Диалоговое окно Белый список протоколов (Обычный/Офлайновый профиль)

Используйте диалоговое окно Белый список протоколов для задания, редактирования, экспорта, импорта и удаления белого списка протоколов для обычного (онлайн) или офлайнового режима.

Белый список сетевых протоколов позволяет выборочно разрешать передачу данных по сети через поддерживаемые протоколы, несмотря на установленные настройки блокирования доступа к протоколам. Белый список наиболее эффективен для реализации сценария "минимальные привилегии", когда администратор блокирует трафик по всем протоколам, а затем предоставляет пользователям минимальные привилегии, необходимые для работы.

Примечание: Для передачи данных, разрешённой белым списком протоколов, не выполняется аудит и теневое копирование, выполняется только аудит подключений, находящихся в белом списке.

Белый список состоит из правил, заданных для определённых сетевых протоколов. В каждом правиле указываются пользователи и группы, к которым применяется это правило, и задаётся набор параметров. Эти параметры делятся на две категории:

• Общие параметры, применимые ко всем протоколам.

• Специфичные для протокола параметры.

Для правил белого списка можно задавать следующие общие параметры:

• Протокол - задает протокол, к которому применяется правило.

• Название - задает имя правила.

Для правил белого списка можно задавать следующие специфичные для протокола параметры:

• Контентный анализ: применимо для всех протоколов, кроме "Любой", SSL, Telnet и SMB. Задает, следует ли включить проверку контента для соединений из белого списка в соответствии с контентно-зависимыми правилами. Если этот флаг отключен или контентно-зависимое правило не задано для данного подключение, то проверка контента не выполняется.

• Если правило срабатывает: применимо к протоколам "Любой" и SSL. Задает следующие дополнительные операции, которые будут выполняться при срабатывании правила:

• Отправить алерт: оповещение рассылается при каждом срабатывании правила. DeviceLock рассылает оповещения с учетом настроек оповещений. В этих настройках задается адресат и причина отправки оповещений. Перед включением оповещений для правила белого списка задайте настройки оповещений в Настройки сервиса.

• Протоколировать событие: событие регистрируется в журнале аудита при каждом срабатывании правила.

• Хосты: применяется к следующим протоколам: "Любой", FTP, HTTP, ICQ/AOL Messenger, IRC, Jabber, Mail.ru Агент, MAPI, SMB, SMTP, SSL, Telnet, Windows Messenger и Yahoo Messenger. Задаёт список узлов, разрешённых для этого правила. Если этот список задан, указанные узлы не будут блокироваться. Узлы можно указать в любом из следующих форматов:

• DNS-имя (например, www.example.com). В качестве подстановочных знаков можно использовать звездочку (*) (например, *.example.com указывает на любой сервер, имя которого заканчивается на .example.com). Внимание: Добавление имен узлов с использованием подстановочных знаков в белый список для всех протоколов, кроме HTTP, не гарантирует, что правило белого списка будет работать, как ожидается. Поскольку DeviceLock использует для разрешения имен локальный файл Hosts, злоумышленник с правами локального администратора может изменить этот файл, чтобы обойти политику безопасности DeviceLock. Например, если белый список разрешает HTTP-доступ к сайту gmail.com, злоумышленник с правами локального администратора может получить доступ к запрещённому сайту www.ru, добавив запись "194.87.0.50 gmail.com" в локальный файл Hosts. Чтобы снизить риски нарушения безопасности, рекомендуется использовать IP-адреса вместо DNS-имен.

• IP-адрес (например, 12.13.14.15). Можно указывать диапазон IP-адресов, разделенных тире (-) (например, 12.13.14.18-12.13.14.28). Также можно указывать маски подсети в следующем формате: IP адрес/длина маски подсети в битах (например, 3.4.5.6/16).

Если узлов несколько, их следует разделять запятой (,) или точкой с запятой (;). Также можно нажимать клавишу ENTER после ввода каждой строчки. Можно указывать несколько узлов в различных форматах, описанных выше (например, www.microsoft.com; 12.13.14.15, 12.13.14.18-12.13.14.28).

Примечание: При добавлении узлов в белый список необходимо учесть следующее:

Если объекты на веб-странице (изображения, скрипты, видео, Flash-файлы, ActiveX и т.д.) загружаются с других узлов, необходимо добавить эти узлы в белый список для корректного отображения страницы. 

