Nome da opção, selecione 252 WPAD.
5
No campo Cadeia, introduza http://mywebserver/wpad.dat
Onde mywebserver é o nome do servidor Web que colocou no seu ficheiro de configuração
wpad.dat.
Esta cadeia tem de ser toda em minúsculas.
6
Clique em OK.
Após a alteração, as informações deste WPAD serão publicadas com cada novo endereço IP.
Certifique-se de que estão corretos no servidor DHCP, que o script está a funcionar e liberte/renove
o seu endereço IP para que o possa testar após clicar em OK. Agora que concluiu os passos acima
para a adição de Opção 252 ao seu servidor DHCP, pode adicioná-la ao servidor DHCP, âmbitos
específicos ou ambos.
7
Clique com o botão direito do rato em Opções do servidor e selecione Configurar opções.
Este passo tem de ser efetuado em minúsculas.
8
Selecione Opção 252
Verifique se as informações do servidor Web, a porta e o nome do ficheiro estão corretos.
Tem de ser efetuado em minúsculas.
9
Clique em OK.
10 Abra o âmbito em questão.
11 Clique com o botão direito do rato em Opções do âmbito e clique em Configurar opções.
12 Selecione Opção 252
13 Preencha o nome do servidor com o nome do seu servidor Web, porta e ficheiro wpad.dat.
Estas entradas têm de ser todas em minúsculas.
14 Clique em OK.
15
3
Configurar DNS para um script WPAD
O Internet Explorer procura DHCP Opção 252 caso o botão Detetar automaticamente esteja selecionado, logo
pode questionar-se sobre o motivo pelo qual a McAfee também recomenda esta alteração ao DNS.
Existem várias razões pelas quais pode pretender fazê-lo:
•
Pode pretender que o seu ficheiro de configuração de proxy funcione em máquinas com um
endereço IP estático.
•
Pode ter outros browsers que possam preferir uma entrada DNS em DHCP como Firefox.
•
Está preocupado com o facto da sua definição de deteção automático forçar o browser a procurar
até encontrar um ficheiro de configuração, possivelmente no domínio errado.
Por exemplo, caso tenha a opção Detetar proxy automaticamente definida no seu browser, mas o browser
não consiga encontrar o ficheiro wpad.dat para dallas.mydomain.com, procurará as informações de
wpad em wpad.mydomain.com e, em seguida, em wpad.com antes de desistir. Caso o encontre,
executará o script encontrado em qualquer um desses domínios criando um problema evidente de
segurança e configuração.
A suposição é que pretende fornecer informações WPAD ao seu domínio local. Assim, supondo que
o seu domínio local é mydomain.info pode editar o servidor DNS de mydomain.info e adicionar um
registo cname denominado WPAD que indica o servidor Web que aloja o ficheiro.
Tarefa
1
Inicie o DNS em MMC acedendo às ferramentas administrativas no controlador de domínio que
aloja o seu DNS.
2
Expanda Zonas de pesquisa direta.
3
Clique com o botão direito do rato na zona de pesquisa direta e selecione Novo alias (CNAME).
4
No campo Alias, introduza WPAD.
5
Introduza o nome de domínio completamente qualificado do servidor que aloja o seu ficheiro
WPAD.
6
Clique em OK.
7
Clique em OK.
Teste ao definir a opção Detetar automaticamente no Internet Explorer. Quando o browser encontra uma
página denominada wpad.yourdomain.com, as suas informações de proxy são automaticamente
atualizadas.
8
16
Após a conclusão das instruções de configuração de DNS e DHCP abaixo, configure o browser para
detetar automaticamente as definições de proxy.
a
b
Selecione Ferramentas | Opções.
c
d
Selecione Definições de LAN se estiver ligado à rede.
e
Selecione Detetar definições automaticamente.
3
Configurar um servidor Web para utilizar um ficheiro PAC ou
WPAD
Para utilizar um ficheiro PAC ou WPAD para configurar os seus proxies, necessita de configurar vários
elementos na sua rede.
Antes de começar
O ficheiro PAC é muito mais simples que a configuração WPAD, pois com o ficheiro PAC está
a indicar ao browser onde encontrar o ficheiro, pelo que só necessita de o colocar na raiz
de um servidor Web e indicar ao servidor como o carregar. Contudo, a configuração WPAD
utiliza DHCP e DNS para encontrar o ficheiro quando o browser do utilizador está definido
