Configuratiehandleiding Revisie B. McAfee SaaS Web Protection Service

Configuratiehandleiding

Revisie B

McAfee SaaS Web Protection Service

COPYRIGHT Copyright © 2013 McAfee, Inc. Kopiëren zonder toestemming is verboden.

HANDELSMERKEN McAfee, het McAfee logo, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure zijn handelsmerken of gedeponeerde handelsmerken van McAfee, Inc. of haar dochterondernemingen in de VS en andere landen. Andere namen en merken kunnen eigendom van anderen zijn. De product‑ en functienamen en beschrijvingen kunnen zonder kennisgeving worden gewijzigd. Ga naar mcafee.com voor de recentste producten en functies.

LICENTIE‑INFORMATIE Licentieovereenkomst KENNISGEVING VOOR ALLE GEBRUIKERS: LEES DE JURIDISCHE OVEREENKOMST DIE BIJ DE DOOR U GEKOCHTE LICENTIE HOORT ZORGVULDIG DOOR. DEZE OVEREENKOMST BETREFT DE ALGEMENE VOORWAARDEN EN BEPALINGEN VOOR HET GEBRUIK VAN DE SOFTWARE ONDER DEZE LICENTIE. ALS U NIET WEET WELK TYPE LICENTIE U HEBT AANGESCHAFT, RAADPLEEGT U DE VERKOOPOVEREENKOMST OF ANDERE DOCUMENTEN DIE BIJ DE SOFTWARE ZIJN GELEVERD OF DIE U AFZONDERLIJK HEBT ONTVANGEN BIJ DE AANKOOP. (DIT KUNNEN DOCUMENTEN ZIJN IN DE VORM VAN EEN BOEKJE, EEN BESTAND OP DE CD VAN HET PRODUCT OF EEN BESTAND OP DE WEBSITE VANWAAR U HET SOFTWAREPAKKET HEBT GEDOWNLOAD.) INDIEN U NIET INSTEMT MET EEN OF MEERDERE BEPALINGEN VAN DEZE OVEREENKOMST, MAG U DE SOFTWARE NIET INSTALLEREN. INDIEN VAN TOEPASSING, KUNT U HET PRODUCT TERUGSTUREN NAAR MCAFEE OF TERUGBRENGEN NAAR DE PLAATS WAAR U DIT HEBT AANGESCHAFT, WAARNA HET VOLLEDIGE AANKOOPBEDRAG ZAL WORDEN GERESTITUEERD.

2



Inhoud

1

2

Inleiding

5

Vereisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

SaaS Web Protection Service instellen

7

Web Protection-verificatie bepalen . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Gebruikers toevoegen aan Accountbeheer (expliciete gebruikersverificatie of transparante verificatie) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Gebruikersgegevens toevoegen voor McAfee Client Proxy . . . . . . . . . . . . . . . . . . 9 WDS Connector (transparante verificatie) . . . . . . . . . . . . . . . . . . . . . . . . 10 WDS Connector downloaden . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3

Proxyconfiguratie

11

Een statische proxyinstelling configureren in de browser. . . . . . . . . . . . . . . . . . Een statische proxy configureren op al uw computers met behulp van groepsbeleid . . . . . . . Uw proxy vergrendelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Het bestand Mozilla.cfg automatisch configureren via een aanmeldingsscript . . . . . . Een Proxy Automatic Configuration-bestand of een Web Proxy Auto-Detect-bestand maken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WPAD configureren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS configureren voor een WPAD-script . . . . . . . . . . . . . . . . . . . . . Een webserver instellen voor gebruik van een PAC- of WPAD-bestand . . . . . . . . . Voorbeeld van een eenvoudig WPAD- of PAC-bestand . . . . . . . . . . . . . . . .

4

Gangbare configuratieproblemen

12 13 13 14 15 15 16 17 19

21

Eerst controleren op een in code vastgelegde proxyinstelling . . . . . . . . . . . . . . . . 21 Controleren of alle configuraties in kleine letters zijn . . . . . . . . . . . . . . . . . . . 21

5

Beleidssets instellen

25

Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

6

WDS Connector optimaliseren voor grotere installaties

27

De proxy configureren voor een groot aantal clients . . . . . . . . . . . . . . . . . . .


27


3

Inhoud

4



1

Inleiding

®

McAfee SaaS Web Protection Service biedt real‑time beveiliging tegen internetdreigingen en ongeschikte inhoud buiten het netwerk voordat deze het interne netwerk kunnen binnenkomen. Het browserverkeer voor gebruikers wordt omgeleid naar SaaS Web Protection Service. Wanneer een verzoek om webinhoud wordt ontvangen, controleert SaaS Web Protection Service de inhoud op basis van het ingestelde beleid en controleert de inhoud op bekende wormen en virussen als deze functie is ingeschakeld. Alleen inhoud die het beleid niet schendt en die geen bekende dreigingen bevat, wordt teruggezonden naar de gebruiker. U kunt specifiek beleid voor webinhoud in‑ of uitschakelen in de Control Console, de veelomvattende grafische interface van SaaS Web Protection Service.

Vereisten Nadat u het beleid voor Web Filtering hebt bepaald via de Control Console, leidt Web Protection internetverkeer van het bedrijf om naar een proxyserver om zo het verkeer te beveiligen. U moet het volgende doen voordat u de Web Protection Service gebruikt: •

Een abonnement nemen op Web Protection

•

Een klant maken

•

Een domein maken U kunt overwegen de functie Active Directory‑integratie te implementeren in Accountbeheer voordat u WDS Connector gebruikt. Op die manier vergroot u de kans dat e‑mailadressen van gebruikers in Active Directory overeenkomen met de e‑mailadressen in de Control Console.

Voor informatie over ondersteunde omgevingen voor Web Protection raadpleegt u de nieuwste versie‑informatie.



5

1

Inleiding Vereisten

6



2

SaaS Web Protection Service instellen

SaaS Web Protection Service (Web Protection) stopt dreigingen voordat ze het bedrijfsnetwerk bereiken. Nadat het filterbeleid voor Web Protection is gedefinieerd, moet webverkeer worden omgeleid naar een proxyserver, waarna de beveiliging wordt toegepast. Websessies van eindgebruikers worden ook systematisch gefilterd door Web Protection om zo virussen en spyware te blokkeren voordat ze het netwerk bereiken, mits de service tegen dreigingen is aangeschaft. Inhoud Web Protection-verificatie bepalen Gebruikers toevoegen aan Accountbeheer (expliciete gebruikersverificatie of transparante verificatie) Gebruikersgegevens toevoegen voor McAfee Client Proxy WDS Connector (transparante verificatie)

Web Protection-verificatie bepalen In het venster Toegangsbeheer kunt u bepalen hoe gebruikers worden geverifieerd wanneer ze toegang willen krijgen tot internet. U kunt bijvoorbeeld een lijst met toegestane IP‑adressen voor uw organisatie registreren. Kies een van de vier beschikbare methoden van het Web Proctection‑systeem: Zo nodig kan meer dan één verificatiemethode tegelijk worden gebruikt.

