Guide d'installation Révision B. McAfee SaaS Web Protection Service

Guide d'installation Révision B McAfee SaaS Web Protection Service

COPYRIGHT Copyright 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les noms et les descriptions des produits et fonctionnalités sont susceptibles d'être modifiés sans préavis. Pour en savoir plus sur les fonctionnalités et les produits les plus récents, accédez au site mcafee.com. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2 McAfee SaaS Web Protection Service Guide d'installation

Sommaire 1 Introduction 5 Conditions requises................................. 5 2 Configuration de SaaS Web Protection Service 7 Détermination de l'authentification auprès de Web Protection................ 7 Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente).. 9 Ajout des détails d'un utilisateur pour McAfee Client Proxy.................. 9 WDS Connector (authentification transparente)..................... 10 Téléchargement de WDS Connector....................... 10 3 Configuration de proxy 11 Configuration d'un paramètre de proxy statique dans votre navigateur............ 12 Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe... 13 Verrouillage de votre proxy.......................... 13 Configuration automatique du fichier Mozilla.cfg via un script de connexion....... 14 Création d'un fichier PAC ou WPAC........................ 15 Configuration WPAD............................. 15 Configuration de DNS pour un script WPAD.................... 17 Configuration d'un serveur web pour utiliser un fichier PAC ou WPAD.......... 18 Exemple basique de fichier WPAD ou PAC..................... 20 4 Problèmes de configuration courants 23 Vérification d'un paramètre de proxy codé en dur.................... 23 Vérification du nom de toutes les configurations en minuscules............... 23 5 Configuration d'ensembles de stratégies 27 Analyses (post-mortem).............................. 27 6 Optimisation de WDS Connector pour les installations plus grandes 29 Configuration du proxy pour un grand nombre de clients................. 29 McAfee SaaS Web Protection Service Guide d'installation 3

Sommaire 4 McAfee SaaS Web Protection Service Guide d'installation

1 1 Introduction McAfee SaaS Web Protection Service fournit une protection en temps réel contre les menaces générées par le Web et les contenus inappropriés, dans le périmètre du réseau, avant qu'ils ne puissent entrer dans le réseau interne; Le trafic des navigateurs des utilisateurs est redirigé vers le SaaS Web Protection Service. Au fur et à mesure de la réception de requêtes de contenu web, SaaS Web Protection Service vérifie le contenu en accord avec les stratégies définies et, si l'option est activée, cherche les vers et virus connus. Seul le contenu qui ne viole pas ces stratégies et ne comporte pas de menaces connues est renvoyé à l'utilisateur. Vous pouvez activer ou désactiver des stratégies de contenu web spécifiques dans Control Console, l'interface graphique complète de SaaS Web Protection Service. Conditions requises Une fois que vous avez défini vos stratégies de filtrage de contenu web dans Control Console, Web Protection redirigera le trafic web de l'entreprise vers un serveur proxy pour initier la protection. Avant d'utiliser Web Protection Service, il est impératif d'effectuer les opérations suivantes : S'inscrire à Web Protection ; Créer un client ; Créer un domaine. Vous pouvez envisager de mettre en œuvre la fonctionnalité d'intégration de répertoire dans la gestion des comptes avant d'utiliser WDS Connector. Ainsi, vous augmenterez sérieusement les chances de faire correspondre les adresses e mail de l'utilisateur dans Active Directory et dans Control Console. Pour en savoir plus sur les environnements pris en charge par Web Protection, consultez les dernières notes de publication. McAfee SaaS Web Protection Service Guide d'installation 5

1 Introduction Conditions requises 6 McAfee SaaS Web Protection Service Guide d'installation

2 Configuration 2 de SaaS Web Protection Service SaaS Web Protection Service (Web Protection) arrête les menaces avant qu'elles n'atteignent le réseau de l'entreprise. Une fois les stratégies de filtrage de Web Protection définies, le trafic web doit être redirigé vers un serveur proxy, puis la protection est initiée. Les sessions web de l'utilisateur final sont également systématiquement filtrées par Web Protection afin de bloquer les virus et les logiciels espions (spyware) avant qu'ils n'atteignent le réseau, si le service contre les menaces a été acheté. Sommaire Détermination de l'authentification auprès de Web Protection Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) Ajout des détails d'un utilisateur pour McAfee Client Proxy WDS Connector (authentification transparente) Détermination de l'authentification auprès de Web Protection La fenêtre Contrôles d'accès vous permet de définir la manière selon laquelle les utilisateurs s'authentifient lorsqu'ils accèdent au Web. Vous pouvez par exemple enregistrer une liste d'adresses IP acceptées par votre entreprise. Choisissez l'un des quatre mécanismes fournis pour être autorisé à utiliser le système Web Protection : Si nécessaire, on peut combiner plusieurs authentifications. Authentification de l'intervalle d'adresses IP Avantages : Ne nécessite aucune connexion de l'utilisateur ; Aucun mot de passe à gérer pour les utilisateurs ; Aucun logiciel à installer ; Peut être déployé en bordure de réseau par le biais du routage. Inconvénients : Les stratégies de groupe ne peuvent pas être appliquées (tous les utilisateurs ont la même stratégie) ; Aucun rapport individuel ; tous les rapports sont regroupés pour l'adresse IP externe. Authentification d'utilisateur explicite Avantages : McAfee SaaS Web Protection Service Guide d'installation 7