Если в белом списке указаны узлы, но не указаны порты, эти узлы будут доступны по всем возможным портам.

Приложения со встроенными SSL-сертификатами (например, Microsoft Office Communicator, DropBox и др.) не смогут соединиться со своим сервером, если модуль NetworkLock активен. Модуль NetworkLock становится активным, если заданы настройки для сетевых протоколов. Чтобы исключить эту проблему, следует добавить сервер в белый список для протокола SSL. Чтобы узнать имена/адреса сервера, можно использовать приложение TcpView. Добавление сервера в белый список отключает контроль доступа, аудит, теневое копирование и контентную фильтрацию для всего SSL-трафика между приложением и указанным сервером.

• Порты: применяется к следующим протоколам: "Любой", FTP, HTTP, ICQ/AOL Messenger, IRC, Jabber, Mail.ru Агент, SMTP, SSL, Telnet, Windows Messenger и Yahoo Messenger. Задаёт порт или порты, открытые для этого правила. Если этот список задан, указанные порты не будут блокироваться. Можно указать отдельный порт или диапазон портов, разделенных тире (-). Например, чтобы открыть порт 25, укажите 25. Чтобы открыть порты с 5000 по 5020 включительно, укажите 5000-5020. Если портов или диапазонов портов несколько, их следует разделять запятой (,) или точкой с запятой (;). Например, 25, 36; 8080, 5000-5020. Также можно нажимать клавишу ENTER после ввода каждой строчки. Примечание: Если в белом списке указаны порты, но не указаны узлы, пользователи получат доступ ко всем узлам, доступным через указанные порты.

• SSL: применяется к следующим протоколам: Файловые хранилища, FTP, HTTP, ICQ/AOL Messenger, IRC, SMTP и Web-почта. Устанавливает параметры SSL. Доступны следующие параметры:

• Разрешено - разрешает SSL-соединения.
• Запрещено - запрещает SSL-соединения.
• Обязательно - требует использования SSL для всех соединений.

• ID локального отправителя: применяется к следующим протоколам: ICQ/AOL Messenger, Jabber, Mail.ru Агент, Skype, Windows Messenger и Yahoo Messenger. Задаёт список идентификаторов локальных пользователей, имеющих право отправлять мгновенные сообщения. Если этот список задан, отправка мгновенных сообщений от указанных пользователей не будет блокироваться. Пользователи ICQ/AOL Messenger идентифицируются по номерам UIN (например, 111222, 23232323). Пользователи Jabber идентифицируются по идентификаторам Jabber IDs в следующем формате: user@example.com. Пользователи Агента Mail.ru идентифицируются по адресам электронной почты в следующем формате: user@mail.ru. Пользователи Windows Messenger идентифицируются по адресам электронной почты в следующем формате: user@example.com. Пользователи Yahoo Messenger идентифицируются по любому из следующих типов идентификаторов (ID): Yahoo! ID (<имя_пользователя> или <имя_пользователя>@yahoo.com), Rocketmail (<имя_пользователя>@rocketmail.com), Ymail (<имя_пользователя>@ymail.com).

• ID удаленного получателя: применяется к следующим протоколам: ICQ/AOL Messenger, Jabber, Mail.ru Агент, Skype и Yahoo Messenger. Задаёт список идентификаторов удалённых пользователей, имеющих право получать мгновенные сообщения. Если этот список задан, отправка мгновенных сообщений для указанных пользователей не будет блокироваться.

• E-mail локального отправителя: применяется к следующим протоколам: MAPI, SMTP и Web-почта. Задаёт список адресов электронной почты, с которых разрешена отправка сообщений. Если этот список задан, отправка сообщений с указанных адресов не будет блокироваться. Адреса электронной почты отправителей указываются в формате user@domain.com. Чтобы указать группу адресов отправителей, в качестве подстановочных знаков можно использовать звездочку (*). Например, чтобы разрешить всем пользователям домена отправлять сообщения с электронной почты, укажите *@domain.com. Если адресов электронной почты несколько, их следует разделять запятой (,) или точкой с запятой (;).Также можно нажимать клавишу ENTER после ввода каждой строчки. Примечание: При добавлении адресов электронной почты получателей и отправителей в белый список для протокола Web почта, необходимо учесть следующее: письма, отправленные через веб-интерфейс, хранятся в серверной папке Отправленные и могут пересылаться на любой адрес с любого компьютера.

