Melhores práticas para criar e testar as regras de política do Web Security

Quando você configurar regras, use estas melhores práticas:
  • Use nomes de regra distintos e mantenha um registro de suas configurações da regra, assim você pode facilmente alterá-las mais tarde, se necessário.
    Por exemplo, poderia ser confuso se você não desse nomes distintivos a duas regras que controlam o mesmo tráfego diferentemente determinados momentos do dia.
  • Tente agrupar regras similares na lista de regras. Se uma regra for alterada, será mais fácil lembrar-se de mudar regras similares, caso seja necessário.
  • Coloque as regras que não devem ter nenhuma exceção (como
    bloquear spyware e pornografia
    ) na parte superior da lista.
  • Não escolha a ação
    Permitir
    ou
    Permitir e registrar em log
    para as regras que permitem o acesso com base somente no tipo de conteúdo ou no tipo de arquivo. Se essa regra estiver mais alta na lista do que uma regra de bloqueio que se aplica a um site particular, a regra de permissão dará aos usuários acesso ao site. A regra de bloqueio nunca terá a possibilidade de ser imposta
    De maneira semelhante, se uma regra que bloqueia o tráfego de um site particular estiver mais alta na lista de regras, a regra de permissão nunca será imposta.
  • Como com qualquer configuração de serviço ativo, é recomendado expressamente que você teste a configuração nova antes de desativar a configuração precedente.
    • Execute uma implementação limitada em diversos PCs. Nesses sistemas, acesse sites e execute downloads que testam cada regra antes de você instalar a implementação na sua empresa.
    • Quando você configurar uma regra pela primeira vez, escolha sempre
      Bloquear e registrar em log
      ,
      Permitir e registrar em log
      ou
      Cota e log
      , como apropriado. Essas ações registram em log os resultados quando a regra é imposta e contribuem para as estatísticas de sistema. Você pode gerar um relatório detalhado para exibir os resultados e verificar se a regra funciona como esperado.
    • Quando você cria uma regra que bloqueia ou permite o acesso aos sites por categoria, escolha uma categoria inofensiva para testar a regra e a colocação na lista de políticas. Quando você estiver satisfeito com o funcionamento da regra, substitua a categoria inofensiva pela categoria ou categorias reais que você quer bloquear ou permitir. Você pode usar a ferramenta Categorização de URL para verificar se os sites de teste que você usa pertencem às categorias que especificou na regra.
    • As regras de política são aplicadas na ordem em que são listadas na tabela
      Regras de políticas
      . Se uma regra parecer estar correta, mas não se comportar como esperado, você terá de mudar a ordem na tabela.
    • Quando você estiver satisfeito com a configuração e não precisar controlar a frequência de aplicação da regra, você poderá remover o componente do registro em log. Para remover o registro em log, edite a regra e selecione a ação correspondente:
      Bloquear
      ,
      Permitir
      ou
      Cota
      .
  • Para usar grupos e usuários específicos em suas regras, você deve fazer download e instalar o proxy do site do cliente ou implementar o Smart Connect ou o Remote Connect. Você pode igualmente usar a Ferramenta de Sincronização para sincronizar as informações do grupo de Active Directory com o serviço. Verifique se esses componentes estão instalados e funcionando como esperado antes de configurar as regras baseadas nas informações do grupo e do usuário.
  • Para impedir que um conjunto complexo de regras de políticas bloqueie acidentalmente o acesso a sites essenciais, você pode criar uma regra que permita especificamente o acesso a esses sites. Coloque essa regra na parte superior de sua lista de políticas.
    • O URL do fornecedor do Web Security Services
    • O URL do site da sua organização
    • O URL dos sites de alguns parceiros ou subsidiários de sua organização
    • O URL do site do seu fornecedor de antivírus para desktop. Para ativar downloads automáticos de assinaturas antivírus para seus PCs
    • spammanager-1.messagelabs.com, spammanager-3.messagelabs.com
    • spammanager-4.messagelabs.com, spammanager-5.messagelabs.com
    O Web Security permite sempre o acesso a determinados sites, como o URL para o portal de gerenciamento de configuração dos Web Security Services. Suas regras de políticas não podem bloquear esses sites. Recomendamos que você sempre permita o acesso a sites de download relevantes, como atualizações do Windows, software de desktop e software do fornecedor de antivírus. Alguns destes sites podem já estar em whitelist em nossa infraestrutura.
    Estes URLs são permitidos para atualizações do Windows:
    • url-prefix http://update.microsoft.com/
    • url-prefix http://download.microsoft.com/
    • url-prefix http://v5.windowsupdate.microsoft.com/
    • url-prefix http://windowsupdate.microsoft.com/
    Se você precisar bloquear qualquer um desses sites, poderá usar o proxy do site do cliente ou seu firewall.