Pratiques d'excellence pour la création et le test de règles de politique Web Security
Quand vous configurez des règles, utilisez ces pratiques d'excellence :
- Utilisez des noms de règle distincts et conservez un enregistrement de vos configurations de règle afin de pouvoir facilement les modifier par la suite, s'il y a lieu.Par exemple, il pourrait être déroutant que deux règles traitant le même trafic différemment selon certaines périodes de la journée n'aient pas de nom distinctif.
- Essayez de regrouper les règles semblables dans la liste de règles. Si une règle change, il est plus facile de se souvenir de modifier les règles semblables, le cas échéant.
- Placez les règles pour lesquelles il est impossible de créer une exception (telle queBloquer les spywares et le contenu pornographique) en haut de la liste.
- Ne choisissez pas l'actionAutoriserouAutoriser et consignerpour les règles qui autorisent l'accès uniquement selon le type de contenu ou de fichier. Si une telle règle figure plus haut dans la liste qu'une règle Bloquer qui s'applique à un site particulier, la règle Autoriser donne l'accès au site aux utilisateurs. La règle Bloquer n'a jamais l'opportunité d'être appliquée.De même, si une règle qui bloque le trafic d'un site Web particulier se trouve à une position plus élevée dans la liste de règles, la règle Autoriser n'est jamais appliquée.
- Comme pour toute configuration de service en ligne, il est fortement recommandé de tester la nouvelle configuration avant de désactiver la configuration précédente.
- Exécutez un déploiement limité sur plusieurs PC. Depuis ces systèmes, accédez aux sites Web et effectuez des téléchargements qui testent chaque règle avant d'exécuter le déploiement à travers votre entreprise.
- Quand vous configurez une règle pour la première fois, choisissez toujoursBloquer et consigner,Autoriser et consignerouQuota et journal, comme approprié. Ces actions consignent les résultats quand la règle est appliquée et contribuent aux statistiques du système. Vous pouvez exécuter un rapport détaillé pour afficher les résultats et vérifier que la règle fonctionne comme prévu.
- Quand vous créez une règle qui bloque ou autorise l'accès aux sites Web par catégorie, choisissez une catégorie inoffensive pour tester la règle et sa position dans la liste de politiques. Une fois que la règle fonctionne comme prévu, remplacez la catégorie inoffensive par la catégorie ou les catégories réelles que vous voulez bloquer ou autoriser. Vous pouvez utiliser l'outil de catégorisation d'URL pour vérifier que les sites Web de test que vous utilisez appartiennent aux catégories que vous avez spécifiées dans la règle.
- Les règles de politique sont appliquées dans l'ordre dans lequel elles sont répertoriées dans le tableauRègles de politique. Si une règle semble être correcte mais ne se comporte pas comme prévu, il peut être nécessaire d'en changer l'ordre dans le tableau.
- Quand vous êtes certain que tout est configuré correctement et que vous n'avez pas besoin de surveiller la fréquence à laquelle la règle est appliquée, vous pouvez supprimer le composant de consignation. Pour supprimer la consignation, modifiez la règle et sélectionnez l'actionBloquer,AutoriserouQuotacorrespondante.
- Pour utiliser des groupes et des utilisateurs spécifiques dans vos règles, vous devez télécharger et installer Client Site Proxy ou déployer Smart Connect ou Remote Connect. Vous pouvez également utiliser l'outil de synchronisation pour synchroniser vos informations de groupe Active Directory avec le service. Vérifiez que ces composants sont installés et fonctionnent comme prévu avant de configurer des règles basées sur les informations de groupe et d'utilisateur.
- Pour empêcher un ensemble complexe de règles de politique de bloquer accidentellement l'accès aux sites Web essentiels, vous pouvez créer une règle qui autorise spécifiquement l'accès aux sites suivants. Placez cette règle en haut de votre liste de politiques.
- URL du fournisseur Web Security Services
- URL du site Web de votre société
- URL des sites Web de tous les partenaires ou filiales de votre société
- URL du site Web de votre fournisseur d'antivirus de bureau Pour activer les téléchargements automatiques des signatures d'antivirus pour vos PC
- spammanager-1.messagelabs.com, spammanager-3.messagelabs.com
- spammanager-4.messagelabs.com, spammanager-5.messagelabs.com
Web Security autorise toujours l'accès à certains sites (par exemple, l'URL du portail de gestion de la configuration Web Security Services). Vos règles de politique ne peuvent pas bloquer ces sites. Nous recommandons de toujours autoriser l'accès aux sites de téléchargement appropriés, par exemple pour les mises à jour Windows, les logiciels de bureau et les logiciels de votre fournisseur d'antivirus. Certains de ces sites sont peut-être déjà sur la liste blanche de notre infrastructure.Ces URL sont autorisées pour les mises à jour Windows :- url-prefix http://update.microsoft.com/
- url-prefix http://download.microsoft.com/
- url-prefix http://v5.windowsupdate.microsoft.com/
- url-prefix http://windowsupdate.microsoft.com/
Si vous devez bloquer l'un de ces sites, vous pouvez peut-être utiliser Client Site Proxy ou votre pare-feu.