Диалоговое окно Белый список протоколов
(Обычный/Офлайновый профиль)
Используйте диалоговое окно Белый список протоколов для
задания, редактирования, экспорта, импорта и удаления белого списка
протоколов для обычного
(онлайн) или офлайнового
режима.
Белый список сетевых протоколов позволяет выборочно разрешать
передачу данных по сети через поддерживаемые протоколы, несмотря на
установленные настройки блокирования доступа к протоколам. Белый
список наиболее эффективен для реализации сценария "минимальные
привилегии", когда администратор блокирует трафик по всем
протоколам, а затем предоставляет пользователям минимальные
привилегии, необходимые для работы.
Примечание: Для передачи данных, разрешённой белым
списком протоколов, не выполняется аудит и теневое копирование,
выполняется только аудит подключений, находящихся в белом
списке.
Белый список состоит из правил, заданных для определённых
сетевых протоколов. В каждом правиле указываются пользователи и
группы, к которым применяется это правило, и задаётся набор
параметров. Эти параметры делятся на две категории:
Общие параметры, применимые ко всем
протоколам.
Специфичные для протокола
параметры.
Для правил белого списка можно задавать следующие общие
параметры:
Протокол - задает протокол,
к которому применяется правило.
Название - задает имя
правила.
Для правил белого списка можно задавать следующие специфичные
для протокола параметры:
Контентный анализ: применимо
для всех протоколов, кроме "Любой", SSL, Telnet и SMB. Задает,
следует ли включить проверку контента для соединений из белого
списка в соответствии с контентно-зависимыми правилами. Если этот
флаг отключен или контентно-зависимое правило не задано для данного
подключение, то проверка контента не выполняется.
Если правило срабатывает:
применимо к протоколам "Любой" и SSL. Задает следующие
дополнительные операции, которые будут выполняться при срабатывании
правила:
Отправить алерт: оповещение
рассылается при каждом срабатывании правила. DeviceLock рассылает
оповещения с учетом настроек оповещений. В этих настройках задается
адресат и причина отправки оповещений. Перед включением оповещений
для правила белого списка задайте настройки оповещений в
Настройки
сервиса.
Протоколировать событие:
событие регистрируется в журнале аудита при каждом срабатывании
правила.
Хосты: применяется к
следующим протоколам: "Любой", FTP, HTTP, ICQ/AOL Messenger, IRC,
Jabber, Mail.ru Агент, MAPI, SMB, SMTP, SSL, Telnet, Windows
Messenger и Yahoo Messenger. Задаёт список узлов, разрешённых для
этого правила. Если этот список задан, указанные узлы не будут
блокироваться. Узлы можно указать в любом из следующих
форматов:
DNS-имя (например,
www.example.com). В качестве подстановочных знаков можно
использовать звездочку (*) (например, *.example.com указывает на
любой сервер, имя которого заканчивается на .example.com).
Внимание: Добавление имен узлов с использованием
подстановочных знаков в белый список для всех протоколов, кроме
HTTP, не гарантирует, что правило белого списка будет работать, как
ожидается. Поскольку DeviceLock использует для разрешения имен
локальный файл Hosts, злоумышленник с правами локального
администратора может изменить этот файл, чтобы обойти политику
безопасности DeviceLock. Например, если белый список разрешает
HTTP-доступ к сайту gmail.com, злоумышленник с правами локального
администратора может получить доступ к запрещённому сайту www.ru,
добавив запись "194.87.0.50 gmail.com" в локальный файл Hosts.
Чтобы снизить риски нарушения безопасности, рекомендуется
использовать IP-адреса вместо DNS-имен.
IP-адрес (например, 12.13.14.15).
Можно указывать диапазон IP-адресов, разделенных тире (-)
(например, 12.13.14.18-12.13.14.28). Также можно указывать маски
подсети в следующем формате: IP адрес/длина маски подсети в битах
(например, 3.4.5.6/16).
Если узлов несколько, их следует
разделять запятой (,) или точкой с запятой (;). Также можно
нажимать клавишу ENTER после ввода каждой строчки. Можно указывать
несколько узлов в различных форматах, описанных выше (например,
www.microsoft.com; 12.13.14.15, 12.13.14.18-12.13.14.28).
Примечание: При добавлении узлов
в белый список необходимо учесть следующее:
Если объекты на веб-странице
(изображения, скрипты, видео, Flash-файлы, ActiveX и т.д.)
загружаются с других узлов, необходимо добавить эти узлы в белый
список для корректного отображения страницы.