Verificatie via IP‑adresbereik Voordelen: •

Geen gebruikersaanmelding vereist

•

Geen wachtwoorden bijhouden voor gebruikers

•

Er hoeft geen software te worden geïnstalleerd

•

Kan worden geïmplementeerd aan de rand van het netwerk met behulp van routering

Nadelen: •

Groepsbeleid kan niet worden toegepast (er is één beleid voor alle gebruikers)

•

Geen individuele rapporten, alle rapporten zijn gegroepeerd op het externe IP‑adres

Expliciete gebruikersverificatie Voordelen:



7

2

SaaS Web Protection Service instellen Web Protection-verificatie bepalen

•

Groepsbeleid kan worden toegepast (er kan verschillend beleid worden toegepast op verschillende gebruikers)

•

Individuele rapporten per gebruiker

•

Er hoeft geen software te worden geïnstalleerd

Nadelen: •

Gebruikers moeten zich eenmaal per browsersessie aanmelden

•

Wachten moeten worden bijgehouden en/of geverifieerd met een bedrijfsserver

Transparante verificatie (WDS Connector) Als WDS Connector wordt gebruikt, worden bepaalde procedures aanbevolen. •

In de meeste gevallen raadt McAfee aan WDS Connector op een speciale server te installeren. Hoewel dit geen vereiste is voor kleinere klanten, is bij een speciale server de kans kleiner dat andere processen WDS Connector verstoren.

•

McAfee raadt aan niet‑essentiële software op de server waarop WDS Connector is geïnstalleerd te verwijderen of uit te schakelen.

Voordelen: •


•

Geen wachtwoorden bijhouden voor gebruikers in het Web Protection‑systeem

•


•


Nadelen: •

Er moet software worden geïnstalleerd in de bedrijfsinfrastructuur

•

Vereist Active Directory‑ en NTLM‑verificatie om gebruikers te herkennen

•

Vereist dat elke gebruiker een e‑mailadres in Active Directory heeft dat overeenkomt met een e‑mailadres in de Control Console

•

Gebruikers moeten zich interactief aanmelden bij het domein

•

Al het browserverkeer moet worden omgeleid via WDS Connector

McAfee Client Proxy (MCP) McAfee Client Proxy is een Windows‑agent die HTTP‑ en HTTPS‑verkeer naadloos omleidt naar de SaaS Web Protection‑servers. McAfee Client Proxy kan worden geconfigureerd om: •

Verkeer altijd om te leiden voor een constante beveiliging in de cloud

•

Om te leiden wanneer de gebruiker zich niet in het bedrijfsnetwerk bevindt voor beveiliging tijdens roaming

McAfee Client Proxy geeft aan de cloud versleutelde gegevens door met betrekking tot individuele gebruikers, groepslidmaatschap van gebruikers en gegevens over klantaccounts. Het systeem identificeert automatisch de gebruiker, de groep of de klant en past het juiste beleid toe. Voordelen:

8

•


•

Geen wachtwoorden bijhouden voor gebruikers in het Web Protection‑systeem



SaaS Web Protection Service instellen Gebruikers toevoegen aan Accountbeheer (expliciete gebruikersverificatie of transparante verificatie)

2

•


•


•

Kan zo worden geconfigureerd dat de agent niet kan worden uitgeschakeld

•

Werkt op netwerkniveau voor alle browsers en alle HTTP‑ of HTTPS‑verzoeken

Nadelen: •

Alleen Windows‑ondersteuning

•

Vereist implementatie op het eindpunt (desktop of laptop)

•

Alleen in het Engels

Gebruikers toevoegen aan Accountbeheer (expliciete gebruikersverificatie of transparante verificatie) Accountbeheer bestaat uit een reeks beheervensters die u gebruikt om de entiteiten in Web Protection Service op één locatie te configureren en te beheren. Dit is een optie voor McAfee Client Proxy. Deze entiteiten omvatten: •

Domeinen

•

Gebruikers

•

Andere beheerders, met inbegrip van andere klantbeheerders, domeinbeheerders, quarantainebeheerders en rapportbeheerders

Daarnaast gebruikt u Accountbeheer om groepen gebruikers te beheren waarvoor een gemeenschappelijk beleid voor e‑mailfiltering geldt. Als u de gebruikers wilt instellen die Web Protection Services gebruiken, downloadt u de Beheerdershandleiding voor Accountbeheer en volgt u de instructies. 1

Ga naar http://www.mcafeesaas.com.

2

Meld u zo nodig aan.

3

Klik op Naslagmateriaal.

4

Klik op Beheerdershandleiding voor Accountbeheer.

Gebruikersgegevens toevoegen voor McAfee Client Proxy McAfee Client Proxy kan worden gebruikt zonder gebruikersnamen te definiëren. De Control Console koppelt gebruikersnamen aan de gegevens over Windows‑domeinen/gebruikersnaam die worden geleverd door McAfee Client Proxy. De Control Console biedt een hulpprogramma dat gebruikersnamen koppelt aan de e‑mails die gebruikers maken.



9

2

SaaS Web Protection Service instellen WDS Connector (transparante verificatie)

Procedure 1

Start Web Protection | Beleid | McAfee Client Proxy‑beleid.

2

Klik op MCP‑gebruikersidentificatiehulpprogramma Dit hulpprogramma koppelt de gebruikersnamen in Active Directory automatisch aan de e‑mailaccounts in de Control Console. Als er geen gebruikersnaam is opgegeven, gebruikt het hulpprogramma McAfee Client Proxy groeps‑ of klantgegevens om het beleid te bepalen dat voor filtering moet worden gebruikt.

WDS Connector (transparante verificatie) WDS ConnectorSM, een uitbreiding op SaaS Web Protection Service (Web Protection), biedt gebruikers toegang tot het web via Web Protection met behulp van bestaande aanmeldingsgegevens voor het lokale netwerkdomein. Deze mogelijkheid, soms ook wel transparante verificatie genoemd, voorkomt dat Web Protection een gebruiker moet verifiëren telkens wanneer deze een browser opent. In plaats daarvan valideert Web Protection de gebruiker automatisch wanneer deze een browser opent. Beheerders van de Web Protection‑service kunnen groepsbeleid blijven toepassen op gebruikers, het webgebruik van individuele personen bijhouden, dreigingen in de gaten houden en meer.

WDS Connector downloaden Download de software WDS Connector zodat u de software kunt installeren en WDS Connector kunt gebruiken. Procedure 1

Klik op de tab Web Protection | instellen.

2

Klik op de koppeling WDS Connector.

3

Klik op WDS Connector downloaden om de WDS Connector‑software te downloaden en te installeren. Als u naar de Control Console bent gegaan vanuit de Windows‑server die u gebruikt als proxyserver voor WDS Connector, kunt u de installatie van de software uitvoeren wanneer u deze downloadt. Klik in dat geval op Uitvoeren wanneer het eerste installatievenster wordt weergegeven. Als u naar de Control Console bent gegaan vanaf een andere computer dan de proxyserver voor WDS Connector, moet u de software opslaan op een USB‑stick, een cd of een ander medium, de software overzetten naar de WDS Connector‑proxyserver en vervolgens de software installeren.

