Einrichtung des Webfilter Services

Geschätzte Lesedauer: 5 min

1. Grundkonfiguration und Inbetriebnahme Webfilter

Mit dieser Einleitung soll die Einführung in unseren Webfilter und seine Nutzung vereinfacht werden.

1.1 Den Webfilter aktivieren

Der Webfilter wird mithilfe des Primärdomain im Control Panel aktiviert. Die Konfiguration ist mit der Angabe der Benutzer bei „Benutzer hinzubuchen“ zu starten.

Für Webfilteranfragen (z.B. Freigabeaufforderungen) ist administrative E-Mailadresse von Nöten. Schließlich muss die Methode zur Authentisierungsmethode (Benutzer, IP oder LDAP-Zugriff) angegeben werden:

  1. Mit „Benutzerbasierter Zugriff“ müssen man sich manuell mit dem Secure Mail Gateway Connector authentisieren.
  2. Mit „IP-Adress-Zugriff“ wird einer bestimmten IP-Adresse der Zugang zum Webfilter Service erlaubt.
  3. Es besteht auch die Möglichkeit einer Authentisierung mittels Active Directory („LDAP-Authentisierung). Bitte Spreche Sie dies jedoch mit Portformance ab, da eine Einrichtung eines LDAP-Abgleichs benötigt wird.

Die in Abbildung 1 angegebenen Links und Zertifikate werden für die weitere Konfiguration des Webfilters benötigt.

1.2 HTTPS-Verbindungen öffnen und durchsuchen

Damit auch verschlüsselte Webaufrufe von dem Webfilter durchbrochen werden, müssen Sie „HTTPS-Verbindungen öffnen und durchsuchen“ (siehe Abbildung 1). Damit die HTTPS geschützte Website sich für den Webfilter öffnet, wird ein spezielles Zertifikat benötigt, das Sie in Absprache mit Portformance erhalten haben/können. Aktivieren Sie dazu den Link „Download HTTPS-Zertifikat“ im Control Panel (siehe Abbildung 1).

1.3 Auswahl der Webfilter Templates

Sie können sowohl die Anzeige bei entdecken eine im filtersteckenden Webseite, wie auch die Sprach der Anzeige im Control Panel unter dem Reiter „Templates“ ändern. Sollte ein Template nur für Sie erstellt worden sein, ist dies auch hier auswählbar (siehe Abbildung 2).

2. Kategorie-Einstellung

2.1 Kategorien einstellen

Wie in der Folgende Abbildung ersichtlich, kann der Webfilter für eine Kategorie komplett sperren bzw. freigeben (z.B. „Fragwürdige Aktivitäten“) oder Unterkategorien bestimmen (z.B. Kategorie: „Gesellschaft“; Unterkategorie: „Kunst“). In der rechten Spalte können die Gruppen, für die der Filter übernommen werden soll ausgewählt. Hierbei steht „Default“ für alle Benutzer. Gruppen welche mehr oder weniger Einschränkungen haben sollen, müssen dazu gewählt oder neu erstellt werden.

2.2 Gezieltes Sperren und Freigeben bestimmter Webseiten

Wenn Sie zwar die Kategorie sperren möchten, aber einige Internetseite dieser Kategorie für die tägliche Arbeit erforderlich sind, müssen Sie:

  • Als erstes die Kategorie sperren (z.B. „Soziale Netzwerke“)
  • Gehen Sie danach auf Whitelisting und in den Reiter Webfilter. Hier können Sie dann die von Ihnen erwünschte Seite freigeben (siehe Abbildung 4)


Das Whitelisting selbst ist auch nur für Gruppen bzw. Benutzer möglich.

2.3 Definition von Ausnahmen

Indem Sie in den abweichenden Einstellungen die aufzurufende IP-Adresse oder die Domain eingeben, werden die aufzurufenden Webseiten nicht gefiltert. Zwischen den Domains bzw. IP-Adressen muss ein Semikolon eingetragen werden (siehe Abbildung 5).