como Detetar definições automaticamente, pelo que necessita de colocar o ficheiro num servidor
Web e atualizar o DHCP e o DNS para que o browser saiba onde procurar o ficheiro.
O ficheiro PAC e WPAD devem ser colocados num servidor Web. A McAfee recomenda vivamente um
servidor Web interno em vez de um servidor na Internet. Também recomenda que o documento seja
apenas de leitura para evitar que o hacker redirecione todo o seu tráfego de Internet para o seu site
de spyware favorito. Para obter mais informações sobre possíveis problemas de segurança relativos à
utilização de um ficheiro PAC ou do protocolo WPAD, consulte http://www.microsoft.com/technet/
security/advisory/945713.mspx.
Tarefa
1
Copie o ficheiro proxy.pac para o diretório de documentos raiz no seu servidor Web.
•
Deve ser o diretório de documentos raiz
•
Deve ser o servidor virtual predefinido ou o servidor virtual ativo
•
Deve ser um nome de ficheiro em minúsculas
2
Adicione uma entrada MIME à configuração dos seus servidores Web para que saibam como abrir o
ficheiro.
3
Abra IIS Manager no servidor Web.
4
Clique com o botão direito do rato no Web site para adicionar um Tipo de MIME.
5
Clique em Propriedades.
6
No separador Cabeçalhos de HTTP, clique em Tipo de MIME.
7
Clique em Novo.
8
No campo Extensão, introduza a extensão de nome de ficheiro pac
a
No campo Tipos de MIME, introduza: application/x‑javascript‑config
b
Clique em OK e, em seguida, reinicie o serviço IIS (quando apropriado, dependendo das outras
tarefas em execução no servidor Web).
Tarefas
•
Configurar servidores Web para Apache versão 1.x na página 18
Para configurar servidores Web para o Apache 1.x, efetue os seguintes passos.
•
Configurar browsers Web para Apache versão 2.x na página 19
17
3
Configurar servidores Web para Apache versão 1.x
Tarefa
1
Edite /etc/apache/httpd.conf
2
Adicione AddType application/x‑javascript‑config pac
3
Edite /etc/apache2/mods-available/mime.conf.
4
Adicione AddType application/x‑javascript‑config pac
Reinicie o Apache Web Server (quando apropriado, dependendo das outras tarefas em execução no
servidor Web).
5
Teste ao abrir http://yourwebserver.domain.com/proxy.pac. Caso o seu browser Web lhe
pergunte como pretende abrir o ficheiro proxy.pac, então, efetuou este passo corretamente.
Configure o seu browser para apontar para o ficheiro proxy.pac no Internet Explorer ao efetuar o
seguinte:
a
Clique em Ferramentas | Opções.
b
c
Clique em Definições de LAN se estiver ligado à rede, ajuste as definições para configurar a VPN.
d
No campo Script de configuração automática introduza o URL do seu servidor Web.
Configuração do servidor Web para um ficheiro WPAD.DAT:
6
Copie o ficheiro wpad.dat para o diretório de documentos raiz no seu servidor Web.
a
Deve ser o diretório de documentos raiz, não algum site secundário ou diretório inferior.
b
Deve ser o servidor virtual predefinido ou o servidor virtual ativo.
c
DEVE ser um nome de ficheiro em minúsculas, WPAD.dat não funcionará, mas wpad.dat sim.
7
Adicione uma entrada MIME à configuração dos seus servidores Web para que saibam como abrir o
ficheiro.
8
Abra o IIS Manager no servidor Web.
9
Para adicionar um tipo de MIME, clique com o botão direito do rato no Web site pretendido.
10 Clique em Propriedades.
11 No separador Cabeçalhos de HTTP, clique em Tipos de MIME.
12 Clique em Novo.
13 No campo Extensão, introduza a extensão de nome de ficheiro pac.
18
a
Na caixa Tipo de MIME, introduza: application/x-javascript-config.
b
Clique em OK, em seguida, reinicie o serviço IIS (quando apropriado, dependendo das outras
tarefas em execução no servidor Web).
3
Configurar browsers Web para Apache versão 2.x
Tarefa
1
Edite /etc/apache2/mods‑available/mime.conf
2
Adicione a seguinte linha: (dat para wpad, pac para .pac)
a
Adicione Type application/x-javascript-config dat
b
Reinicie o Apache Web Server (quando apropriado, dependendo das outras tarefas em execução
no servidor Web).
3