10



3

Proxyconfiguratie

Nadat u Web Protection hebt geconfigureerd, moet u de clients configureren voor het gebruik van de proxy. U kunt dit op vier manieren doen: •

Clients handmatig configureren zodat ze wijzen naar Web Protection en/of WDS Connector via de proxyinstellingen van Internet Explorer of Firefox. Dit is een effectieve manier om alle computers vast in te stellen zodat ze wijzen naar Web Protection. Het grootste probleem met deze configuratie is echter dat deze niet erg flexibel is, zodat dit alleen wordt aanbevolen voor kleine bedrijven of bedrijven waar de meeste gebruikers desktopcomputers gebruiken en geen laptops. Bij elke configuratie van de lokale computer bestaat bovendien de mogelijkheid dat de gebruiker deze configuratie ongedaan maakt nadat de IT‑medewerker zijn hielen heeft gelicht. Het is ook mogelijk om Internet Explorer en Firefox te vergrendelen, zodat de gebruiker de proxyinstellingen niet gemakkelijk kan wijzigen of verwijderen. Tot slot kunt u groepsbeleid gebruiken om de proxy's van de gebruikers in code vast te leggen en ervoor te zorgen dat ze dit niet kunnen wijzigen.

•

Een Proxy Auto Configuration‑bestand (PAC‑bestand) gebruiken om in een script vast te leggen hoe de webbrowser van een gebruiker webproxy's in het netwerk zoekt en gebruikt. Een proxy handmatig in code vastleggen op clients is zeer problematisch voor gebruikers met een laptop, aangezien die proxy alleen beschikbaar is wanneer ze zich in het bedrijfsnetwerk bevinden, via een bekabelde verbinding of een VPN. Met een PAC‑bestand kunt u dit probleem verhelpen door aan te geven waar de browser proxygegevens zoekt, de proxy mogelijk negeert en rechtstreeks naar internet gaat wanneer de proxy niet kan worden gevonden. Een ander voordeel van het gebruik van PAC‑bestanden is dat u kunt bepalen waarvoor wel en geen proxy moet worden gebruikt. Hoewel algemeen surfen op internet gewoonlijk beter kan gebeuren via Web Protection, wilt u belangrijke webtoepassingen mogelijk niet via een proxy laten verlopen. Met een PAC‑bestand kunt u enige intelligentie toevoegen aan de manier waarop de browser van de gebruiker bepaalt hoe het verkeer moet worden omgeleid.

•

Bij gebruik van Web Proxy Auto‑Detect Protocol (WPAD) hoeven weinig tot geen wijzigingen te worden aangebracht op de client, maar gebruikt de browser de instelling Automatisch detecteren om het configuratiebestand op een webserver te zoeken. Als de WPAD‑instellingen of de server niet kunnen worden gevonden, past de browser zich snel aan en gaat rechtstreeks naar internet. Deze instelling is verreweg het gemakkelijkst voor de client, maar is zwaarder voor de systeembeheerder omdat hierbij web‑, DHCP‑ en DNS‑servers moeten worden geconfigureerd. Gelukkig is de indeling van het bestand WPAD.DAT identiek aan die van het PAC‑bestand en geven we voorbeelden die u zo nodig kunt kopiëren en plakken.

•

Als u McAfee Client Proxy gebruikt, bepaalt het configuratiebeleid voor McAfee Client Proxy hoe en waar verkeer wordt omgeleid. Raadpleeg voor meer informatie de documentatie van McAfee Client Proxy in de Control Console onder Web Protection | Instellen | McAfee Client Proxy.

Taken •

Een statische proxyinstelling configureren in de browser. op pagina 12 De Internet Explorer‑ of Firefox‑instellingen in code vastleggen werkt prima voor kleine bedrijven en bedrijven waarbij de computers voornamelijk desktops zijn. Deze instelling werkt echter niet goed voor gebruikers op laptops die lokaal en extern werken, aangezien deze geen toegang hebben tot internet als ze niet bij de proxyserver kunnen komen. Ook is er geen intelligente routering of failover als de proxy niet bereikbaar is.



11

3

Proxyconfiguratie Een statische proxyinstelling configureren in de browser.

Inhoud Een statische proxyinstelling configureren in de browser. Een statische proxy configureren op al uw computers met behulp van groepsbeleid

Een statische proxyinstelling configureren in de browser. De Internet Explorer‑ of Firefox‑instellingen in code vastleggen werkt prima voor kleine bedrijven en bedrijven waarbij de computers voornamelijk desktops zijn. Deze instelling werkt echter niet goed voor gebruikers op laptops die lokaal en extern werken, aangezien deze geen toegang hebben tot internet als ze niet bij de proxyserver kunnen komen. Ook is er geen intelligente routering of failover als de proxy niet bereikbaar is. Voordat u begint Bij deze configuratie wordt ervan uitgegaan dat de client en server niet zijn geconfigureerd om poort 3128 en/of poort 8080 te blokkeren. Procedure 1

Start Internet Explorer.

2

Klik op Extra | Opties.

3

Klik op de tab Verbindingen.

4

Klik op LAN‑instellingen.

5

Selecteer Een proxyserver voor het LAN‑netwerk gebruiken. Als u WDS Connector gebruikt: a

Voer de volledige domeinnaam in (bij voorkeur) of de servernaam van de server waarop WDS Connector is geïnstalleerd en die door DNS kan worden opgelost.

b

Typ 3128 in het veld Poort.

6

Voer de proxyvermelding in uit de activeringskit die u hebt ontvangen.

7


8

Selecteer Proxyserver niet voor lokale adressen gebruiken. Wanneer u klaar bent, moet de proxyserver eruitzien als in het volgende voorbeeld: Hierbij is proxyserver de naam van de server die u hebt geïnstalleerd in WDS Connector. McAfee raadt aan een volledige domeinnaam zoals proxyserver.yourdomain.com te gebruiken in plaats van alleen een servernaam.

9

Klik op de tab Verbindingen. Als het vak Instellingen voor inbelverbindingen en virtuele particuliere netwerken vermeldingen bevat, moet u die vermeldingen ook voor de proxy configureren. a

Selecteer de VPN‑instelling die u wilt configureren en klik op Instellingen.

b

Selecteer Een proxyserver voor deze verbinding gebruiken.

10 Als u WDS Connector gebruikt:

12

a

Voer de volledige domeinnaam in (bij voorkeur) of de servernaam van de server waarop WDS Connector is geïnstalleerd en die door DNS kan worden opgelost.

b




3

Proxyconfiguratie Een statische proxy configureren op al uw computers met behulp van groepsbeleid

11 Als u WDS Connector niet gebruikt, raadt McAfee aan Proxyserver niet voor lokale adressen gebruiken te selecteren. Voer de proxy uit de activeringskit in. 12 Typ 8080 in het veld Poort.