3. Gruppeneinstellungen für den Webfilter nutzen

3.1 Gruppen aktivieren/deaktivieren

Mit dem Control Panel kann man auch für Gruppen die Internetnutzung selbst einstellen. Das Ganze findet man im Reiter „Gruppen“ im Bereich Webfilter. (siehe Abbildung 6)
Mit einer LDAP-Synchronisation kann die Gruppenerstellung erleichtert werden. Bitte wenden Sie sich hierzu an Portformance.
Zuzüglich gibt es auch eine Funktion, welche es möglich macht einen Gruppenleiter zu bestimmen. Sollte dann in der Gruppe eine Freigabeanfrage auftreten, ist der Gruppenleiter in der Lage dieser Anfrage zuzustimmen oder diese abzulehnen. Um den jeweilige Gruppenleiter auszuwählen, müssen Sie nur in den Webfiltereinstellungen in den Bereich „Gruppen“ und geben in dem Feld hinter „E-Mail Gruppenleiter“ die E-Mail Adresse des Gruppenleiters ein.

Die Funktion des Gruppenleiters ist aus unserer Theorie, dass der Administrator nicht immer richtig einschätzen kann, ob der Benutzer diese Webseite braucht, entstand. Der Gruppenleiter ist in der Lage aus der E-Mail selbst die Freigabe zu ermöglichen (siehe Abbildung 7).

3.2 Definition von Pausenzeiten

Sie können für die jeweiligen Gruppen zusätzlich eine Pausezeit einsetzten, in der die Filtereinstellungen deaktiviert werden (siehe Abbildung 8).

3.3 Anwendungskontrolle für Gruppenrichtlinien nutzen

Achtung: nur mit Secure Mail Gateway Connector nutzbar!

Wenn Sie explizierte Anwendungen sperren, freigeben oder in Pausezeiten zugänglich machen wollen, ist das in der Anwendungskontrolle machbar
(siehe Abbildung 9). Die List mit den Anwendungen kann man erweitern. Bitte sprechen Sie dazu mit Portformance.

3.4 Freigabe der Kategorie -Sperrung durch Gruppenleiter erlauben

Sollte der Administrator dem Gruppenleiter die Rechte zur Veränderung geben, so darf dieser Kategorien und seine Freigaben verändern. Dabei zeigt das grüne Schloss das möglich bearbeiten von einem Gruppenleiter an und das rote Schloss das Bearbeiten nur vom Admin. (siehe Abbildung 3).
Hinweis: Bitte beachten Sie, dass diese Freigabe die Systemsicherheit betrifft (z.B. „Spam->Phishing) bzw. gesetzlich Verstöße bedeuten (z.B. Freigabe von freizügigen
Inhalten für minderjährige Mitarbeiter).

4. Clients einrichten 

4.1 HTTPS-Zertifikate installieren

Diese ist bereits im Punkt 1.2 beschrieben.

Hinweis: Wenn Sie das Zertifikat vervielfältigen wollen, bitten wir Sie erst mit Portformance Kontakt aufzunehmen.

4.2 Konfiguration der Proxy.pac auf den Clients

Für die Benutzung des Webfilters ist die Definierung Ihrer Browser- oder Systemeinstellungen für die Proxy-Konfiguration zwangsläufig nötig. Die Proxy-Einstellungen sind unter „Systemeinstellungen->Internetoptionen->Verbindungen->LAN Einstellungen“ (siehe Abbildung  10). Wie in Abbildung 11 dargestellt, tragen Sie den URL für Ihren Domain in das automatisch Konfigurationsskript ein.

4.3 Hornetsecurity Connector

Mit Hilfe des Hornetsecurity Connectors werden die Nutzer-Clients, auf denen der Connector zuvor installiert  wurde, automatisch gegenüber dem Webfilter authentifiziert. Die Nutzer werden, unabhängig  ob  diese  sich  im  Firmennetz oder außerhalb des Internets befinden, automatisch authentifiziert.
Die Installationsanweisung für den Hornetsecurity Connector folgt anschließend in Punkt 5 in diesem Dokument.