Teste ao abrir http://webserver/wpad.dat utilizando o seu browser de Internet. Caso o seu browser
Web lhe pergunte como pretende abrir o ficheiro wpad.dat (por exemplo, com Notepad), então,
efetuou este passo corretamente.
4
Após a conclusão das instruções de configuração de DNS e DHCP abaixo, configure o browser para
detetar automaticamente as definições de proxy.
a
b
Selecione Ferramentas | Opções.
c
d
Clique em Definições de LAN se estiver ligado à rede.
e
Selecione Detetar definições automaticamente.
Exemplo de ficheiro WPAD ou PAC básico
Segue-se um exemplo de um ficheiro PAC ou WPAD básico.
Exemplo de ficheiro WPAD ou PAC
function FindProxyForURL(url, host) { return "PROXY proxyserver.example.com:3128” }
Partindo do princípio que o Internet Information Server ou Apache Web Server e o Internet Explorer
estão corretamente configurados (abordá-lo-emos abaixo), quando o seu browser tenta carregar uma
página Web, irá executar este script e procurar o servidor proxy na porta 3128. Se não o encontrar, irá
direcionar diretamente o browser para a Internet.
Este foi um exemplo muito simples. E se decidir que pretende que o seu ficheiro proxy ignore a sua
rede e computador locais?
Ficheiro WPAD ou PAC que não suporta com proxy o anfitrião ou rede local
function FindProxyForURL(url, host) { function FindProxyForURL(url, host) { if (
isPlainHostName(host) || localHostOrDomainIs(host, "127.0.0.1")|| isInNet(host, "10.0.0.0",
"255.0.0.0")) return "DIRECT"; else return ""PROXY proxyserver.example.com:3128"; }
Caso pretenda configurar o ficheiro PAC para ignorar Web sites específicos, adicione
shExpMatch(url,”www.myspecificsitenottoproxy.com). Consulte o exemplo seguinte.
Ficheiro WPAD ou PAC que ignora Web sites específicos
function FindProxyForURL(url, host) { if ( isPlainHostName(host) || localHostOrDomainIs(host
, "127.0.0.1")|| isInNet(host, 10.0.0.0", "255.0.0.0) shExpMatch(url, "*.yourcompanyname
.*")) // Don’t proxy mxlogic.* return DIRECT; else return ""PROXY proxyserver.example.com:
3128"; }
19
3
Por fim, caso pretenda configurar o servidor proxy para efetuar mais ações quando não encontrar o
proxy, pode fornecer vários proxies ou simplesmente direcioná-lo diretamente para a Internet.
…. else return PROXY proxyserver.example.com:3128; proxy domain.com.web02.mxlogic.net:8080;
DIRECT; }
Neste exemplo estamos a dar ao browser a indicação para experimentar um proxy local. Caso isso não
resulte, tente aceder diretamente à McAfee para criar ligações proxy. Caso isso não resulte, aceda
diretamente à Internet.
Existem muitas opções diferentes que pode utilizar nos ficheiros PAC e WPAD. A Microsoft Technet
apresenta um número considerável no seu artigo em http://technet.microsoft.com/en-us/library/
dd361918.aspx. Também existem muitas notas sobre as diferentes opções de ficheiro PAC e WPAD
aqui: http://jcurnow.home.comcast.net/~jcurnow/WritingEffectivePACFiles.html
Outras considerações
Algo importante a reter é que o Internet Explorer não fornece qualquer verificação de erros para um
ficheiro PAC ou WPAD. Caso se tenha esquecido de uma chaveta, parêntese ou tenha escrito
incorretamente um comando, o seu browser não o informará, acederá diretamente à Internet. Assim,
ao criar o ficheiro PAC, a inexistência de proxies (e já confirmou o funcionamento de uma ligação
direta ao seu proxy) pode significar que há um erro algures no seu script.
Além disso, note que o browser pode colocar este ficheiro em cache localmente, pelo que as
alterações ao ficheiro PAC ou WPAD no servidor podem não resultar em quaisquer alterações no
cliente até o mesmo desligar a configuração do seu proxy e voltar a ativá-la no Internet Explorer ou
Firefox.
20
4
Para começar a determinar o que está errado na configuração de proxy, introduza manualmente o
nome e a porta do seu servidor na configuração de proxy do Internet Explorer ou Firefox, feche e volte
a abrir o browser e, em seguida, tente aceder a uma página Web.
Conteúdo
Verificar primeiro uma definição de proxy codificada
Verificar se todas as configurações estão em minúsculas