Een statische proxy configureren op al uw computers met behulp van groepsbeleid Met behulp van groepsbeleid kunt u alle computers in een Microsoft‑domein configureren met een in code vastgelegde proxyinstelling. Er is momenteel geen oplossing voor Firefox beschikbaar die gebruikmaakt van groepsbeleid. Als u GPEDIT.MSC uitvoert op de lokale computer, bewerkt u het beleid van de lokale computer. Als u dit uitvoert via Active Directory ‑ gebruikers en computers of via groepsbeleidsbeheer, bewerkt u het groepsbeleid op de domeincontroller voor het hele domein. Wees in beide gevallen voorzichtig.

Uw proxy vergrendelen In plaats van te eisen dat alle gebruikers hun proxyinstellingen zelf moeten configureren, kunt u een groepsbeleid implementeren op een Windows‑computer. Dit kan echter alleen voor Internet Explorer. Procedure 1

Selecteer Uitvoeren in het menu Start. Het dialoogvenster Editor voor lokaal groepsbeleid wordt weergegeven

2

Typ gpedit.msc en klik op OK. Het venster Groepsbeleid wordt weergegeven.

3

Selecteer in het linkerdeelvenster Gebruikersconfiguratie | Windows‑instellingen | Internet Explorer‑onderhoud | Verbinding.

4

Dubbelklik in het rechterdeelvenster op de optie Proxy‑instellingen. Het dialoogvenster Proxy‑instellingen wordt weergegeven

5

Selecteer Proxy‑instellingen inschakelen.

6

Typ in het veld HTTP het adres van de proxyserver uit de welkomstbrief. •

Als u bent ingericht op portal.mcafeesaas.com, gebruikt u .web01 .mxlogic.net

•

Als u bent ingericht op console.mcafeesaas.com, gebruikt u .web02 .mxlogic.net

Vervang door het domein van uw organisatie. 7




13

3


8

Omzeil de internetproxyserver. a

Typ in het vak Uitzondering adressen van websites waarvoor verkeer niet moet worden gefilterd. U kunt gedeeltelijke domeinen of IP‑adressen invoeren, zoals *.yourdomain.com;10.*;192.168.* . Vermeldingen moeten worden gescheiden door puntkomma's. .

b

Zorg dat Geen proxyserver gebruiken voor lokale adressen (intranet) is geselecteerd.

c

Klik op OK.

McAfee Web Protection Service‑proxyservers kunnen geen verbinding maken met servers in het bedrijfsnetwerk (LAN) van uw organisatie. Voor toegang tot deze websites moet u de proxyserver omzeilen.

Het bestand Mozilla.cfg automatisch configureren via een aanmeldingsscript Dit is een van de vele manieren waarop u dit bestand kunt aanleveren en het bestand all.js kunt bewerken via een aanmeldingsscript. Het aanmeldingsscript controleert eerst of Firefox is geïnstalleerd en zoekt vervolgens naar het bestand Mozilla.cfg. Als Firefox is geïnstalleerd maar het bestand Mozilla.cfg niet bestaat, wordt het bestand gekopieerd en het bestand all.js bewerkt door een nieuwe regel toe te voegen. Vervolgens wordt de opdracht pref toegevoegd aan het bestand all.js, zodat Firefox weet waar naar het bestand Mozilla.cfg moet worden gezocht. Het enige wat dit script doet, is schrijven naar een logboekbestand, zodat u weet of de installatie is geslaagd. Dit is niet van invloed op de gebruiker. De volgende keer dat de gebruiker de browser sluit en opent, is deze vast ingesteld op de proxyconfiguratie. Procedure 1

Kopieer het bestand Mozilla.cfg naar een gedeeld station waartoe alleen gebruikers in het netwerk toegang hebben (alleen lezen).

2

Bewerk het aanmeldingsscript als volgt: Vergeet niet \\server\share te wijzigen in de naam van uw server en share. :: Firefox Proxy Config‑bestand kopiëren en all.js aanpassen GOTO Check :Check :: Controleer eerst of Firefox is geïnstalleerd en kijk dan of het config‑bestand aanwezig is IF NOT EXIST "C:\Program Files\Mozilla Firefox" GOTO Lognofirefox IF NOT EXIST "C: \Program Files\Mozilla Firefox\mozilla.cfg" GOTO Update IF NOT EXIST "C:\Program Files \Mozilla Firefox\mozilla.cfg" GOTO Update GOTO Logalreadyinstalled GOTO End :Update :: Kopieer het config‑bestand en pas all.js aan copy \\server\share\mozilla.cfg C:\Program Files\Mozilla Firefox :: ::Maak een nieuwe regel onder in het bestand all.js ECHO. >> "C: \Program Files\Mozilla Firefox\greprefs\all.js" :: ::Voeg pref toe om te verwijzen naar het nieuwe CFG‑bestand aan het einde van all.js ECHO pref(general.config.filename, mozilla .cfg); >> C:\Program Files\Mozilla Firefox\greprefs\all.js GOTO Loginstalled : Lognofirefox Echo %date% %time% gebruiker %username% op %computername% heeft FireFox niet geïnstalleerd >> \\server\share \log.txt GOTO End :Logalreadyinstalled Echo %date% %time% gebruiker %username% op %computername% heeft mozilla.cfg al gedownload >> \\server\share\log.txt GOTO End :Loginstalled Echo %date% %time% gebruiker %username% op %computername% GESLAAGD!! FireFox Proxy geïnstalleerd! >> \\server\share\log.txt GOTO End :End ::Alles klaar! Test het aanmeldingsscript altijd op een of twee computers voordat u het in gebruik neemt.

Op computers die u niet wilt vergrendelen, kopieert u het bestand Mozilla.cfg handmatig, maar werkt u het bestand all.js niet bij. Hierdoor negeert het script die computer en wordt ervan uitgegaan dat deze al is bijgewerkt.

14




3

Een Proxy Automatic Configuration-bestand of een Web Proxy Auto-Detect-bestand maken Een Proxy Automatic Configuration‑bestand (PAC) en een Web Proxy Auto‑Detect‑bestand (WPAD) zijn beide eenvoudige bestanden die worden gehost op een interne webserver en die JavaScript gebruiken om aan de browser door te geven wat deze moet doen voordat wordt geprobeerd een webpagina te laden. Het voordeel van PAC‑ en WPAD‑bestanden is dat ze u helpen de proxyconfiguratie intelligenter te maken, zodat deze kan worden aangepast wanneer de computer niet is verbonden met het netwerk of wanneer de proxy is uitgeschakeld. U kunt ook bepalen voor welke sites wel en geen proxy wordt gebruikt, zodat websites die belangrijk zijn voor het bedrijf nooit worden beïnvloed door de proxy.

