Хосты
Параметр Хосты применяется к следующим протоколам: Любой, FTP, HTTP, IBM Notes, ICQ Messenger, IRC, Jabber, Mail.ru Агент, MAPI, SMB, SMTP, SSL и Telnet.
Этот параметр задает список узлов, разрешенных для этого правила. Если этот список задан, указанные узлы не будут блокироваться.
Узлы можно указать в любом из следующих форматов:
•DNS-имя (например, company.com). В DNS-имени можно использовать звездочку (*). Например, имя *.company.com означает любой сервер, имя которого заканчивается на .company.com. Для протокола HTTP в поле Хосты можно указывать не только адреса веб-сайтов, но и адреса отдельных веб-страниц. Таким образом можно, например, добавить в белый список только страницы по адресу company.com/section/page.
•Например, в качестве хоста можно указать адрес company.com/section/page, чтобы разрешить доступ только к страницам по этому адресу.
Внимание: Поскольку DeviceLock использует для разрешения имен локальный файл Hosts, злоумышленник с правами локального администратора может изменить этот файл, чтобы обойти политику безопасности DeviceLock. Например, если белый список разрешает HTTP-доступ к сайту company.com, такой злоумышленник может получить доступ к запрещенному сайту www.ru, добавив запись 194.87.0.50 company.com в локальный файл Hosts. В целях безопасности рекомендуется защитить файл Hosts, установив флажок Предотвращать изменения в системных файлах настроек в настройках параметра
Администраторы DeviceLock в узле консоли
Настройки сервиса. |
•IPv4-адрес (например, 12.13.14.15). Можно указать диапазон IPv4-адресов, разделенных дефисом (-) (например, 12.13.14.18-12.13.14.28). Также можно указывать маски подсети в следующем формате: <IPv4-адрес>/<длина маски подсети в битах> (например, 3.4.5.6/16).
•IPv6-адрес, например fe80:0000:0000:0000:0a2f:7e00:0004:533a, fe80:0:0:0:a2f:7e00:4:533a или fe80::a2f:7e00:4:533a.
Чтобы задать несколько узлов, можно разделять их запятой (,) или точкой с запятой (;) или нажимать клавишу ENTER после ввода каждой строчки. Узлы можно указывать в различных форматах, описанных выше (например, www.microsoft.com; 12.13.14.15, 12.13.14.18-12.13.14.28).
При добавлении узлов в белый список необходимо учитывать следующее:
•Если объекты на веб-странице (изображения, скрипты, видео, Flash-файлы, ActiveX и т.д.) загружаются с других узлов, необходимо добавить эти узлы в белый список для корректного отображения страницы.
•Если в белом списке указаны узлы, но не указаны порты, эти узлы будут доступны по всем возможным портам.
•Приложения со встроенными SSL-сертификатами (например, Dropbox, Яндекс.Диск, Google Drive, iTunes Google contacts synchronization module и др.) не смогут соединиться со своим сервером, если модуль NetworkLock активен. Модуль NetworkLock становится активным, если заданы настройки для сетевых протоколов. Чтобы исключить эту проблему, необходимо добавить сервер в белый список для протокола SSL. Чтобы узнать имена/адреса сервера, можно использовать приложение TcpView. Добавление сервера в белый список отключает контроль доступа, аудит, теневое копирование и контентную фильтрацию для всего SSL-трафика между приложением и указанным сервером.
•При запуске Outlook соединяется с сервером Exchange и контроллером домена. Если задать разрешение “Нет доступа” для протокола MAPI, а затем добавить правило белого списка для MAPI, необходимо указать имя узла сервера Exchange и имя узла контроллера домена во избежание затруднений.
Это также относится к клиенту IBM Notes, серверу IBM Domino и именам соответствующих контроллеров домена.