2 Configuration de SaaS Web Protection Service Détermination de l'authentification auprès de Web Protection Les stratégies de groupe peuvent être appliquées (les utilisateurs peuvent avoir des stratégies différentes) ; Les rapports individuels se font pour chaque utilisateur ; Aucun logiciel à installer. Inconvénients : Nécessite que les utilisateurs se connectent à chaque session de navigateur ; Les mots de passe doivent être gérés et/ou authentifiés auprès du serveur de l'entreprise. Authentification transparente (WDS Connector) Lorsque vous utilisez WDS Connector, il est conseillé de suivre quelques bonnes pratiques. Dans la plupart des cas, McAfee conseille de placer WDS Connector sur un serveur dédié. Bien que cela ne soit pas une obligation pour les petits clients, un serveur dédié minimise la probabilité d'interférence d'un autre processus avec WDS Connector. McAfee conseille de désinstaller ou de désactiver les logiciels non essentiels du serveur sur lequel WDS Connector est installé. Avantages : Ne nécessite aucune connexion de l'utilisateur ; Aucun mot de passe à gérer pour les utilisateurs dans le système Web Protection ; Les stratégies de groupe peuvent être appliquées (les utilisateurs peuvent avoir des stratégies différentes) ; Les rapports individuels se font pour chaque utilisateur. Inconvénients : Nécessite l'installation d'un logiciel sur l'infrastructure de l'entreprise ; Nécessite Active Directory et l'authentification NTLM pour reconnaître les utilisateurs ; Nécessite que chaque utilisateur possède une adresse e mail dans Active Directory, correspondant à une adresse e mail dans Control Console ; Nécessite que les utilisateurs se connectent au domaine de manière interactive ; Nécessite de router tout le trafic du navigateur par WDS Connector. McAfee Client Proxy (MCP) Le McAfee Client Proxy est un agent Windows qui redirige directement le trafic HTTP et HTTPS vers les serveurs SaaS Web Protection. McAfee Client Proxy peut être configuré pour : Toujours rediriger pour garantir une protection constante à partir du cloud ; Rediriger lorsque l'utilisateur se trouve hors du réseau de l'entreprise, pour une protection itinérante. Le McAfee Client Proxy transmet des informations chiffrées au cloud sur l'utilisateur individuel, l'appartenance aux groupes pour les utilisateurs et les détails du compte client. Le système identifie automatiquement l'utilisateur, le groupe ou le client pour appliquer la stratégie appropriée. Avantages : Ne nécessite aucune connexion de l'utilisateur ; Aucun mot de passe à gérer pour les utilisateurs dans le système Web Protection ; 8 McAfee SaaS Web Protection Service Guide d'installation

Configuration de SaaS Web Protection Service Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) 2 Les stratégies de groupe peuvent être appliquées (les utilisateurs peuvent avoir des stratégies différentes) ; Les rapports individuels se font pour chaque utilisateur ; Peut être configuré pour éviter la désactivation de l'agent ; Fonctionne au niveau du réseau pour tous les navigateurs et pour toutes les autres requêtes HTTP ou HTTPS. Inconvénients : Ne fonctionne que sous Windows ; Nécessite le déploiement sur le poste client (poste de travail ou ordinateur portable) ; N'existe qu'en langue anglaise. Ajout d'utilisateurs à Gestion des comptes (utilisateur explicite ou authentification transparente) Gestion des comptes est un ensemble de pages d'administration vous permettant de configurer et de gérer depuis un emplacement unique les entités de Web Protection Service. C'est une option de McAfee Client Proxy. Ces entités sont les suivantes : Domaines Utilisateurs Autres administrateurs, notamment autres administrateurs de client, administrateurs de domaine, gestionnaires de quarantaine et gestionnaires de rapports En outre, utilisez Gestion des comptes pour l'administration des groupes d'utilisateurs partageant une stratégie de filtrage des e mails commune. Pour configurer les utilisateurs qui utiliseront Web Protection Services, téléchargez le Guide de l'administrateur de la Gestion des comptes et suivez les instructions. 1 Allez sur la page http://www.mcafeesaas.com 2 Connectez vous si nécessaire. 3 Cliquez sur Documents de référence. 4 Cliquez sur Guide de l'administrateur de la Gestion des comptes. Ajout des détails d'un utilisateur pour McAfee Client Proxy McAfee Client Proxy peut être utilisé sans avoir besoin de définir des noms d'utilisateurs. Control Console fait correspondre les noms d'utilisateurs avec les informations de domaine/nom de l'utilisateur de Windows fournies par McAfee Client Proxy. Control Console propose un utilitaire pour faire correspondre les noms d'utilisateurs aux utilisateurs de messagerie qui ont été créés. McAfee SaaS Web Protection Service Guide d'installation 9