WPAD configureren Wanneer u Web Proxy Auto‑Detect Protocol gebruikt, kijkt de browser eerst naar DHCP om de locatie van het bestand wpad.dat door te geven. Als dit niet kan worden gevonden in DHCP, wordt gekeken naar DNS alvorens internet wordt geprobeerd. U moet de DHCP‑server configureren om deze informatie te verstrekken. Optie 252 toevoegen aan DHCP Procedure 1

Op de server waarop DHCP wordt uitgevoerd (of met MMC op uw computer) selecteert u Start | Programma's | Systeembeheer | DHCP.

2

Klik met de rechtermuisknop op de DHCP‑server die u wilt bewerken en selecteer Vooraf gedefinieerde opties instellen.

3

Zoek 252. Als dit niet bestaat: a

Klik op Toevoegen om een nieuwe optie toe te voegen.

b

Typ WPAD in het veld Optienaam.

c

Typ 252 in het veld Code.

d

Voer de selectietekenreeks in het gegevensveld in en klik op OK.

4

Selecteer 252 WPAD in de vervolgkeuzelijst Optienaam.

5

Typ http://mijnwebserver:3128/wpad.dat in het veld Tekenreeks. Hierbij is mijnwebserver de naam van de webserver waarop u het configuratiebestand wpad.dat hebt geplaatst. Deze tekenreeks moet volledig uit kleine letters bestaan.

6

Klik op OK. Nadat u deze wijziging hebt aangebracht, wordt deze WPAD‑informatie gepubliceerd bij elk nieuw IP‑adres. Zorg er daarom voor dat deze informatie correct is op de DHCP‑server en dat het script werkt en geef uw IP‑adres vrij of verleng dit, zodat u dit kunt testen nadat u op OK hebt geklikt. Nadat u de bovenstaande stap hebt voltooid waarin u Optie 252 hebt toegevoegd aan de DHCP‑server, kunt u dit instellen voor de hele DHCP‑server, voor specifieke scopes of beide.

7

Klik met de rechtermuisknop op Serveropties en selecteer Opties configureren. Deze stap moet worden uitgevoerd in kleine letters.



15

3


8

Selecteer Optie 252. Zorg dat het bestand de juiste webservergegevens en poort bevat en de juiste bestandsnaam heeft. Deze moet uit kleine letters bestaan.

9

Klik op OK.

10 Open de scope in kwestie. 11 Klik met de rechtermuisknop op Scopeopties en selecteer Opties configureren. 12 Selecteer Optie 252. 13 Geef als servernaam de naam van de webserver, de poort en het bestand wpad.dat op. Deze moeten allemaal uit kleine letters bestaan.

14 Klik op OK.

DNS configureren voor een WPAD-script Internet Explorer kijkt naar DHCP‑optie 252 als de optie Automatisch detecteren wordt geselecteerd, dus u vraagt zich wellicht af waarom we u aanraden deze wijziging ook in DNS aan te brengen. Er zijn diverse redenen waarom u dit zou doen: •

U wilt dat uw proxyconfiguratiebestand werkt op computers met een statisch IP‑adres.

•

U gebruikt andere browsers die mogelijk de voorkeur geven aan een DNS‑vermelding in plaats van DHCP, zoals Firefox.

•

U bent bang dat de instelling Automatisch detecteren de browser dwingt te zoeken totdat een configuratiebestand wordt gevonden, mogelijk in een onjuist domein. Als u bijvoorbeeld de optie Proxy automatisch detecteren hebt ingesteld in de browser, maar de browser het bestand wpad.dat voor dallas.mydomain.com niet kan vinden, zoekt de browser naar wpad‑informatie op wpad.mydomain.com en daarna op wpad.com alvorens op te geven. Mocht het bestand worden gevonden, dan wordt het gevonden script in een van die domeinen uitgevoerd, wat een duidelijk veiligheids‑ en configuratieprobleem creëert. Hierbij wordt verondersteld dat u WPAD‑informatie wilt bieden aan uw lokale domein. Ervan uitgaande dat uw lokale domein mydomain.info is, zou u de DNS‑server voor mydomain.info bewerken en een cname‑record genaamd WPAD toevoegen dat wijst naar de webserver waarop het bestand is opgeslagen.

Procedure

16

1

Start DNS in MMC door naar de beheerfuncties te gaan op de domeincontroller die uw DNS host.

2

Vouw Zones voor forward lookup uit.

3

Klik met de rechtermuisknop op de zone voor forward lookup en selecteer Nieuwe alias (CNAME).

4

Typ WPAD in het veld Alias.

5

Voer de volledige domeinnaam in van de server die het WPAD‑bestand host.

6

Klik op OK.




7

3

Klik op OK. Test dit door de optie Automatisch detecteren in Internet Explorer in te stellen. Wanneer de browser een pagina genaamd wpad.yourdomain.com vindt, worden de proxygegevens automatisch bijgewerkt.

8

Nadat u de onderstaande instructies voor DNS‑ en DHCP‑configuratie hebt voltooid, configureert u de browser zodanig dat proxyinstellingen automatisch worden gedetecteerd. a


b

Selecteer Extra | Opties.

c


d

Selecteer LAN‑instellingen als u met een kabel bent verbonden met het netwerk.

e

Selecteer Instellingen automatisch detecteren.

Een webserver instellen voor gebruik van een PAC- of WPADbestand Als u een PAC‑ of WPAD‑bestand wilt gebruiken om proxy's te configureren, moet u diverse opties configureren in het netwerk. Voordat u begint Het PAC‑bestand is veel eenvoudiger dan de WPAD‑configuratie omdat u met het PAC‑bestand de browser vertelt waar het bestand kan worden gevonden, zodat u dit enkel in de hoofddirectory van een webserver hoeft te plaatsen en de server moet vertellen hoe het bestand moet worden geladen. De WPAD‑configuratie gebruikt echter DHCP en DNS om te achterhalen waar het bestand zich bevindt wanneer de browser van de gebruiker is ingesteld op Instellingen automatisch detecteren. Daarom moet u het bestand op een webserver zetten en DHCP en DNS bijwerken, zodat de browser weet waar naar het bestand moet worden gezocht. Het PAC‑ en WPAD‑bestand moeten op een webserver worden geplaatst. Het wordt ten zeerste aanbevolen een interne webserver te gebruiken in plaats van een internetserver. Het wordt ook aanbevolen het bestand in te stellen als alleen‑lezen om te voorkomen dat een hacker al uw internetverkeer omleidt naar zijn favoriete spywaresite. Voor meer informatie over mogelijke beveiligingsproblemen bij het gebruik van een PAC‑bestand of het WPAD‑protocol leest u http:// www.microsoft.com/technet/security/advisory/945713.mspx. Procedure 1

Kopieer het bestand proxy.pac naar de hoofddocumentdirectory op de webserver. •

Het bestand moet worden opgeslagen in de hoofddocumentdirectory

•

Dit moet de standaard virtuele server of een actieve virtuele server zijn

•

De bestandsnaam moet uit kleine letters bestaan

2

Voeg een MIME‑vermelding toe aan de configuratie van de webserver zodat deze weet hoe het bestand moet worden geopend.