5. Konfiguration des Secure Mail Gateway Connectors

Das Plugin, der Secure Mail Gateway Connectors, loggt den Benutzer automatisch ein, ohne dass dieser sein Benutzername oder Passwort eingeben muss. Dadurch werden die Richtlinien zur Nutzung eines Webfilters, welche vom Unternehmen normalerweise aufgestellt werden, erleichtert.
Der Secure Mail Gateway Connector ist derzeit für folgende Plattformen verfügbar:

  • Windows XP (32 Bit)
  • Windows Vista (32 und 64 Bit)
  • Windows 7 (32 und 64 Bit)
  • Windows Server 2003 (32 und 64 Bit, auch Terminalserver)
  • Windows Server 2008 (32 und 64 Bit, auch Terminalserver)

5.1 Download des Secure Mail Gateway Connectors

Um den Download des Secure Mail Gateways zu generieren muss man als Administrator im Control Panel angemeldet sein. Der diesbezügliche Links ist im Bereich Management im Reiter „Webfilter“ auffindbar (siehe Abbildung 12).

5.2 Konfiguration der connector.cfg

Wie in Abbildung 14 beschrieben müssen Sie bei der Verwendung eines Secure Mail Gateway Managed Appliance  in der „connector.cfg“-Datei die IP-Adressen Ihrer Appliance eintragen.
Dabei ist zu beachten, dass die IP-Adressen mit einem Komma getrennt sein müssen:

5.3 Installation und automatische Verteilung des Secure Mail Gateway Connectors

Für die Installation des Secure Mail Gateway Connectors auf Client-Systemen sind Administratorreche von Nöten. Außerdem muss man darauf achten, dass die connector.cfg Datei in demselben Verzeichnis wie die MSI-Dateien sind.

Leichter ist es die Software als MSI-Paket auf einer von Zielcomputern erreichbare Netzwerkfreigabe und legen die connector.cfg Datei bei.

Weiterführend wird die Installation per „Computer“ ausgeführt, wobei Sie hier die gewünschten „Computerkonten“ in einer Organisationseinheit (OU) zusammenfügen müssen. Weisen Sie danach dieser Einheit eine vorhandene Gruppenrichtlinie zu. Diese Richtlinie müssen Sie dann unter „Computerkonfiguration“–> „Richtlinien“–> „Softwareeinstellungen“ bearbeiten und das MSI-Paket, welches den Secure Mail Gateway Connector beinhaltet, hinzu. Erzwingen Sie danach eine Aktualisierung mit „gpupdate/force“ bei den lokalen Gruppenrichtlinien. Diese Richtlinien werden dann beim Start (PC-GPO) oder bei einem (Login (Benutzernamen-GPO) vom Remoterechner erneuert.

5.4 Konfiguration der SAM Account Names / Abgleich per LDAP

Nach dem erfolgreichen verteilen des Connectors auf die Geräte, kann die Domainmitgliedschaft schon authentifiziert werden. Sollte der Benutzer mit speziellen zusätzlichen Zugriffsrechten haben, muss man jedoch noch die SAM Account Names zuordnen. Benutzer, die keinen SAM Account Name haben, surfen nur über die Default-Einstellungen.

5.4.1 Manuelle Zuweisung:

Sie können für jeden Benutzer des Webfilters im Control Panel einen SAM Account Namen geben (siehe Abbildung 15). Dadurch erlangt unser Webfilter die Möglichkeit Ihren Benutzer zu seinem Benutzer- oder Gruppenspezifischen Profil zu verbinden. Sollte der Benutzer nicht vorhanden sein, können Sie Ihn neu anlegen.

5.4.2 Synchronisieren der SAM Account Names mit dem LDAP Verzeichnisdienst:

Theoretisch können Sie Ihren SAM Account über LDAP aus Ihrem Active Directory in das Secure Mail Gateway Control Panel synchronisieren. Bitte setzten Sie sich diesbezüglich mit Portformance in Verbindung.

War dieser Artikel hilfreich?
Dislike 0
Views: 26