Configuration de la fonction
Protection Web et de l'accès au cloud

La politique
Protection Web et de l'accès au cloud
intègre la fonctionnalité Symantec Web Security Service (WSS) dans
Symantec Endpoint Protection
.
Protection Web et de l'accès au cloud
redirige automatiquement tout le trafic Internet ou simplement le trafic Web sur le client vers Symantec WSS, où le trafic est autorisé ou bloqué en fonction des stratégies WSS.
Pour utiliser cette fonctionnalité dans
 instance de Symantec Endpoint Protection Manager
(SEPM), vous devez disposer d'un abonnement à Symantec Web Security Service. Contactez votre responsable de compte pour obtenir un abonnement.
Remarque 
: dans la version 14.3 RU1, WSS Traffic Redirection a été renommé Network Traffic Redirection (Redirection du trafic réseau). La stratégie Integrations (Intégrations) a été renommée Network Traffic Redirection (Redirection du trafic réseau).
Le composant Network Traffic Redirection a été renommé Protection Web et de l'accès au cloud dans la version 14.3 RU2.
Conditions et limitations techniques
Condition
Description
Navigateurs pris en charge
Windows :
  • Microsoft Internet Explorer 9 à 11
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Edge
Mac
  • Les Mac prennent en charge Apple Safari, Google Chrome et Mozilla Firefox.
  • Les versions 65 et ultérieures de Firefox sont prises en charge à partir de la version 14.2 RU1.
Limitations
  • Le service de sécurité Web est fourni sur IPv4, mais pas sur IPv6.
  • L'agent Symantec WSS Agent (WSSA) autonome ne peut pas être installé si la fonction Network Traffic Redirection est installée sur un terminal. De même, la fonction NTR ne peut pas être installée si l'agent WSSA est installé. Cependant, vous pouvez supprimer la fonction NTR des terminaux existants sans avoir à désinstaller la totalité du client à l'aide de l'une des méthodes suivantes :
    • Dans Symantec Endpoint Protection Manager, créez un ensemble de fonctionnalités d'installation client qui n'inclut pas la fonction Network Traffic Redirection et appliquez-le aux terminaux.
    • L'option de ligne de commande suivante utilise le fichier d'installation client pour supprimer la fonction NTR :
      setup.exe /s /v" REMOVE=NTR /qn"
La méthode de tunnel présente les limitations suivantes :
  • S'exécute sous Windows 10 x64 versions 1703 et ultérieures (Canal de maintenance semi-annuel) uniquement. Cette méthode ne prend pas en charge les autres systèmes d’exploitation Windows ou le client Mac.
  • L'option Canal de maintenance à long terme (LTSC) n'est pas prise en charge. Microsoft souhaite que l'option LTSC soit utilisée uniquement pour les systèmes spécialisés.
  • Ne prend pas en charge les unités Windows 10 64 bits HVCI
  • L'ordinateur client contacte ctc.symantec.com pendant l'installation pour convertir le jeton d'intégration en CustomerID. Si ce contact ne peut pas être effectué, l'installation échoue. Pour éviter cette éventualité pour tous les clients, vous pouvez utiliser votre CustomerID au lieu du jeton d'intégration pour que la conversion ne soit pas nécessaire.
  • Le trafic sortant du client
    Symantec Endpoint Protection
    est redirigé vers WSS avant d'être évalué par le pare-feu du client ou par les règles de réputation d'URL. Au lieu de cela, le trafic est évalué par rapport au pare-feu WSS et aux règles d'URL. Par exemple, si une règle de pare-feu du client SEP bloque le site google.com et qu'une règle WSS l'autorise, le client autorise les utilisateurs à y accéder.Le trafic local entrant à destination du client continue d'être traité par le pare-feu
    Symantec Endpoint Protection
    .
  • Le portail captif WSS n’est pas disponible pour la méthode de tunnel et le client ignore les informations d’authentification de la demande d’accès.Dans une version ultérieure, l’authentification SAML dans WSS Agent remplacera le portail captif et sera disponible sur le client
    Symantec Endpoint Protection
    .