Verificar primeiro uma definição de proxy codificada
Se conseguir aceder a uma página Web significa que o proxy funciona. Se conseguir aceder a http://
endoftime.mcafee.com e obtiver uma mensagem de erro Página não encontrada do Web Protection, então,
sabe que está a ser filtrado pelo serviço.
Caso não consiga aceder a uma página Web, então, sabe que existe um problema no servidor proxy.
Caso consiga aceder a uma página Web, mas não estiver a ser filtrado, então, um script ou outro
elemento de configuração automática está danificado.
Como mencionado em várias secções acima, várias configurações WPAD no servidor DNS, DHCP e no
nome de ficheiro do ficheiro wpad.dat file exigem minúsculas na maioria dos sistemas. Verifique estas
áreas atentamente.
Uma verificação incorreta no Internet Explorer e Firefox:
O Internet Explorer pode executar um ficheiro proxy.pac ou wpad.dat, mas não avisa se ocorrer um
erro, simplesmente desiste e acede diretamente à Internet. Teste os seus scripts utilizando os alertas
como mencionado em http://jcurnow.home.comcast.net/~jcurnow/WritingEffectivePACFiles.html.
Vários erros e bugs da Microsoft
Consulte http://technet.microsoft.com/en-us/library/cc302643.aspx.
Firewalls
Os seus computadores devem conseguir aceder ao seu servidor proxy no qual está a ser executado o
WDS Connector.
O router e os comutadores na sua empresa entre os clientes e o servidor proxy devem permitir que os
ambientes de trabalho e os computadores portáteis comuniquem com o servidor proxy na porta 3128.
21
4
O seu servidor proxy no qual o McAfee WDS Connector está instalado deve permitir ligações na porta
de entrada 3128.
O seu servidor proxy no qual o McAfee WDS Connector está instalado deve permitir ligações na porta
de entrada 3128. Qualquer firewall ou configuração Windows que limite as ligações pode reduzir o
número de computadores que podem utilizar o proxy em simultâneo resultando numa situação na qual
alguns computadores são controlados por proxy e outros não.
Por fim, o servidor proxy deve conseguir comunicar com McAfee na porta 3128 (squid) para filtrar
requisitos. Caso uma firewall de servidor ou firewall limite (router) esteja a bloquear esta porta, o
proxy não funcionará.
Problemas com WDS Connector Service
Verifique se o serviço WDS Connector está a ser executado no servidor proxy. Num ambiente WPAD, é
provável que os utilizadores acedam diretamente à Internet se este serviço estiver parado ou
indisponível. Numa configuração de proxy codificado ou num ambiente PAC sem "DIRECT", o
encerramento do serviço Web Protection provoca um erro de página não encontrada.
Se estiver a utilizar outros métodos de autenticação, certifique-se de que a porta 8080 está aberta para
ligações de saída.
Problemas com o controlador de domínio e os utilizadores
O seu servidor proxy no qual foi instalado o WDS Connector deve poder comunicar com o controlador
de domínio especificado durante a instalação. Se este controlador de domínio tiver sido rejeitado pela
firewall, removido, desinstalado ou não estiver disponível, os utilizadores receberão um erro de
autenticação. Neste momento, o WDS Connector não pode se pode direcionar para outro controlador
de domínio. Caso necessite de reiniciar ou trabalhar no controlador de domínio para o qual o WDS
Connector aponta, a McAfee recomenda parar primeiro o serviço do conector, caso se encontre num
ambiente PAC ou WPAD. Se estiver codificado neste servidor proxy, desligar o WDS Connector ou
trabalhar no componente de domínio (DC) pode provocar uma falha de Internet.
Problemas dos utilizadores de domínio do WDS Connector
O servidor proxy no qual o WDS Connector foi instalado deve poder comunicar com o controlador de
domínio especificado durante a instalação utilizando a conta de utilizador especificada durante o
processo de configuração. Se esta conta de utilizador tiver sido eliminada, expirou ou foi bloqueada,
os utilizadores receberão um erro de autenticação.
Utilizador não configurado na Control Console