• E-mail удаленного получателя: применяется к следующим протоколам: MAPI, SMTP и  Web-почта. Задаёт список адресов электронной почты, на которые возможна отправка сообщений. Если этот список задан, отправка сообщений для указанных адресов не будет блокироваться.

• Социальные сети: применяется к социальным сетям. Задаёт список разрешённых сайтов социальных сетей для данного правила. Если этот список задан, указанные сайты социальных сетей не будут блокироваться. Список поддерживаемых социальных сетей доступен в разделе Разрешения (для протоколов).

• Web-почта: применяется к веб-почте. Задаёт список разрешённых служб веб-почты. Если этот список задан, сообщения электронной почты, отправляемые через указанные почтовые веб службы, не будут блокироваться. Список поддерживаемых почтовых веб-служб доступен в разделе Разрешения (для протоколов)..

Чтобы задать белый список протоколов

1. В левой части диалогового окна Белый список протоколов в области Пользователи нажмите кнопку Добавить. Появится диалоговое окно Выбор: "Пользователи" или "Группы".

2. В диалоговом окне Выбор: "Пользователи" или "Группы" в поле Введите имена выбираемых объектов введите имя пользователя или группы, для которых вы хотите задать белый список протоколов, а затем нажмите кнопку OK. Добавленные пользователи и группы отображаются в области Пользователи в левой части диалогового окна Белый список протоколов. Чтобы удалить пользователя или группу, в левой части диалогового окна Белый список протоколов в области Пользователи выберите пользователя или группу, а затем нажмите кнопку Удалить.

3. В левой части диалогового окна Белый список протоколов в области Пользователи выберите пользователя или группу. Чтобы выбрать одновременно несколько пользователей или групп, используйте клавиши SHIFT или CTRL.

4. В правой части диалогового окна Белый список протоколов в области Правила нажмите кнопку Добавить. Появится диалоговое окно Добавить правило.  

5. В диалоговом окне Добавить правило задайте общие и специфичные для протокола параметры для этого правила.

6. Нажмите кнопку OK. Созданное правило появится в области Правила в правой части диалогового окна Белый список протоколов.

7. Нажмите кнопку OK или Применить.

Чтобы редактировать правило белого списка протоколов

1. В левой части диалогового окна Белый список протоколов в области Пользователи выберите пользователя или группу, для которого вы хотите изменить правило. Если выбрать пользователей или группы, в области Правила в правой части диалогового окна отобразятся правила белого списка, которые применяются к этим пользователям или группам.

2. В правой части диалогового окна Белый список протоколов в области Правила выберите правило, которое вы хотите редактировать, а затем нажмите кнопку Редактировать.

      - или - 

      Щёлкните правой кнопкой мыши правило, а затем выберите команду Редактировать. Появится диалоговое окно Редактировать правило.

3. В диалоговом окне Редактировать правило внесите необходимые изменения.

4. Нажмите кнопку OK, чтобы применить изменения.

Чтобы экспортировать белый список протоколов 

1. В правой части диалогового окна Белый список протоколов в области Правила нажмите кнопку Сохранить. Появится диалоговое окно Сохранить как.

2. В диалоговом окне Сохранить как укажите местоположение, в которое требуется сохранить файл .pwl. При экспорте белый список протоколов сохраняется в файле с расширением .pwl.

3. В поле Имя файла введите имя экспортируемого файла.

4. Нажмите кнопку Сохранить.

Чтобы импортировать белый список протоколов

1. В правой части диалогового окна Белый список протоколов в области Правила нажмите кнопку Загрузить. Появится диалоговое окно Открыть.

2. В диалоговом окне Открыть укажите местоположение файла, который необходимо импортировать. 

3. В списке папок найдите и откройте папку, в которой находится нужный файл.

4. Выберите файл, который необходимо открыть, а затем нажмите кнопку Открыть. За один раз можно импортировать только один файл .pwl. 

Чтобы удалить правило белого списка 

• В левой части диалогового окна Белый список протоколов в области Пользователи выберите пользователя или группу, для которой задано правило. В правой части диалогового окна Белый список протоколов в области Правила выберите правило и затем нажмите кнопку Удалить или щелкните правой кнопкой мыши правило и затем выберите команду Удалить.

• Перевести на английский