  • Si un ordinateur client se connecte au WSS à l’aide de la méthode de tunnel et héberge des machines virtuelles, chaque utilisateur invité doit installer le certificat SSL fourni dans le portail WSS.
  • Le trafic du réseau local comme votre répertoire de base ou l'authentification Active Directory n'est pas redirigé.
  • Il n'est pas compatible avec le VPN Microsoft DirectAccess.
Configuration de la politique
Protection Web et de l'accès au cloud
avec la méthode de fichier PAC
L'administrateur WSS fournit l'URL de fichier PAC (Proxy Auto Configuration) ou le jeton d'intégration à partir du portail WSS. Mettez ensuite à jour la politique
Protection Web et de l'accès au cloud
avec le fichier PAC ou le jeton d'intégration et affectez la politique NTR à un groupe.
Configuration de
Protection Web et de l'accès au cloud
avec la méthode de tunnel
La méthode de tunnel est considérée comme une fonctionnalité destinée aux utilisateurs précoces.Vous devez effectuer un test approfondi avec vos applications en fonction de vos stratégies WSS.
Configuration de la méthode de tunnel
Etapes
Description
Etape 1 : obtenir un jeton d'intégration à partir du portail WSS
  1. Ajoutez une politique
    Protection Web et de l'accès au cloud
    nouvelle ou par défaut au jeton d'intégration.
  2. Maintenez la stratégie déverrouillée.
  3. Affectez la stratégie NTR au groupe test.
Etape 2 : vérifier l'activation de
Protection Web et de l'accès au cloud
sur le client
Lorsque vous testez le client, assurez-vous que le composant
Protection Web et de l'accès au cloud
est activé et connecté au WSS. Vérifiez également que l'utilisateur client peut désactiver
Protection Web et de l'accès au cloud
si une politique WSS mal configurée empêche l'utilisateur d'accéder à une ressource.
Etape 3 : configurer et tester les stratégies WSS
Pour tester
Protection Web et de l'accès au cloud
, vous devez d'abord installer ou modifier les politiques WSS dans un environnement de test. Vous exécutez ensuite les différents scénarios de test par rapport à la stratégie WSS, ce qui implique souvent de comparer la conformité d'une unité à une stratégie WSS.
Etape 4 : verrouiller la politique
Protection Web et de l'accès au cloud
Une fois que vous êtes sûr que les stratégies WSS fonctionnent correctement sur le client
Symantec Endpoint Protection
, verrouillez la stratégie pour que l'ordinateur client soit protégé et que l'utilisateur ne puisse pas déconnecter le client de WSS.
Pour verrouiller le composant NTR, verrouillez le cadenas dans la politique SEPM
Protection Web et de l'accès au cloud
.
Création de rapports
  • Les modifications apportées à la politique
    Protection Web et de l'accès au cloud
    s'affichent dans le journal d'audit de Symantec Endpoint Protection Manager.
  • Les événements de la méthode de tunnel s'affichent dans le journal de redirection des menaces réseau du client. Ces événements sont chargés vers le journal système de Symantec Endpoint Protection Manager.
Pour afficher le journal NTR sur le client :
  1. Sur la page
    Etat
    de l'ordinateur client, en regard de
    Protection Web et de l'accès au cloud
    , cliquez sur
    Options
    >
    Afficher les journaux
    .
Modifications de version
  • Pour les versions 14.0.1 MP1 à 14.2 RU1, WSS Traffic Redirection s'applique uniquement aux ordinateurs Windows.
  • Dans la version 14.2 RU2, la prise en charge a été ajoutée pour les ordinateurs Mac.
  • Dans la version 14.2, la prise en charge a été ajoutée pour améliorer l'authentification du client avec WSS et fournir un contrôle plus précis du trafic Web en fonction de l'utilisateur à l'origine du trafic.
  • Dans la version 14.3 RU1, WSS Traffic Redirection a été renommé Network Traffic Redirection
    Protection Web et de l'accès au cloud
    .
  • Dans la version 14.3 RU1, la nouvelle méthode de connexion, appelée méthode de tunnel, a été ajoutée.