3

Open IIS‑beheer op de webserver.

4

Klik met de rechtermuisknop op de website om een MIME‑type toe te voegen.

5

Klik op Eigenschappen.

6

Klik op de tab HTTP‑headers op MIME‑type.



17

3


7

Klik op Nieuw.

8

Typ de bestandsextensie in het vak Extensie: pac a

Typ het volgende in het veld Mimetypen: application/x‑javascript‑config

b

Klik op OK en start de IIS‑service opnieuw op (indien nodig, afhankelijk van wat deze webserver nog meer doet).

Taken •

Webservers instellen voor Apache versie 1.x op pagina 18 Voer de volgende stappen uit als u webservers wilt instellen voor Apache 1.x.

•

Webbrowsers instellen voor Apache versie 2.x op pagina 19 Voer de volgende stappen uit als u webservers wilt instellen voor Apache 2.x.

Webservers instellen voor Apache versie 1.x Voer de volgende stappen uit als u webservers wilt instellen voor Apache 1.x. Procedure 1

Bewerk /etc/apache/httpd.conf

2

Voeg AddType application/x‑javascript‑config pac toe

3

Bewerk /etc/apache2/mods‑available/mime.conf.

4

Voeg AddType application/x‑javascript‑config pac toe Start de Apache‑webserver opnieuw op (indien nodig, afhankelijk van wat deze webserver nog meer doet).

5

Test het bestand door http://yourwebserver.domain.com/proxy.pac te openen. Als de webbrowser vraagt hoe u het bestand proxy.pac wilt openen, hebt u deze stap correct uitgevoerd. Configureer de browser zodat deze wijst naar het bestand proxy.pac in Internet Explorer door de volgende stappen uit te voeren: a

Klik op Extra | Opties.

b


c

Klik op LAN‑instellingen als u met een kabel bent verbonden met het netwerk en configureer een VPN.

d

Typ de URL van de webserver in het veld Automatisch configuratiescript gebruiken.

Webserverconfiguratie voor het bestand WPAD.DAT: 6

18

Kopieer het bestand wpad.dat naar de hoofddocumentdirectory op de webserver. a

U moet het bestand kopiëren naar de hoofddocumentdirectory, niet naar een subsite of onderliggende directory.

b

Dit moet de standaard virtuele server of een actieve virtuele server zijn.

c

De bestandsnaam MOET uit kleine letters bestaan. WPAD.dat werkt niet, maar wpad.dat wel.

7

Voeg een MIME‑vermelding toe aan de configuratie van de webserver zodat deze weet hoe het bestand moet worden geopend.

8

Open IIS‑beheer op de webserver.



3


9

Voeg een MIME‑type toe door met de rechtermuisknop op de gewenste website te klikken.

10 Klik op Eigenschappen. 11 Klik op de tab HTTP‑headers op MIME‑typen. 12 Klik op Nieuw. 13 Typ de bestandsextensie in het vak Extensie: pac. a

Typ het volgende in het vak Mimetype: application/x‑javascript‑config.

b

Klik op OK en start de IIS‑service opnieuw op (indien nodig, afhankelijk van wat deze webserver nog meer doet).

Webbrowsers instellen voor Apache versie 2.x Voer de volgende stappen uit als u webservers wilt instellen voor Apache 2.x. Procedure 1

Bewerk /etc/apache2/mods‑available/mime.conf

2

Voeg de volgende regel toe: (dat voor wpad, pac voor .pac) a

Voeg 'Type application/x‑javascript‑config dat' toe

b

Start de Apache‑webserver opnieuw op (indien nodig, afhankelijk van wat deze webserver nog meer doet).

3

Test het bestand door http://webserver/wpad.dat te openen met een internetbrowser. Als de webbrowser vraagt hoe u wpad.dat wilt openen (bijvoorbeeld met Kladblok), hebt u deze stap correct uitgevoerd.

4

Nadat u de onderstaande instructies voor DNS‑ en DHCP‑configuratie hebt voltooid, configureert u de browser zodanig dat proxyinstellingen automatisch worden gedetecteerd. a


b

Selecteer Extra | Opties.

c


d

Klik op LAN‑instellingen als u met een kabel bent verbonden met het netwerk.

e

Selecteer Instellingen automatisch detecteren.

Voorbeeld van een eenvoudig WPAD- of PAC-bestand Hieronder ziet u een voorbeeld van een eenvoudig PAC‑ of WPAD‑bestand.

Voorbeeld van WPAD‑ of PAC‑bestand function FindProxyForURL(url, host) { return "PROXY proxyserver.example.com:3128” }

Ervan uitgaande dat uw Internet Information Server of Apache Web Server en Internet Explorer correct zijn geconfigureerd (daar komen we hieronder op terug), wordt dit script uitgevoerd wanneer de browser probeert een webpagina te laden, zodat de browser weet dat moet worden gezocht naar de proxyserver op poort 3128. Als deze niet kan worden gevonden, wordt de browser direct naar internet gestuurd. Dit was een zeer eenvoudig voorbeeld. Stel nu dat u wilt dat het proxybestand het lokale netwerk en de lokale computer negeert?



19

3


WPAD‑ of PAC‑bestand dat geen proxy gebruikt voor de lokale host of het lokale netwerk function FindProxyForURL(url, host) { function FindProxyForURL(url, host) { if ( isPlainHostName(host) || localHostOrDomainIs(host, "127.0.0.1")|| isInNet(host, "10.0.0.0", "255.0.0.0")) return "DIRECT"; else return ""PROXY proxyserver.example.com:3128"; }

Als u het PAC‑bestand zo wilt configureren dat specifieke websites worden genegeerd, voegt u shExpMatch(url, "www.mijnspecifiekesitezonderproxy.com") toe. Kijk eens naar het volgende voorbeeld.

WPAD‑ of PAC‑bestand dat specifieke websites negeert function FindProxyForURL(url, host) { if ( isPlainHostName(host) || localHostOrDomainIs(host , "127.0.0.1")|| isInNet(host, 10.0.0.0", "255.0.0.0) shExpMatch(url, "*.yourcompanyname .*")) // Geen proxy voor mxlogic.* return DIRECT; else return ""PROXY proxyserver.example .com:3128"; }

Als u tot slot de proxyserver zo wilt configureren dat deze intelligenter reageert als de proxy niet kan worden gevonden, kunt u meerdere proxy's opgeven of aangeven dat de server rechtstreeks naar internet moet gaan. … else return PROXY proxyserver.example.com:3128; proxy domain.com.web02.mxlogic.net:8080; DIRECT; }

In dit voorbeeld vertellen we de browser dat de lokale proxy moet worden geprobeerd. Als dat mislukt, moet worden geprobeerd rechtstreeks naar McAfee te gaan voor de proxy. Als dat mislukt, moet de browser direct naar internet gaan. U kunt veel verschillende opties gebruiken in uw PAC‑ en WPAD‑bestanden. U vindt er een groot aantal op Microsoft Technet in het artikel op http://technet.microsoft.com/en‑us/library/dd361918.aspx. Hier vindt u ook een goed overzicht van de verschillende opties voor PAC‑ en WPAD‑bestanden: http:// jcurnow.home.comcast.net/~jcurnow/WritingEffectivePACFiles.html