Caso não tenha sido criado um utilizador na Control Console e o mesmo tentar utilizar o proxy através
do WDS Connector, receberá um erro de autenticação. Os utilizadores devem ser configurados antes
da instalação do WDS Connector. Considere utilizar a sincronização do Active Directory do McAfee para
atualizar automaticamente os seus utilizadores no Active Directory e na consola McAfee.
Palavra-passe incorreta, conta bloqueada, conta expirada no Active Directory
O WDS Connector procura no Active Directory as suas informações de utilizador. Contudo, se esse
utilizador tiver iniciado sessão localmente num computador, receberá um pedido de início de sessão
antes de iniciar sessão na rede. Além disso, se a conta Active Directory desse utilizador tiver expirado,
bloqueado ou tiver sido eliminada, este utilizador terá de iniciar sessão antes de abrir uma página Web
e pode receber um erro de autenticação.
22
4
Sessão fora do domínio
Se um utilizador iniciar sessão localmente num computador portátil ou num ambiente de trabalho,
receberá um pedido de início de sessão antes de poder aceder a um Web site, tal como teria de fazer
caso tentasse aceder a um recurso do servidor.
Problemas no programa
Alguns programas não conseguem autenticar-se utilizando NTLM ou não gostam de utilizar proxy e
podem fazer com que o utilizador visualize um pedido de início de sessão em vez de uma mensagem
de erro. Normalmente esta situação acontece em aplicações Java não empresariais. Por vezes, ao
clicar várias vezes resolverá a situação. Outras vezes é necessário que um administrador anule a
configuração automática no proxy.
Atualizações do Windows
A McAfee recomenda a utilização do WSUS para atualizar os seus computadores de secretária e
portáteis. Caso tente aceder a update.microsoft.com, pode deparar-se com um bloqueio na fase de
deteção e, eventualmente, receber uma mensagem de erro caso tente contornar o proxy. É um
problema conhecimento com o site do Microsoft Windows Update e os servidores proxy, incluindo o
seu servidor IAS. A forma mais rápida de evitar este problema é desativar Detetar automaticamente
antes de aceder ao site do Windows Update. Outra opção é excluir os servidores do Windows Update
do ficheiro WPAD.DAT ou Proxy.pac. Pode fazê-lo utilizando o comando shExpMatch (url, website) no
seu script para não suportar com proxy os seguintes sites:
•
http://download.windowsupdate.com
•
http://download.microsoft.com
•
https://*.windowsupdate.microsoft
.com
•
http://windowsupdate.microsoft.com
•
http://*.windowsupdate.microsoft.com
•
http://ntservicepack.microsoft.com
•
http://*.update.microsoft.com
•
http://wustat.windows.com
•
http://*.download.windowsupdate.com
•
https://*.update.microsoft.com
•
http://update.microsoft.com
•
https://update.microsoft.com
•
http://*.windowsupdate.com
O Web site que aborda este problema e fornece uma solução para o mesmo é http://
support.microsoft.com/kb/885819
Servidor Web incorretamente configurado
Teste a sua capacidade ao abrir http://webserver/wpad.dat utilizando o seu browser de Internet. Caso
o seu browser Web lhe pergunte como pretende abrir o ficheiro wpad.dat (por exemplo, com
Notepad), então, efetuou este passo com sucesso.
Erro no ficheiro PAC/WPAD
O ficheiro PAC contém uma função JavaScript. Os erros de sintaxe no JavaScript impedem a execução
do ficheiro PAC e o proxy não irá configurar corretamente. O comportamento padrão para a maioria
dos browsers é não configurar o proxy, pelo que o tráfego será direcionado para a Internet sem
filtragem. Para testar os erros de sintaxe, utilize uma ferramenta de validação JavaScript. Encontra-se
disponível uma ferramenta simples em http://javascriptlint.com/online_lint.php — copie e cole o
conteúdo do ficheiro PAC na área de texto e execute o teste. Normalmente, os avisos podem ser
ignorados, mas devem ser corrigidos quaisquer erros de sintaxe e outros erros para que o ficheiro PAC
funcione corretamente.
23
4
24
5
O separador Conjuntos de políticas lista as políticas de navegação na Web atualmente definidas para o
