Internet is niet zonder gevaar, maar je gebruikers verbieden om op internet te gaan is ook geen optie. De TMG heeft dan ook een aantal nieuwe onderdelen in zijn Web Access Policy om gebruikers te beschermen tijdens het browsen op internet. In een vorig blog heb ik al uitgebreid hierbij stil gestaan:
http://blogs.microsoft.nl/blogs/itprocommunity/archive/2009/11/02/web-protection-in-tmg.aspx
In deze blog wil ik de wizard die er bij hoort eens doorlopen.
Start als eerste de Forefront TMG Console
- Start => Programs => Microsoft Forefront TMG => Forefront TMG Management
- Ga nu naar “Web Access Policy”
- Onder “Tasks” vind je de wizard: “Configure Web Access Policy”
Als eerste zie je de Welcome to the Web Access Policy Wizard scherm
Op de Web Access Policy Rules scherm kun je aangeven of je gebruik wilt maken van URL categories.
URL categorieën zijn een aantal voor gedefinieerde categorieën, zoals Botnet, Gamblig enz enz. Microsoft houdt centraal de inhoud van deze categorieën bij. Als er dus een nieuwe site komt die onder deze categorieën thuis hoort zal de TMG deze automatische updaten.
- Kies voor Yes of No
- Druk op Next
Op de Blocked Web Destination scherm kun je aangeven welke categorieën je wel wilt blokken en welke niet.
Op de Blocked Web Destinations Exceptions scherm kun je eventuele aangeven voor welke gebruikers je geen website wilt blokken. Deze gebruikers mogen dan naar elke website.
- Druk op Add, als je gebruikers wilt uitsluiten van deze blocking rule
- Op Add users scherm druk op New
Je krijgt nu het Welcome to the New User Set scherm voor je. Je geeft nu een naam aan de groep, bijvoorbeeld: “de beheerders”.
Op de Users scherm kun je aangeven om welke users het gaat.
- Druk op Add en je kunt dan kiezen uit Windows Users and Groups, LDAP, Radius, SecurID. Als de TMG lid is van een AD kun je de eerste gebruiken om gebruikers uit de AD te halen.
- Als je de juiste groep hebt gekozen druk je op Next en dan op Finish
Het volgende scherm is de Malware Inspection Settings scherm. Hier geef je aan of je wilt dat alles wat wordt gedownload op virussen gescand wordt
- Kies voor Yes of No
- Druk op Next
Nu krijg je het HTTPS Inspection Settings scherm voor je. Hier heb je de keuze uit vier verschillende zaken:
- Allow users to establish HTTPS connections to websites, Inspect HTTPS traffic and validate HTTPS site certificates. Deze optie zorgt er voor dat AL het HTTPS verkeer geïnspecteerd wordt en mogen gebruikers alleen naar websites met een correct SSL certificaat.
- Allow users to establish HTTPS connections to websites, Do not inspect HTTPS traffic, but validate the HTTPS site certificate. Block HTTPS traffic if the certificate is not valid. Deze optie zorgt er voor dat het HTTPS verkeer niet geïnspecteerd wordt en mogen gebruikers alleen naar websites met een correct SSL certificaat.
- Allow users to establish HTTPS connections to websites, Do not inspect HTTPS traffic and do not validate the HTTPS site certificate. Allow HTTPS traffic.. Deze optie zorgt er voor dat het HTTPS verkeer niet geïnspecteerd wordt en gebruikers mogen naar alle SSL websites.
- Do not allow users to establish HTTPS connections. Deze optie zorgt er voor dat gebruikers niet naar SSL websites kunnen.
De eerste optie is de veiligste optie en de default keuze.
Je bent nu op het HTTPS Inspection Preferences scherm. Hier geef je twee dingen aan:
- Ten eerste kun je kiezen om je gebruikers wel of niet op de hoogte te stellen dat je HTTPS verkeer inspecteert. Je kunt nu namelijk op de TMG al het HTTPS verkeer lezen en dan heb je te maken met privacy regels.
- Ten tweede geef je aan welk certificaat je gebruikt voor HTTPS Inspection.
Op de Web Cache Configuration kun je aangeven of je gebruik wilt maken van Web Caching.
Het laatste scherm is de Completing Web Access Policy Wizard scherm. Hier zie je een kort overzicht van je instellingen.
Nu zijn de benodigde rules aangemaakt.
- Druk op Apply om de nieuwe rules door te voeren.
Nu heb je de TMG geconfigureerd voor webacces en kunnen je gebruikers veilig het internet op.
Martijn