2 Configuration de SaaS Web Protection Service WDS Connector (authentification transparente) Procédure 1 Accédez à Web Protection Stratégies Stratégies McAfee Client Proxy. 2 Cliquez sur Utilitaire d'identification des utilisateurs MCP Cet utilitaire fait automatiquement correspondre les noms d'utilisateurs d'active Directory aux comptes de messagerie de Control Console. Si aucun nom d'utilisateur n'est fourni, l'utilitaire McAfee Client Proxy utilise les informations spécifiques du groupe ou du client pour déterminer la stratégie à utiliser pour le filtrage. WDS Connector (authentification transparente) WDS Connector SM, qui est une amélioration de SaaS Web Protection Service (Web Protection), permet aux utilisateurs d'accéder au web par le biais de Web Protection en utilisant leurs informations d'identification de domaine du réseau local. Cette fonction, aussi appelée authentification transparente, élimine la nécessité d'authentifier un utilisateur, pour Web Protection, à chaque fois qu'il ouvre un navigateur. A la place, Web Protection valide automatiquement l'utilisateur lorsque celui ci ouvre un navigateur. Les administrateurs du service Web Protection peuvent continuer à appliquer des stratégies de groupe aux utilisateurs et à suivre les utilisations web individuelles, les menaces, etc. Téléchargement de WDS Connector Téléchargez le logiciel WDS Connector pour que vous puissiez l'installer et commencer à l'utiliser. Procédure 1 Cliquez sur l'onglet Web Protection Configuration. 2 Cliquez sur le lien WDS Connector. 3 Cliquez sur Télécharger WDS Connector pour télécharger et installer le logiciel WDS Connector. Si l'accès à Control Console s'effectue à partir d'un serveur Windows utilisé comme serveur proxy de WDS Connector, vous pouvez exécuter l'installation du logiciel lorsque vous le téléchargez. Dans ce cas, cliquez sur Exécuter lorsque la première fenêtre du programme d'installation s'affiche. Si l'accès à Control Console s'effectue à partir d'un ordinateur qui n'est pas le serveur proxy de WDS Connector, vous devez enregistrer le logiciel sur une clé USB, sur un CD ROM ou sur un autre support, le transférer sur le serveur proxy de WDS Connector et l'installer. 10 McAfee SaaS Web Protection Service Guide d'installation

3 Configuration 3 de proxy Après avoir configuré Web Protection, vous devrez configurer vos clients pour utiliser le proxy. Il existe quatre manières de le faire : Configurez manuellement les clients pour qu'ils pointent vers Web Protection et/ou WDS Connector en utilisant les paramètres de proxy d'internet Explorer ou de Firefox. C'est une méthode efficace pour forcer les ordinateurs à pointer vers Web Protection. Cependant, le problème principal de cette configuration réside dans son manque de flexibilité ; elle n'est donc conseillée que pour les petits sites ou pour les sites dont la plupart des utilisateurs utilisent des postes de travail et non des ordinateurs portables. De plus, toute configuration de l'ordinateur local comporte le risque que l'utilisateur revienne à sa configuration antérieure dès que le personnel informatique a tourné le dos. Nous parlerons également de la manière de verrouiller Internet Explorer et Firefox pour que l'utilisateur ne puisse pas facilement modifier ou supprimer les paramètres de proxy. Enfin, vous pouvez utiliser la stratégie de groupe pour coder en dur les serveurs proxy de vos utilisateurs et pour les empêcher de les modifier. Utilisez un fichier PAC pour écrire sous forme de script la manière selon laquelle le navigateur web d'un utilisateur va trouver et utiliser les serveurs proxy web sur votre réseau. Configurer manuellement des clients par un codage en dur du proxy peut s'avérer très problématique pour les utilisateurs d'ordinateurs portables, car ce proxy ne sera pas disponible s'ils ne sont pas connectés au réseau de l'entreprise, soit par une connexion filaire, soit par un VPN. Un fichier PAC vous permet de résoudre ce problème en contrôlant la direction que le navigateur prendra pour trouver les informations de proxy et en ignorant même le proxy pour aller directement sur Internet si le proxy est introuvable. L'utilisation des fichiers PAC offre également l'avantage de pouvoir définir ce qui sera géré par le proxy et ce qui ne le sera pas. Par exemple, bien qu'il soit en général plus prudent d'envoyer la navigation web générale vers Web Protection, vous ne voulez pas forcément envoyer vos applications critiques basées sur le web vers un proxy. Avec un fichier PAC, vous pouvez rendre plus intelligente la manière selon laquelle le navigateur de l'utilisateur redirige le trafic. Le protocole WPAD, qui nécessite peu ou pas de modifications au niveau du client, mais plutôt au niveau du navigateur, utilise le paramètre Détecter automatiquement pour rechercher votre fichier de configuration sur un serveur web. S'il ne peut pas trouver les paramètres ou le serveur WPAD, le navigateur s'adapte rapidement et va directement sur Internet. Ce paramètre est de loin le plus facile à mettre en œuvre au niveau du client, mais il demande plus d'attention de la part de l'administrateur des systèmes car il nécessite de configurer les serveurs web, DHCP et DNS. Heureusement, les formats des fichiers WPAD.DAT et PAC sont identiques et nous fournissons dans cette section des exemples que vous pouvez copier et coller à volonté. Si vous utilisez McAfee Client Proxy, la stratégie de configuration de McAfee Client Proxy détermine la méthode et la destination de la redirection du trafic. Pour en savoir plus, consultez la documentation de McAfee Client Proxy sur Control Console sous Web Protection Configuration McAfee Client Proxy. McAfee SaaS Web Protection Service Guide d'installation 11