Enterprise Customer designado, incluindo políticas predefinidas e exemplares, e permite-lhe abrir o
separador de configuração da política específica para modificar as políticas.
Conjuntos de políticas exemplares
Existem três conjuntos de políticas exemplares que pode utilizar como um ponto de partida para a
criação de conjuntos de políticas personalizados:
•
Política indulgente — Contém o conjunto de políticas menos rigorosas
•
Política moderada — Contém o conjunto de políticas moderadamente rigorosas
•
Política rigorosa — Contém o conjunto de políticas mais rigorosas
Pode efetuar qualquer um dos seguintes procedimentos:
•
Aceitar as configurações de política nos conjuntos de políticas predefinidos.
•
Criar, atualizar ou eliminar conjuntos de políticas personalizados.
•
Personalizar ou eliminar um conjunto de políticas exemplar.
Para obter mais informações relativamente a configuração de políticas, selecione Control Console | Web
Protection | Políticas. Clique em Novo e siga as instruções em Ajuda.
Ligação de planeamento de políticas
A ligação de planeamento de políticas permite ao cliente a definição de diferentes políticas ou regras
para os seus utilizadores em diferentes horas do dia ou dias da semana. Por exemplo, à hora de
almoço podem ser permitidos sites que não são permitidos durante as horas de funcionamento
normais.
Para configurar os dias e hora nos quais os clientes podem aceder a sites específicos, selecione Control
Console | Web Protection | Políticas | Planeamento de políticas e siga as instruções em Ajuda.
Peritagem
O separador Peritagem Web permite aos administradores de cliente a análise dos dados do registo
disponível para rever o seu serviço. Os administradores podem filtrar, ordenar e exportar dados dos
registos para determinar especificamente algum ou todos os utilizadores, a ação resultante, a
utilização de largura de banda, a deteção de vírus, etc. Os dados podem ser filtrados por data,
utilizador, categoria, ação resultante, etc., e ordenados adequadamente. Esta função permite
disponibilizar os dados mais profundos a um cliente sobre o Web Filtering Service.
Para obter mais informações sobre como configurar filtros e ordenar pesquisas na Peritagem, selecione
Control Console | Web Protection | Peritagem. Siga as instruções em Ajuda.
25
5
Peritagem
26
6
Otimizar o WDS Connector para grandes
instalações
Para clientes com mais de 500 clientes, a McAfee recomenda a configuração do WDS Connector de
modo a que possa utilizar mais autorizações que as cinco predefinidas.
Configurar o proxy para uma grande quantidade de clientes
A configuração para uma grande quantidade de clientes é obtida no ficheiro de configuração squid
(squid.conf), que contém o comportamento do proxy do WDS Connector.
Clientes com uma grande quantidade de clientes
Utilizando qualquer editor de texto (por exemplo, Notepad), abra o ficheiro squid.conf (localização
predefinida c:\program files\wds connector\wds connector proxy\etc\squid.conf) e substitua
auth_param ntlm children 5
por
auth_param ntlm children 25
(Certifique-se de que não existe um # antes da entrada.)
Deve reiniciar o serviço WDS Connector para que as alterações entrem em vigor. Este número pode ser
aumentado de forma segura para 100. Define o número de autenticações NTLM simultâneas.
27
6
Otimizar o WDS Connector para grandes instalações
Configurar o proxy para uma grande quantidade de clientes
28
A06

Guia de Configuração McAfee SaaS Web Protection Service

Transcrição

Documentos relacionados

Como acessar rede UFPR de casa

CONEXÃO DOMÉSTICA – GOOGLE CHROME 1

Manual de Configuração de Proxy do Mozilla Firefox

Configuração do Proxy no Internet Explorer - Multiweb

Configurações Básicas para ativar e configurar o WebProtection

Guia de instalação Serviço McAfee SaaS Web Protection

Faça da data sheet

Como acessar rede UFPR de casa

McAfee VirusScan Mobile Security

McAfee Complete Data Protection Data Sheet

SAAS – Software as a Service