Если в белом списке указаны узлы,
но не указаны порты, эти узлы будут доступны по всем возможным
портам.
Приложения со встроенными
SSL-сертификатами (например, Microsoft Office Communicator, DropBox
и др.) не смогут соединиться со своим сервером, если модуль
NetworkLock активен. Модуль NetworkLock становится активным, если
заданы настройки для сетевых протоколов. Чтобы исключить эту
проблему, следует добавить сервер в белый список для протокола SSL.
Чтобы узнать имена/адреса сервера, можно использовать приложение
TcpView. Добавление сервера в белый список отключает контроль
доступа, аудит, теневое копирование и контентную фильтрацию для
всего SSL-трафика между приложением и указанным
сервером.
Порты: применяется к
следующим протоколам: "Любой", FTP, HTTP, ICQ/AOL Messenger, IRC,
Jabber, Mail.ru Агент, SMTP, SSL, Telnet, Windows Messenger и Yahoo
Messenger. Задаёт порт или порты, открытые для этого правила. Если
этот список задан, указанные порты не будут блокироваться. Можно
указать отдельный порт или диапазон портов, разделенных тире (-).
Например, чтобы открыть порт 25, укажите 25. Чтобы открыть порты с
5000 по 5020 включительно, укажите 5000-5020. Если портов или
диапазонов портов несколько, их следует разделять запятой (,) или
точкой с запятой (;). Например, 25, 36; 8080, 5000-5020. Также
можно нажимать клавишу ENTER после ввода каждой строчки.
Примечание: Если в белом списке указаны порты, но не указаны
узлы, пользователи получат доступ ко всем узлам, доступным через
указанные порты.
SSL: применяется к следующим
протоколам: Файловые хранилища, FTP, HTTP, ICQ/AOL Messenger, IRC,
SMTP и Web-почта. Устанавливает параметры SSL. Доступны следующие
параметры:
Разрешено - разрешает
SSL-соединения.
Запрещено - запрещает
SSL-соединения.
Обязательно - требует
использования SSL для всех соединений.
ID локального отправителя:
применяется к следующим протоколам: ICQ/AOL Messenger, Jabber,
Mail.ru Агент, Skype, Windows Messenger и Yahoo Messenger. Задаёт
список идентификаторов локальных пользователей, имеющих право
отправлять мгновенные сообщения. Если этот список задан, отправка
мгновенных сообщений от указанных пользователей не будет
блокироваться. Пользователи ICQ/AOL Messenger идентифицируются по
номерам UIN (например, 111222, 23232323). Пользователи Jabber
идентифицируются по идентификаторам Jabber IDs в следующем формате:
user@example.com. Пользователи Агента Mail.ru идентифицируются по
адресам электронной почты в следующем формате: user@mail.ru.
Пользователи Windows Messenger идентифицируются по адресам
электронной почты в следующем формате: user@example.com.
Пользователи Yahoo Messenger идентифицируются по любому из
следующих типов идентификаторов (ID): Yahoo! ID
(<имя_пользователя> или <имя_пользователя>@yahoo.com),
Rocketmail (<имя_пользователя>@rocketmail.com), Ymail
(<имя_пользователя>@ymail.com).
ID удаленного получателя:
применяется к следующим протоколам: ICQ/AOL Messenger, Jabber,
Mail.ru Агент, Skype и Yahoo Messenger. Задаёт список
идентификаторов удалённых пользователей, имеющих право получать
мгновенные сообщения. Если этот список задан, отправка мгновенных
сообщений для указанных пользователей не будет
блокироваться.
E-mail локального
отправителя: применяется к следующим протоколам: MAPI, SMTP и
Web-почта. Задаёт список адресов электронной почты, с которых
разрешена отправка сообщений. Если этот список задан, отправка
сообщений с указанных адресов не будет блокироваться. Адреса
электронной почты отправителей указываются в формате
user@domain.com. Чтобы указать группу адресов отправителей, в
качестве подстановочных знаков можно использовать звездочку (*).
Например, чтобы разрешить всем пользователям домена отправлять
сообщения с электронной почты, укажите *@domain.com. Если адресов
электронной почты несколько, их следует разделять запятой (,) или
точкой с запятой (;).Также можно нажимать клавишу ENTER после ввода
каждой строчки. Примечание: При добавлении адресов
электронной почты получателей и отправителей в белый список для
протокола Web почта, необходимо учесть следующее: письма,
отправленные через веб-интерфейс, хранятся в серверной папке
Отправленные и могут пересылаться на любой адрес с любого
компьютера.