3 Configuration de proxy Configuration d'un paramètre de proxy statique dans votre navigateur Procédures Configuration d'un paramètre de proxy statique dans votre navigateur, page 12 Le codage en dur des paramètres d'internet Explorer ou de Firefox fonctionne bien pour les petits sites et pour les sites sur lesquels la plupart des ordinateurs sont des postes de travail. Cependant, ce paramétrage ne fonctionne pas bien pour des utilisateurs d'ordinateurs portables qui travaillent en local ou à distance car ils ne pourront pas avoir accès à Internet s'ils ne peuvent pas se connecter au serveur proxy. De plus, il n'y a pas de routage intelligent ou de reprise automatique si le proxy ne peut pas être atteint. Sommaire Configuration d'un paramètre de proxy statique dans votre navigateur Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe Configuration d'un paramètre de proxy statique dans votre navigateur Le codage en dur des paramètres d'internet Explorer ou de Firefox fonctionne bien pour les petits sites et pour les sites sur lesquels la plupart des ordinateurs sont des postes de travail. Cependant, ce paramétrage ne fonctionne pas bien pour des utilisateurs d'ordinateurs portables qui travaillent en local ou à distance car ils ne pourront pas avoir accès à Internet s'ils ne peuvent pas se connecter au serveur proxy. De plus, il n'y a pas de routage intelligent ou de reprise automatique si le proxy ne peut pas être atteint. Avant de commencer Cette configuration suppose que le client et le serveur ne sont pas configurés pour bloquer le port 3128 et/ou le port 8080. Procédure 1 Lancez Internet Explorer. 2 Cliquez sur Outils Options. 3 Cliquez sur l'onglet Connexions. 4 Cliquez sur Paramètres du réseau local. 5 Sélectionnez Utiliser un serveur proxy pour votre réseau local. Si vous utilisez WDS Connector : a Saisissez le nom de domaine complet (de préférence) ou le nom du serveur DNS pouvant être résolu correspondant au serveur sur lequel WDS Connector est installé. b Dans le champ Port, saisissez 3128. 6 Saisissez l'entrée de proxy fournie dans le kit d'activation que vous avez reçu lors de la configuration. 7 dans le champ Port, saisissez 8080. 8 Sélectionnez Contourner le serveur proxy pour les adresses locales. Lorsque vous avez terminé, le serveur proxy doit ressembler à l'exemple suivant : où serveur proxy est le nom du serveur sur lequel vous avez installé WDS Connector. McAfee conseille d'utiliser un nom de domaine complet comme proxyserver.yourdomain.com plutôt qu'un simple nom de serveur. 12 McAfee SaaS Web Protection Service Guide d'installation

Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe 3 9 Cliquez sur l'onglet Connexions. Si vous avez des entrées dans Paramètres d'accès commuté et de réseau privé virtuel, vous devez également configurer ces entrées pour le proxy. a Sélectionnez le paramètre de réseau privé virtuel (VPN) que vous souhaitez configurer et cliquez sur Paramètres. b Sélectionnez Utiliser un serveur proxy pour cette connexion. 10 Si vous utilisez WDS Connector : a Saisissez le nom de domaine complet (de préférence) ou le nom du serveur DNS pouvant être résolu correspondant au serveur sur lequel WDS Connector est installé. b Dans le champ Port, saisissez 3128. 11 Si vous n'utilisez pas WDS Connector, McAfee vous conseille de sélectionner Contourner le serveur proxy pour les adresses locales. Saisissez le proxy fourni dans votre kit d'activation. 12 Dans le champ Port, saisissez la valeur de port 8080. Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe Il est possible de configurer tous les ordinateurs de votre domaine Microsoft pour qu'ils aient un paramètre de proxy codé en dur, à l'aide d'une stratégie de groupe. Pour le moment, aucune solution basée sur une stratégie de groupe n'est disponible pour Firefox. Si vous exécutez GPEDIT.MSC sur votre ordinateur local, vous modifiez la stratégie de votre ordinateur local. Si vous l'exécutez pour les utilisateurs et les ordinateurs d'active Directory ou pour la Gestion de la stratégie de groupe, vous modifiez la stratégie de groupe de votre contrôleur de domaine pour l'ensemble de votre domaine. Dans les deux cas, soyez prudent! Verrouillage de votre proxy Plutôt que de demander à tous vos utilisateurs de configurer individuellement leurs paramètres de proxy, vous pouvez définir une stratégie de groupe sur un ordinateur fonctionnant sous Windows, uniquement pour Internet Explorer. Procédure 1 A partir du menu Démarrer, sélectionnez Exécuter. La boîte de dialogue Editeur de stratégie de groupe locale s'affiche. 2 Saisissez gpedit.msc et cliquez sur OK. La fenêtre Stratégie de groupe s'affiche. 3 Dans le volet de gauche, sélectionnez Configuration de l'utilisateur Paramètres Windows Maintenance d'internet Explorer Connexion. 4 Dans le volet de droite, double cliquez sur l'option Paramètres de proxy. La boîte de dialogue Paramètres de proxy s'affiche. 5 Sélectionnez Activer les paramètres de proxy. McAfee SaaS Web Protection Service Guide d'installation 13

3 Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe 6 Dans le champ HTTP, saisissez l'adresse du serveur proxy que vous trouverez dans votre lettre de bienvenue. Si vous faites partie de portal.mcafeesaas.com, utilisez <yourdomainhere.com>.web01.mxlogic.net Si vous faites partie de console.mcafeesaas.com, utilisez <yourdomainhere.com>.web02.mxlogic.net Modifiez <yourdomainhere.com> pour qu'il soit spécifique à votre organisation. 7 Dans le champ Port, saisissez 8080. 8 Contournez le serveur proxy web. a Dans la zone Exceptions, saisissez les adresses des sites web dont le trafic ne doit pas être filtré. Vous pouvez saisir des noms partiels ou des adresses IP comme *.yourdomain.com;10.*;192. 168.*. Les entrées doivent être séparées par un point virgule.. b c Vérifiez que l'option Ne pas utiliser de serveur proxy pour les adresses locales (intranet) est bien sélectionnée. Cliquez sur OK. Les serveurs proxy de McAfee Web Protection Service ne peuvent pas se connecter aux serveurs du réseau privé (réseau local) de votre entreprise. Pour accéder à ces sites web privés, vous devez contourner le serveur proxy. Configuration automatique du fichier Mozilla.cfg via un script de connexion Voici l'une des manières que vous pouvez choisir pour fournir ce fichier et modifier le fichier all.js via un script de connexion. Le script de connexion vérifie d'abord que Firefox est bien installé, puis il vérifie la présence du fichier Mozilla.cfg. Si Firefox est installé mais le fichier Mozilla.cfg n'existe pas, il se recopie dans le fichier et il modifie le fichier all.js en ajoutant une nouvelle ligne, puis en ajoutant la commande pref au fichier all.js, pour qu'il sache qu'il faut chercher le fichier Mozilla.cfg. Tout ce que ce script effectue est écrit dans un fichier journal pour que vous puissiez en connaître tous les détails, 14 McAfee SaaS Web Protection Service Guide d'installation

Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe 3 que l'installation ait réussi ou non. Il n'y a aucune conséquence pour l'utilisateur. La prochaine fois qu'il fermera et ouvrira le navigateur, il sera enfermé dans votre configuration de proxy. Procédure 1 Copiez le fichier Mozilla.cfg sur un lecteur partagé auxquels tous les utilisateurs ont accès sur votre réseau (en lecture seule). 2 Modifiez votre script de connexion de la manière suivante : N'oubliez pas de modifier \\server\share et de le remplacer par le nom de votre serveur et de votre dossier partagé. :: Firefox Proxy Config file drop and all.js adjustment GOTO Check :Check :: First check to see if Firefox is installed, then see if the config file is there IF NOT EXIST "C: \Program Files\Mozilla Firefox" GOTO Lognofirefox IF NOT EXIST "C:\Program Files\Mozilla Firefox\mozilla.cfg" GOTO Update IF NOT EXIST "C:\Program Files\Mozilla Firefox\mozilla.cfg" GOTO Update GOTO Logalreadyinstalled GOTO End :Update :: Drop the config file and adjust all.js copy \\server\share\mozilla.cfg C:\Program Files\Mozilla Firefox :: ::C reate a new line at the bottom of the all.js file ECHO. >> "C:\Program Files\Mozilla Firefox\greprefs\all.js" :: ::Add a pref to point to the new CFG file to the end of all.js ECHO pref(general.config.filename, mozilla.cfg); >> C:\Program Files\Mozilla Firefox \greprefs\all.js GOTO Loginstalled :Lognofirefox Echo %date% %time% user %username% on %computername% does not have FireFox installed >> \\server\share \log.txt GOTO End :Logalreadyinstalled Echo %date% %time% user %username% on %computername% already has mozilla.cfg downloaded >> \\server\share\log.txt GOTO End :Loginstalled Echo %date% %time% user %username% on %computername% SUCCESS!! FireFox Proxy installed! >> \\server\share\log.txt GOTO End :End ::All done! Testez toujours le script de connexion sur un ou deux ordinateurs avant de le lancer en production. Sur les ordinateurs que vous ne souhaitez pas verrouiller, ajoutez manuellement le fichier Mozilla.cfg mais ne mettez pas à jour le fichier all.js. Ainsi, le script ignorera cet ordinateur et supposera qu'il a déjà été mis à jour. Création d'un fichier PAC ou WPAC Les fichiers PAC ou WPAC sont de simples fichiers hébergés sur un serveur web interne qui utilisent JavaScript pour dire au navigateur ce qu'il doit faire avant d'essayer de charger une page web. L'avantage des fichiers PAC et WPAD est qu'ils vous aident à rendre la configuration de votre proxy plus intelligente pour qu'elle puisse s'adapter si l'ordinateur n'est pas connecté au réseau ou si le proxy est à l'arrêt. Vous pouvez également décider des sites qui seront soumis ou pas au proxy pour que les sites web qui sont critiques pour l'entreprise ne soient jamais affectés par le proxy. Configuration WPAD Lorsque vous utilisez le protocole WPAD, le navigateur visera d'abord DHCP pour lui donner l'emplacement des informations de votre fichier wpad.dat. S'il ne parvient pas à le trouver dans DHCP, il visera DNS avant d'essayer Internet. Vous devrez configurer le serveur DHCP pour fournir cette information. Ajoutez l'option 252 à DHCP McAfee SaaS Web Protection Service Guide d'installation 15

3 Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe Procédure 1 Sur le serveur d'exécution de DHCP (ou en utilisant la console MMC sur votre ordinateur), sélectionnez Démarrer Programmes Outils d'administration DHCP. 2 Faites un clic droit sur le serveur DHCP que vous souhaitez modifier et sélectionnez Définir les options prédéfinies. 3 Localisez 252. Si l'option n'existe pas : a Cliquez sur Ajouter pour ajouter une nouvelle option. b Dans le champ Nom d'option, saisissez WPAD. c Dans le champ Code, saisissez 252. d Dans le champ de données, saisissez la chaîne sélectionnée et cliquez sur OK. 4 Dans la liste déroulante Nom d'option, sélectionnez 252 WPAD. 5 Dans le champ Chaîne de caractères, saisissez http://mywebserver:3128/wpad.dat Où mywebserver est le nom du serveur web que vous avez placé dans votre fichier de configuration wpad.dat. Cette chaîne doit être en minuscules. 6 Cliquez sur OK. Suite à cette modification, ces informations WPAD seront publiées avec chaque nouvelle adresse IP. Vérifiez donc qu'elles sont correctes dans le serveur DHCP, que le script fonctionne et veillez à libérer/renouveler votre adresse IP pour pouvoir la tester après avoir cliqué sur OK. Une fois que vous avez effectué les étapes ci dessus pour ajouter l'option 252 à votre Serveur DHCP, vous pouvez choisir de l'appliquer à l'ensemble de votre serveur DHCP ou à certaines étendues uniquement, ou les deux. 7 Faites un clic droit sur Options de serveur et sélectionnez Configurer les options. Cette étape doit se faire en minuscules. 8 Sélectionnez Option 252 Vérifiez que les informations du serveur web, le port et le nom de fichier sont corrects. Tout doit être en minuscules. 9 Cliquez sur OK. 10 Ouvrez l'étendue en question. 11 Faites un clic droit sur Options d'étendue et cliquez sur Configurer les options. 12 Sélectionnez Option 252 13 Remplissez le nom du serveur avec le nom de votre serveur web, le port et le fichier wpad.dat. Ces entrées doivent être en minuscules. 14 Cliquez sur OK. 16 McAfee SaaS Web Protection Service Guide d'installation

Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe 3 Configuration de DNS pour un script WPAD Internet Explorer visera l'option DHCP 252 si l'option Détecter automatiquement est sélectionnée ; vous pouvez donc vous demander pourquoi nous vous conseillons d'effectuer également cette modification pour le DNS. Il y a plusieurs raisons à cela : Vous souhaitez que votre fichier de configuration de proxy fonctionne sur des ordinateurs qui ont une adresse IP statique. Vous avez d'autres navigateurs, comme Firefox, qui préfèrent une entrée DNS plutôt que DHCP. Vous pensez que votre paramètre de détection automatique va forcer le navigateur à chercher un fichier de configuration coûte que coûte, même dans un mauvais domaine. Par exemple, si vous avez choisi l'option Détecter automatiquement le proxy dans votre navigateur, mais que votre navigateur ne peut pas trouver le fichier wpad.dat pour dallas.mydomain.com, il cherchera les informations wpad dans wpad.mydomain.com puis dans wpad.com avant d'abandonner. S'il les trouve, il exécutera le script trouvé dans l'un de ces domaines, ce qui crée un problème de sécurité et de configuration évident. Nous devons supposer que vous souhaitez fournir des informations WPAD pour votre domaine local. Donc, si votre domaine local est mydomain.info, vous devez modifier le serveur DNS de mydomain.info et ajouter un enregistrement cname appelé WPAD qui pointe vers le serveur web contenant le fichier. Procédure 1 Démarrez DNS dans la console MMC en allant dans les outils d'administration du contrôleur de domaine qui héberge votre DNS. 2 Développez Zones de recherche directe. 3 Faites un clic droit sur votre zone de recherche directe et sélectionnez Nouvel alias (CNAME) 4 Dans le champ Alias, saisissez WPAD. 5 Saisissez le nom de domaine complet du serveur qui héberge votre fichier WPAD. 6 Cliquez sur OK. 7 Cliquez sur OK. Effectuez le test en choisissant l'option Détecter automatiquement dans Internet Explorer. Lorsque votre navigateur trouve une page appelée wpad.yourdomain.com, les informations de votre proxy sont mises à jour automatiquement. 8 Après avoir suivi les instructions de configuration DNS et DHCP ci dessous, configurez votre navigateur pour détecter automatiquement les paramètres de proxy. a Lancez Internet Explorer. b c d e Sélectionnez Outils Options. Cliquez sur l'onglet Connexions. Sélectionnez Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire. Sélectionnez Détecter automatiquement les paramètres. McAfee SaaS Web Protection Service Guide d'installation 17

3 Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe Configuration d'un serveur web pour utiliser un fichier PAC ou WPAD Pour utiliser un fichier PAC ou WPAD pour configurer vos serveurs proxy, vous devez configurer plusieurs éléments de votre réseau. Avant de commencer Le fichier PAC est bien plus simple que la configuration WPAD car, avec le fichier PAC, vous dites au navigateur où se trouve le fichier ; il suffit donc de le placer à la racine d'un serveur web et de dire au serveur comment il doit le charger. Par contre, la configuration WPAD utilise DHCP et DNS pour déterminer où se trouve le fichier si le navigateur de l'utilisateur utilise Détecter automatiquement les paramètres ; vous devez donc placer le fichier dans un serveur web et mettre à jour DHCP et DNS pour que le navigateur sache où il doit chercher. Les fichiers PAC et WPAD doivent être placés sur un serveur web. Nous conseillons vivement d'utiliser un serveur web interne plutôt qu'un serveur d'accès Internet ; nous conseillons également de rendre ce fichier accessible en lecture seule pour éviter qu'un pirate informatique ne redirige tout votre trafic Internet vers son site de logiciel espion (spyware) préféré. Pour en savoir plus sur tous les problèmes de sécurité possibles lors de l'utilisation d'un fichier PAC ou du protocole WPAD, consultez la page http://www.microsoft.com/technet/security/advisory/945713.mspx. Procédure 1 Copiez votre fichier proxy.pac dans le répertoire de documents racine de votre serveur web. Il doit être dans le répertoire de documents racine ; Il doit s'agir du serveur virtuel par défaut ou du serveur virtuel actif ; Le nom de fichier doit être en minuscules. 2 Ajoutez une entrée MIME à la configuration de vos serveurs web pour qu'il sache comment ouvrir le fichier. 3 Ouvrez Gestionnaire des services Internet (IIS) sur le serveur web. 4 Pour ajouter un type MIME, faites un clic droit sur le site web. 5 Cliquez sur Propriétés. 6 Dans l'onglet En têtes HTTP, cliquez sur Type MIME. 7 Cliquez sur Nouveau. 8 Dans le champ Extension, saisissez l'extension du nom de fichier extension: pac a b Dans le champ Types MIME, saisissez : application/x javascript config Cliquez sur OK, puis redémarrez le service IIS (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). Procédures Configuration de serveurs web pour Apache version 1.x, page 19 Pour configurer les serveurs web pour Apache 1.x, suivez les étapes ci dessous. Configuration de navigateurs web pour Apache version 2.x, page 20 Pour configurer les serveurs web pour Apache 2.x, suivez les étapes ci dessous. 18 McAfee SaaS Web Protection Service Guide d'installation

Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe 3 Configuration de serveurs web pour Apache version 1.x Pour configurer les serveurs web pour Apache 1.x, suivez les étapes ci dessous. Procédure 1 Modifiez /etc/apache/httpd.conf 2 Ajoutez AddType application/x javascript config pac 3 Modifiez /etc/apache2/mods available/mime.conf. 4 Ajoutez AddType application/x javascript config pac Redémarrez le serveur Apache Web Server (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). 5 Effectuez le test en ouvrant http://yourwebserver.domain.com/proxy.pac. Si votre navigateur web vous demande comment vous souhaiteriez ouvrir le fichier proxy.pac, c'est que vous avez réalisé correctement cette étape. Configurez votre navigateur pour pointer vers le fichier proxy.pac dans Internet Explorer en réalisant les étapes ci dessous : a Cliquez sur Outils Options. b c d Cliquez sur l'onglet Connexions. Cliquez sur Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire, puis définissez les paramètres pour configurer un VPN. Dans le champ Script de configuration automatique, saisissez l'url de votre serveur web. Configuration de serveur web pour un fichier WPAD.DAT : 6 Copiez le fichier wpad.dat dans le répertoire de documents racine de votre serveur web. a Il doit être dans le répertoire de documents racine et pas dans un sous site ou dans un sous répertoire. b c Il doit s'agir du serveur virtuel par défaut ou du serveur virtuel actif. Ce DOIT être un nom de fichier en minuscules ; WPAD.dat ne fonctionnera pas mais wpad.dat fonctionnera. 7 Ajoutez une entrée MIME à la configuration de vos serveurs web pour qu'il sache comment ouvrir le fichier. 8 Ouvrez Gestionnaire des services Internet (IIS) sur le serveur web. 9 Pour ajouter un type de contenu MIME, faites un clic droit sur le site web souhaité. 10 Cliquez sur Propriétés. 11 Dans l'onglet En têtes HTTP, cliquez sur Types MIME. 12 Cliquez sur Nouveau. 13 Dans le champ extension, saisissez l'extension du nom de fichier : pac. a Dans la zone Type MIME, saisissez : application/x javascript config. b Cliquez sur OK, puis redémarrez le service IIS (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). McAfee SaaS Web Protection Service Guide d'installation 19

3 Configuration de proxy Configuration d'un proxy statique sur tous vos ordinateurs à l'aide d'une stratégie de groupe Configuration de navigateurs web pour Apache version 2.x Pour configurer les serveurs web pour Apache 2.x, suivez les étapes ci dessous. Procédure 1 Modifiez /etc/apache2/mods available/mime.conf 2 Ajoutez la ligne suivante : (dat for wpad, pac for.pac) a Ajoutez Type application/x javascript config dat b Redémarrez le serveur Apache Web Server (lorsque cela est possible, selon les autres tâches en cours sur ce serveur web). 3 Effectuez le test en ouvrant http://webserver/wpad.dat avec votre navigateur Internet. Si votre navigateur web vous demande comment vous souhaiteriez ouvrir le fichier wpad.dat (par exemple, avec Notepad), c'est que vous avez réalisé correctement cette étape. 4 Après avoir suivi les instructions de configuration DNS et DHCP ci dessous, configurez votre navigateur pour détecter automatiquement les paramètres de proxy. a Lancez Internet Explorer. b c d e Sélectionnez Outils Options. Cliquez sur l'onglet Connexions. Cliquez sur Paramètres du réseau local si vous êtes lié au réseau par une connexion filaire. Sélectionnez Détecter automatiquement les paramètres. Exemple basique de fichier WPAD ou PAC Vous trouverez ci dessous un exemple basique de fichier PAC ou WPAD. Exemple de fichier WPAD ou PAC function FindProxyForURL(url, host) { return "PROXY proxyserver.example.com:3128 } En supposant que votre serveur Internet Information Server ou Apache Web Server et Internet Explorer sont configurés correctement (nous en reparlerons ci dessous), votre navigateur exécutera ce script et saura qu'il doit chercher le serveur proxy sur le port 3128, lorsqu'il essaie de charger une page web. S'il ne le trouve pas, il enverra le navigateur directement sur Internet. C'était un exemple plutôt simple. Que faire si vous voulez que votre fichier proxy ignore votre réseau local et votre ordinateur? Fichier WPAD ou PAC qui ne passe pas par l'hôte ou le réseau local function FindProxyForURL(url, host) { function FindProxyForURL(url, host) { if ( isplainhostname(host) localhostordomainis(host, "127.0.0.1") isinnet(host, "10.0.0.0", "255.0.0.0")) return "DIRECT"; else return ""PROXY proxyserver.example.com:3128"; } Si vous souhaitez configurer votre fichier PAC pour qu'il ignore certains sites web spécifiques, ajoutez shexpmatch(url, www.myspecificsitenottoproxy.com). Reportez vous à l'exemple suivant. Fichier WPAD ou PAC qui ignore des sites web spécifiques function FindProxyForURL(url, host) { if ( isplainhostname(host) localhostordomainis(host, "127.0.0.1") isinnet(host, 10.0.0.0", "255.0.0.0) shexpmatch(url, "*.yourcompanyname.*")) // Ne pas passer par mxlogic.* return DIRECT; else return ""PROXY proxyserver.example.com:3128"; } 20 McAfee SaaS Web Protection Service Guide d'installation