Melhores práticas para criar e testar as regras de política do Web Security
Quando você configurar regras, use estas melhores práticas:
- Use nomes de regra distintos e mantenha um registro de suas configurações da regra, assim você pode facilmente alterá-las mais tarde, se necessário.Por exemplo, poderia ser confuso se você não desse nomes distintivos a duas regras que controlam o mesmo tráfego diferentemente determinados momentos do dia.
- Tente agrupar regras similares na lista de regras. Se uma regra for alterada, será mais fácil lembrar-se de mudar regras similares, caso seja necessário.
- Coloque as regras que não devem ter nenhuma exceção (comobloquear spyware e pornografia) na parte superior da lista.
- Não escolha a açãoPermitirouPermitir e registrar em logpara as regras que permitem o acesso com base somente no tipo de conteúdo ou no tipo de arquivo. Se essa regra estiver mais alta na lista do que uma regra de bloqueio que se aplica a um site particular, a regra de permissão dará aos usuários acesso ao site. A regra de bloqueio nunca terá a possibilidade de ser impostaDe maneira semelhante, se uma regra que bloqueia o tráfego de um site particular estiver mais alta na lista de regras, a regra de permissão nunca será imposta.
- Como com qualquer configuração de serviço ativo, é recomendado expressamente que você teste a configuração nova antes de desativar a configuração precedente.
- Execute uma implementação limitada em diversos PCs. Nesses sistemas, acesse sites e execute downloads que testam cada regra antes de você instalar a implementação na sua empresa.
- Quando você configurar uma regra pela primeira vez, escolha sempreBloquear e registrar em log,Permitir e registrar em logouCota e log, como apropriado. Essas ações registram em log os resultados quando a regra é imposta e contribuem para as estatísticas de sistema. Você pode gerar um relatório detalhado para exibir os resultados e verificar se a regra funciona como esperado.
- Quando você cria uma regra que bloqueia ou permite o acesso aos sites por categoria, escolha uma categoria inofensiva para testar a regra e a colocação na lista de políticas. Quando você estiver satisfeito com o funcionamento da regra, substitua a categoria inofensiva pela categoria ou categorias reais que você quer bloquear ou permitir. Você pode usar a ferramenta Categorização de URL para verificar se os sites de teste que você usa pertencem às categorias que especificou na regra.
- As regras de política são aplicadas na ordem em que são listadas na tabelaRegras de políticas. Se uma regra parecer estar correta, mas não se comportar como esperado, você terá de mudar a ordem na tabela.
- Quando você estiver satisfeito com a configuração e não precisar controlar a frequência de aplicação da regra, você poderá remover o componente do registro em log. Para remover o registro em log, edite a regra e selecione a ação correspondente:Bloquear,PermitirouCota.
- Para usar grupos e usuários específicos em suas regras, você deve fazer download e instalar o proxy do site do cliente ou implementar o Smart Connect ou o Remote Connect. Você pode igualmente usar a Ferramenta de Sincronização para sincronizar as informações do grupo de Active Directory com o serviço. Verifique se esses componentes estão instalados e funcionando como esperado antes de configurar as regras baseadas nas informações do grupo e do usuário.
- Para impedir que um conjunto complexo de regras de políticas bloqueie acidentalmente o acesso a sites essenciais, você pode criar uma regra que permita especificamente o acesso a esses sites. Coloque essa regra na parte superior de sua lista de políticas.
- O URL do fornecedor do Web Security Services
- O URL do site da sua organização
- O URL dos sites de alguns parceiros ou subsidiários de sua organização
- O URL do site do seu fornecedor de antivírus para desktop. Para ativar downloads automáticos de assinaturas antivírus para seus PCs
- spammanager-1.messagelabs.com, spammanager-3.messagelabs.com
- spammanager-4.messagelabs.com, spammanager-5.messagelabs.com
O Web Security permite sempre o acesso a determinados sites, como o URL para o portal de gerenciamento de configuração dos Web Security Services. Suas regras de políticas não podem bloquear esses sites. Recomendamos que você sempre permita o acesso a sites de download relevantes, como atualizações do Windows, software de desktop e software do fornecedor de antivírus. Alguns destes sites podem já estar em whitelist em nossa infraestrutura.Estes URLs são permitidos para atualizações do Windows:- url-prefix http://update.microsoft.com/
- url-prefix http://download.microsoft.com/
- url-prefix http://v5.windowsupdate.microsoft.com/
- url-prefix http://windowsupdate.microsoft.com/
Se você precisar bloquear qualquer um desses sites, poderá usar o proxy do site do cliente ou seu firewall.