Andere overwegingen Eén belangrijk punt dat u moet onthouden is dat Internet Explorer geen foutcontrole biedt voor een PAC‑ of WPAD‑bestand. Als u een accolade of haakje sluiten mist of een opdracht verkeerd hebt getypt, wordt dat niet aangegeven door de browser, maar gaat u direct naar internet. Wanneer u een PAC‑bestand maakt, kan geen proxy (en u hebt al gecontroleerd dat een directe verbinding met uw proxy werkt) betekenen dat uw script ergens een fout bevat. Houd er ook rekening mee dat de browser dit bestand in de lokale cache kan opslaan, zodat wijzigingen in het PAC‑ of WPAD‑bestand op de server mogelijk niet leiden tot wijzigingen in de client totdat de proxyconfiguratie wordt uitgeschakeld en weer wordt ingeschakeld in Internet Explorer of Firefox.

20



4

Gangbare configuratieproblemen

Om te bepalen wat er mis is met de proxyconfiguratie, voert u uw servernaam en poort handmatig in de proxyconfiguratie in Internet Explorer of Firefox in, sluit u de browser, opent u deze opnieuw en probeert u naar een webpagina te gaan. Inhoud Eerst controleren op een in code vastgelegde proxyinstelling Controleren of alle configuraties in kleine letters zijn

Eerst controleren op een in code vastgelegde proxyinstelling Als u toegang hebt tot een webpagina, betekent dit dat de proxy werkte. Als u toegang hebt tot http://endoftime.mcafee.com en Web Protection het foutbericht Pagina niet gevonden weergeeft, weet u dat u wordt gefilterd door de service. Als u geen toegang hebt tot een webpagina, weet u dat er een probleem is met de proxyserver. Als u geen toegang hebt tot een webpagina maar niet wordt gefilterd, is een script of een ander deel van de automatische configuratie onjuist.

Controleren of alle configuraties in kleine letters zijn Zoals hierboven meerdere malen is vermeld, moeten voor diverse WPAD‑configuraties in DNS en DHCP en voor de bestandsnaam van het bestand wpad.dat op de meeste systemen kleine letters worden gebruikt. Controleer dit zorgvuldig.

Onvoldoende foutcontrole in Internet Explorer en Firefox: Internet Explorer kan het bestand proxy.pac of wpad.dat uitvoeren, maar geeft niet aan of er een fout is opgetreden. Mocht dat het geval zijn, dan gaat Internet Explorer direct naar internet. Test uw daarom scripts met de meldingen die worden beschreven in http://jcurnow.home.comcast.net/ ~jcurnow/WritingEffectivePACFiles.html.

Diverse Microsoft‑fouten Zie http://technet.microsoft.com/en‑us/library/cc302643.aspx.

Firewalls Uw computers moeten toegang hebben tot de proxyserver waarop WDS Connector wordt uitgevoerd. De router en switches in uw bedrijf tussen de clients en de proxyserver moeten toestaan dat de desktops en laptops communiceren met de proxyserver op poort 3128.



21

4

Gangbare configuratieproblemen Controleren of alle configuraties in kleine letters zijn

De proxyserver waarop McAfee WDS Connector is geïnstalleerd, moet inkomende verbindingen via poort 3128 toestaan. De proxyserver waarop WDS Connector is geïnstalleerd, moet een groot aantal verbindingen via poort 3128 toestaan. Als een firewall of Windows‑configuratie het aantal verbindingen beperkt, kan de proxy voor minder computers tegelijk worden gebruikt, wat ertoe kan leiden dat voor sommige computers een proxy wordt gebruikt en voor andere niet. Tot slot moet de proxyserver met McAfee kunnen communiceren op poort 3128 (squid) om verzoeken te kunnen filteren. Als een server‑ of routerfirewall deze poort blokkeert, functioneert de proxy niet.

Problemen met de WDS Connector‑service Controleer of de WDS Connector‑service wordt uitgevoerd op de proxyserver. In een WPAD‑omgeving gaan gebruikers waarschijnlijk rechtstreeks naar internet als deze service is gestopt of niet beschikbaar is. Als de Web Protection‑service niet beschikbaar is in een configuratie met een in code vastlegde proxy of in een PAC‑omgeving zonder “DIRECT”, leidt dit ertoe dat de pagina niet worden gevonden. Als u andere verificatiemethoden gebruikt, moet u ervoor zorgen dat poort 8080 open staat voor uitgaande verbindingen.

Domeincontroller en gebruikersproblemen De proxyserver waarop WDS Connector is geïnstalleerd, moet kunnen communiceren met de domeincontroller die tijdens de installatie is opgegeven. Als deze domeincontroller door een firewall wordt afgeschermd, is verwijderd of om een andere reden niet beschikbaar is, krijgen gebruikers een verificatiefout. WDS Connector kan dan niet terugvallen op een andere domeincontroller. Als u de domeincontroller waarnaar WDS Connector verwijst opnieuw moet instellen of eraan moet werken, wordt het aanbevolen eerst de Connector‑service te stoppen als u zich in een PAC‑ of WPAD‑omgeving bevindt. Als deze proxyserver in code is vastgelegd, kan de internetverbinding wegvallen als u WDS Connector uitschakelt of werkt aan de domeincontroller.

Problemen met domeingebruikers en WDS Connector De proxyserver waarop WDS Connector is geïnstalleerd, moet kunnen communiceren met de domeincontroller die tijdens de installatie is opgegeven via het gebruikersaccount dat is opgegeven tijdens de configuratie. Als dit gebruikersaccount wordt verwijderd, is verlopen of is geblokkeerd, krijgen gebruikers een verificatiefout.

Gebruiker niet ingesteld in de Control Console Als een gebruiker die niet is gemaakt in de Control Console, probeert een proxy te gebruiken via WDS Connector, treedt er een verificatiefout op. Alle gebruikers moeten zijn ingesteld voordat WDS Connector wordt geïnstalleerd. U zou McAfee Directory Sync kunnen gebruiken om gebruikers tussen Active Directory en de McAfee Console automatisch bij te werken.

Onjuist gebruikerswachtwoord, account geblokkeerd, account verlopen in Active Directory WDS Connector zoekt gebruikersgegevens in de Active Directory. Als de gebruiker echter lokaal is aangemeld op een computer, krijgt deze een aanmeldingsprompt alvorens te worden aangemeld bij het netwerk. Als het AD‑account van de gebruiker is verlopen, geblokkeerd of verwijderd, wordt deze gebruiker gevraagd zich aan te melden voordat hij of zij naar een webpagina kan gaan en wordt mogelijk een verificatiefout weergegeven.

