Prácticas recomendadas para crear y probar las reglas de la política de seguridad web
Cuando configure las reglas, use estas prácticas recomendadas:
- Use nombres de regla distintos y registre sus configuraciones de regla de forma que pueda enmendarlas fácilmente más tarde, si es necesario.Por ejemplo, podría ser confuso si no asigna nombres distintivos a dos reglas que manejen el mismo tráfico de formas distintas a ciertas horas del día.
- Intente agrupar reglas similares en la lista de reglas. Si una regla cambia, es más fácil recordar que debe cambiar las reglas similares, si es necesario.
- Coloque las reglas que no deben tener ninguna excepción (comobloquear spyware y pornografía) en la parte superior de la lista.
- No elija la acciónPermitiroPermitir y registrarpara las reglas que permiten el acceso en función solamente del tipo de contenido o tipo de archivo. Si tal regla se encuentra más arriba en la lista que una regla de bloqueo que se aplica a un sitio determinado, la regla de permiso da acceso a los usuarios al sitio. La regla de bloqueo nunca logra aplicarse.Del mismo modo, si una regla que bloquea el tráfico de un sitio web determinado se encuentra más arriba en la lista de reglas, la regla de permiso nunca se aplica.
- Como con cualquier configuración de servicio, se aconseja probar la nueva configuración antes de desactivar la configuración anterior.
- Realice una implementación limitada en varios equipos. Desde estos sistemas, acceda a los sitios web y realice descargas que prueben cada regla antes de iniciar la implementación en su compañía.
- Cuando configure una regla por primera vez, elija siempreBloquear y registrar,Permitir y registraroCuota y registro, según sea necesario. Estas acciones registran los resultados cuando se aplica la regla y contribuyen a las estadísticas del sistema. Es posible ejecutar un informe detallado para ver los resultados y para verificar que la regla funciona según lo esperado.
- Cuando cree una regla que bloquee o permita el acceso a los sitios web por categoría, elija una categoría inofensiva para probar la regla y su ubicación en la lista de políticas. Cuando le parezca que la regla funciona según lo esperado, reemplace la categoría inofensiva con la categoría o las categorías reales que desee bloquear o permitir. Es posible usar la herramienta de categorización de URL para verificar que los sitios web de prueba que usa pertenecen a las categorías que especificó en la regla.
- Las reglas de políticas se aplican en el orden en el cual se detallan en la tablaReglas de políticas. Si una regla parece ser correcta, pero no se comporta según lo esperado, es posible que sea necesario cambiar su orden en la tabla.
- Cuando le parezca que todo está configurado correctamente y no es necesario hacer un seguimiento de la frecuencia con que se aplica la regla, se puede eliminar el componente del registro. Para eliminar el registro, edite la regla y seleccione la acción correspondiente:Bloquear,PermitiroCuota.
- Para usar grupos y usuarios específicos en sus reglas, es necesario descargar e instalar Client Site Proxy o implementar Smart Connect o Remote Connect. Puede también usar la Herramienta de sincronización para sincronizar la información del grupo de Active Directory con el servicio. Compruebe que estos componentes estén instalados y que funcionen según lo esperado antes de configurar las reglas sobre la base de la información de grupo y usuario.
- Para evitar que un conjunto complejo de reglas de políticas accidentalmente bloquee el acceso a sitios web esenciales, se puede crear una regla que permita específicamente el acceso a los sitios siguientes. Coloque esta regla en la parte superior de su lista de las políticas.
- La URL para el proveedor de Web Security Services
- La URL para el sitio web de su organización
- La URL para los sitios web de cualquier partner o subsidiaria de su organización
- La URL para el sitio web de su distribuidor de antivirus para equipos de escritorio. Para habilitar descargas automáticas de las firmas de antivirus para sus equipos
- spammanager-1.messagelabs.com, spammanager-3.messagelabs.com
- spammanager-4.messagelabs.com, spammanager-5.messagelabs.com
La seguridad web permite siempre el acceso a ciertos sitios, tales como la URL para el portal de administración de configuración de Web Security Services. Sus reglas de políticas no pueden bloquear estos sitios. Recomendamos que se permita siempre el acceso a los sitios relevantes de descarga, como actualizaciones de Windows, software antivirus de distribuidor y de escritorio. Algunos de estos sitios ya pueden estar en la lista blanca de nuestra infraestructura.Estas URL están permitidas para las actualizaciones de Windows:- Prefijo de URL http://update.microsoft.com/
- Prefijo de URL http://download.microsoft.com/
- Prefijo de URL http://v5.windowsupdate.microsoft.com/
- Prefijo de URL http://windowsupdate.microsoft.com/
Si es necesario bloquear alguno de estos sitios, se puede usar Client Site Proxy o su firewall.