E-mail удаленного
получателя: применяется к следующим протоколам: MAPI, SMTP
и Web-почта. Задаёт список адресов электронной почты, на
которые возможна отправка сообщений. Если этот список задан,
отправка сообщений для указанных адресов не будет
блокироваться.
Социальные сети: применяется
к социальным сетям. Задаёт список разрешённых сайтов социальных
сетей для данного правила. Если этот список задан, указанные сайты
социальных сетей не будут блокироваться. Список поддерживаемых
социальных сетей доступен в разделе Разрешения (для
протоколов).
Web-почта:
применяется к веб-почте. Задаёт список разрешённых служб веб-почты.
Если этот список задан, сообщения электронной почты, отправляемые
через указанные почтовые веб службы, не будут блокироваться. Список
поддерживаемых почтовых веб-служб доступен в разделе
Разрешения
(для протоколов)..
Чтобы задать белый список протоколов
1. В левой части диалогового окна Белый список
протоколов в области Пользователи нажмите кнопку
Добавить. Появится диалоговое окно Выбор: "Пользователи"
или "Группы".
2. В диалоговом окне Выбор: "Пользователи" или
"Группы" в поле Введите имена выбираемых объектов
введите имя пользователя или группы, для которых вы хотите задать
белый список протоколов, а затем нажмите кнопку OK.
Добавленные пользователи и группы отображаются в области
Пользователи в левой части диалогового окна Белый список
протоколов. Чтобы удалить пользователя или группу, в левой
части диалогового окна Белый список протоколов в области
Пользователи выберите пользователя или группу, а затем
нажмите кнопку Удалить.
3. В левой части диалогового окна Белый список
протоколов в области Пользователи выберите пользователя
или группу. Чтобы выбрать одновременно несколько пользователей или
групп, используйте клавиши SHIFT или CTRL.
4. В правой части диалогового окна Белый список
протоколов в области Правила нажмите кнопку
Добавить. Появится диалоговое окно Добавить
правило.
5. В диалоговом окне Добавить правило
задайте общие и специфичные для протокола параметры для этого
правила.
6. Нажмите кнопку OK. Созданное правило
появится в области Правила в правой части диалогового окна
Белый список протоколов.
7. Нажмите кнопку OK или
Применить.
Чтобы редактировать правило белого списка
протоколов
1. В левой части диалогового окна Белый список
протоколов в области Пользователи выберите пользователя
или группу, для которого вы хотите изменить правило. Если выбрать
пользователей или группы, в области Правила в правой части
диалогового окна отобразятся правила белого списка, которые
применяются к этим пользователям или группам.
2. В правой части диалогового окна Белый список
протоколов в области Правила выберите правило, которое
вы хотите редактировать, а затем нажмите кнопку
Редактировать.
- или
-
Щёлкните
правой кнопкой мыши правило, а затем выберите команду
Редактировать. Появится диалоговое окно Редактировать
правило.
3. В диалоговом окне Редактировать правило
внесите необходимые изменения.
4. Нажмите кнопку OK, чтобы применить
изменения.
Чтобы экспортировать белый список
протоколов
1. В правой части диалогового окна Белый список
протоколов в области Правила нажмите кнопку
Сохранить. Появится диалоговое окно Сохранить
как.
2. В диалоговом окне Сохранить как укажите
местоположение, в которое требуется сохранить файл .pwl. При
экспорте белый список протоколов сохраняется в файле с расширением
.pwl.
3. В поле Имя файла введите имя
экспортируемого файла.
4. Нажмите кнопку Сохранить.
Чтобы импортировать белый список протоколов
1. В правой части диалогового окна Белый список
протоколов в области Правила нажмите кнопку
Загрузить. Появится диалоговое окно Открыть.
2. В диалоговом окне Открыть укажите
местоположение файла, который необходимо
импортировать.
3. В списке папок найдите и откройте папку, в
которой находится нужный файл.
4. Выберите файл, который необходимо открыть, а
затем нажмите кнопку Открыть. За один раз можно
импортировать только один файл .pwl.
Чтобы удалить правило белого списка
В левой части диалогового окна
Белый список протоколов в области Пользователи
выберите пользователя или группу, для которой задано правило. В
правой части диалогового окна Белый список протоколов в
области Правила выберите правило и затем нажмите кнопку
Удалить или щелкните правой кнопкой мыши правило и затем
выберите команду Удалить.