22




4

Aanmelden buiten het domein Als een gebruiker zich lokaal aanmeldt bij een laptop of desktop, krijgt de gebruiker een aanmeldingsprompt voordat de toegang tot een website wordt toegestaan, alsof de gebruiker toegang probeerde te krijgen tot een serverresource.

Programmaproblemen Sommige programma's kunnen niet verifiëren met NTLM of werken niet via een proxy. Daardoor kan de gebruiker een aanmeldingsprompt zien in plaats van een foutbericht. Dit doet zich gewoonlijk voor in niet‑zakelijke Java‑toepassingen. Soms kunt u dit omzeilen door meerdere malen te klikken. Het is ook mogelijk dat een beheerder de automatische configuratie op de proxy moet uitschakelen.

Windows‑updates McAfee raadt aan WSUS te gebruiken voor updates van uw desktop‑ en laptopcomputers. Als u probeert naar update.microsoft.com te gaan, zult u mogelijk merken dat de detectiefase blijft hangen en uiteindelijk een foutbericht weergeeft als u via de proxy gaat. Dit is een bekend probleem met de Microsoft Windows Updatesite en proxyservers hebben hun eigen IAS‑server. Een snelle manier om dit te verhelpen is automatische detectie uit te schakelen voordat u naar Windows Update gaat. Een andere optie is de Windows Update‑servers uit te sluiten in het bestand WPAD.DAT of Proxy.pac. U kunt dit doen met de opdracht shExpMatch (url, website) in het script, waarbij u geen proxy gebruikt voor de volgende sites: •

http://download.windowsupdate.com

•

http://download.microsoft.com

•

https://*.windowsupdate.microsoft .com

•

http://windowsupdate.microsoft.com

•

http://*.windowsupdate.microsoft.com

•

http://ntservicepack.microsoft.com

•

http://*.update.microsoft.com

•

http://wustat.windows.com

•

http://*.download.windowsupdate.com

•

https://*.update.microsoft.com

•

http://update.microsoft.com

•

https://update.microsoft.com

•

http://*.windowsupdate.com

Dit probleem wordt besproken op http://support.microsoft.com/kb/885819, waarbij tevens een oplossing wordt gegeven.

Webserver niet correct geconfigureerd Test of u http://webserver/wpad.dat kunt openen met een internetbrowser. Als de webbrowser vraagt hoe u wpad.dat wilt openen (bijvoorbeeld met Kladblok), hebt u deze stap correct uitgevoerd.

Fouten met het PAC/WPAD‑bestand Het PAC‑bestand bevat een JavaScript‑functie. Syntaxisfouten in JavaScript verhinderen dat het PAC‑bestand wordt uitgevoerd, waardoor de proxy niet wordt ingesteld. De meeste browsers stellen standaard geen proxy in, zodat verkeer ongefilterd wordt omgeleid naar internet. U kunt testen op syntaxisfouten met een JavaScript‑validatiehulpprogramma. Een eenvoudig hulpprogramma vindt u op http://javascriptlint.com/online_lint.php. Kopieer en plak de inhoud van het PAC‑bestand in het tekstvak en voer de test uit. Waarschuwingen kunnen gewoonlijk worden genegeerd, maar een syntaxisfout of andere fouten moeten worden verholpen om ervoor te zorgen dat het PAC‑bestand correct werkt.



23

4


24



5

Beleidssets instellen

Op het tabblad Beleidssets ziet u de momenteel gedefinieerde soorten beleid voor internetsurfen voor de aangewezen Enterprise‑klant, met inbegrip van het standaardbeleid en beleidsvoorbeelden. Hier kunt u ook het tabblad van een bepaald beleid openen om het beleid te wijzigen.

Voorbeelden van beleidssets Er zijn drie voorbeelden van beleidssets die u kunt gebruiken als uitgangspunt voor het maken van aangepaste beleidssets: •

Soepel beleid: bevat de minst strenge beleidsset

•

Gematigd beleid: bevat een gematigde beleidsset

•

Streng beleid: bevat de strengste beleidsset

U kunt een van de volgende bewerkingen uitvoeren: •

De beleidsconfiguraties in de standaardbeleidssets accepteren.

•

Aangepaste beleidssets maken, bijwerken of verwijderen.

•

Een voorbeeldbeleidsset aanpassen of verwijderen.

Voor meer informatie over het instellen van uw beleid selecteert u Control Console | Web Protection | Beleid. Klik op Nieuw en volg de instructies in de Help.

De koppeling Beleidsplanning Via de koppeling Beleidsplanning kan de klant verschillende soorten beleid of regels voor de gebruikers definiëren voor verschillende tijden op de dag of dagen in de week. Tijdens de lunchpauze kunnen bijvoorbeeld andere sites zijn toegestaan dan tijdens standaardwerktijden. U stelt de dagen en tijden in waarop klanten toegang hebben tot specifieke sites door de koppeling Control Console | Web Protection | Beleid | Beleidsplanning te selecteren en de instructies in de Help te volgen.

Forensics Op het tabblad Web Forensics kunnen klantbeheerders zich verdiepen in de beschikbare loggegevens om zo de service te analyseren. Beheerders kunnen gegevens uit de logbestanden filteren, sorteren en exporteren met gegevens over specifieke gebruikers of alle gebruikers, de resulterende actie, het bandbreedtegebruik, virusdetectie enzovoort. Gegevens kunnen worden gefilterd op datum, gebruiker, categorie, resulterende actie en meer, en kunnen ook hierop worden gesorteerd. Deze functie biedt een klant de meest diepgaande gegevens over de Web Filtering‑service. Voor meer informatie over het instellen van filters en het sorteren van zoekresultaten in Forensics, selecteert u Control Console | Web Protection | Forensics. Volg de instructies in de Help.



25

5

Beleidssets instellen Forensics

26



6

WDS Connector optimaliseren voor grotere installaties

Voor klanten met meer dan 500 clients raadt McAfee aan WDC Connector te configureren voor het gebruik van meer verificatieknooppunten dan de standaard vijf.

De proxy configureren voor een groot aantal clients De configuratie voor een groot aantal clients vindt plaats in het squid‑configuratiebestand (squid.conf), dat het gedrag voor de WDS Connector‑proxy regelt.

Klanten met een groot aantal clients Open het bestand squid.conf (standaardlocatie c:\program files\wds connector\wds connector proxy \etc\squid.conf) in een teksteditor (zoals Kladblok) en vervang auth_param ntlm children 5

door auth_param ntlm children 25

(Zorg dat er geen # staat voor de vermelding.) U moet de WDS Connector‑service opnieuw opstarten om de wijzigingen door te voeren. U kunt deze waarde probleemloos verhogen tot 100. Hiermee stelt u het aantal gelijktijdige NTLM‑verificaties in.



27

6

WDS Connector optimaliseren voor grotere installaties De proxy configureren voor een groot aantal clients

28



SEWS-WDS-SG-7.2.0B05

Configuratiehandleiding Revisie B. McAfee SaaS Web Protection Service

Recommend Documents