Настройка принудительного применения SafeSearch в Forefront Threat Management Gateway (TMG)

Опубликовано: 7 Апреля, 2023

Введение


Принудительное применение SafeSearch — это усовершенствование возможностей фильтрации URL-адресов в Forefront TMG 2010. Представленное в обновлении 1 для Forefront TMG 2010 SP1 принудительное применение SafeSearch позволяет администраторам TMG административно блокировать текст, изображения и видео для взрослых в результатах поиска, возвращаемых популярным поиском. двигатели. Хотя включение безопасного поиска может обеспечить дополнительный уровень защиты для ваших внутренних клиентов, у этой функции есть некоторые ограничения и недостатки, которые следует учитывать перед ее включением.


Как работает безопасный поиск


После включения Безопасный поиск в Forefront TMG будет добавлять специальный оператор к строке запроса, отправляемой клиентами веб-браузера в популярные поисковые системы. Этот оператор указывает поисковой системе выполнять строгую фильтрацию результатов запроса, возвращаемых поисковой системой клиенту. Поскольку эта инструкция исходит от самого брандмауэра TMG, она отменяет любые настройки, сделанные пользователем в своем веб-браузере. Например, если клиент отправляет запрос в поисковую систему Bing, используя запрос «xxx», запрошенный URL-адрес будет выглядеть следующим образом:



Однако при включенном принудительном применении SafeSearch брандмауэр TMG добавляет соответствующий оператор к строке запроса, чтобы убедиться, что явное содержимое не включено в результаты поиска:



Включение безопасного поиска


Примечание:
 Применение SafeSearch — это расширение встроенной функции фильтрации URL-адресов в Forefront TMG 2010. Перед настройкой принудительного применения SafeSearch убедитесь, что вы включили фильтрацию URL-адресов.


Чтобы включить принудительное использование SafeSearch, откройте консоль управления Forefront TMG 2010 и выберите узел «Политика веб-доступа» в дереве навигации. На панели Задачи щелкните Настроить безопасный поиск.


Изображение 23063
фигура 1


На вкладке «Общие» выберите параметр « Включить безопасный поиск».


Изображение 23064
фигура 2


При желании вы можете исключить отдельных пользователей или группы из Безопасного поиска, выбрав вкладку «Пользователи» и добавив пользователей или группы. Помните, что исключение пользователей и/или групп потребует аутентификации клиента, что, конечно же, заблокирует любой веб-доступ для клиентов SecureNAT.


Изображение 23065
Рисунок 3


После завершения мастер настройки SafeSearch добавляет правило брандмауэра, которое применяется ко всем пользователям (и исключает некоторых пользователей, если они настроены) в категорию «Поисковые системы». Это правило нельзя настроить, дважды щелкнув правило или щелкнув правило правой кнопкой мыши и выбрав «Свойства», как это делают большинство правил. Чтобы изменить это правило, используйте ссылку «Настроить безопасный поиск» на панели «Задачи», как описано ранее.


Изображение 23066
Рисунок 4


Как видите, правило принудительного использования SafeSearch применяется только к запросам, инициированным из внутренней сети. Вы также заметите, что это поведение по умолчанию нельзя изменить в графическом интерфейсе. Если вы хотите включить принудительное использование SafeSearch для сетей, отличных от внутренней сети, вам нужно будет выполнить приведенный ниже сценарий. В этом примере я включаю безопасный поиск для сети с именем DMZ. Вы можете заменить это сетевое имя именем, применимым в вашем сценарии.








Включение дополнительных поисковых систем


По умолчанию Forefront TMG применяет безопасный поиск только к самым популярным поисковым системам в Интернете — Bing, Google и Yahoo. Если вы хотите применить SafeSearch для другой поисковой системы, вы можете сделать это, внеся изменения в файл SafeSearchConfiguration.xml, расположенный в папке установки Forefront TMG по умолчанию C:Program FilesMicrosoft Forefront Threat Management Gateway. Обязательно сделайте копию исходного файла, прежде чем вносить какие-либо изменения. Имейте в виду, что многие вторичные поисковые системы фактически используют одну из основных поисковых систем для получения своих результатов. Например, Altavista использует Yahoo, поэтому никаких изменений не потребуется. Чтобы добавить поддержку другой поисковой системы, необходимо будет провести некоторые исследования, чтобы определить, какие операторы строки запроса SafeSearch необходимы для принудительного применения SafeSearch. К сожалению, существует на удивление мало информации и очевидной поддержки безопасного поиска с помощью шлюза во многих вторичных поисковых системах. Если вы хотите всегда применять безопасный поиск, вам, возможно, придется прибегнуть к некоторому обратному инжинирингу, наблюдая за HTTP-запросами с помощью анализатора протокола или подключаемого модуля браузера, такого как HTTPwatch, при отправке запросов с использованием других параметров, настроенных на клиенте. Если это окажется безуспешным, другой вариант заключается в создании правила, которое будет запрещать доступ к другим поисковым системам и перенаправлять их на одну из наиболее популярных, которые предоставляют такую поддержку.


Ограничения Безопасного поиска и обходные пути


Безопасный поиск — это простой и эффективный способ предотвратить доступ пользователей вашей сети к откровенному контенту для взрослых через популярные поисковые системы. Однако применение Безопасного поиска имеет некоторые ограничения, которые необходимо учитывать перед внедрением этой функции. Например, правило доступа настроено таким образом, чтобы разрешить доступ без проверки подлинности ко многим поисковым системам, включая Bing, Google и Yahoo. Этот уровень доступа довольно широк и позволяет анонимным пользователям получать доступ к большому количеству контента, что может быть нежелательно в некоторых средах. Можно изменить правило, чтобы оно применялось ко всем аутентифицированным пользователям или, возможно, к определенной группе безопасности домена, но изменение должно быть сделано с помощью сценария, и это не поддерживается. Для получения дополнительной информации о принудительной проверке подлинности для SafeSearch нажмите здесь. Другой обходной путь включает создание запрещающего правила для категории «Поисковые системы», которое применяется ко всем пользователям, но исключает всех пользователей, прошедших проверку, а затем размещение этого правила непосредственно перед правилом доступа SafeSearch, созданным мастером, как показано здесь:


Изображение 23067
Рисунок 5


Кроме того, принудительное применение SafeSearch обеспечивает только строгое применение, а в некоторых организациях оно может быть слишком строгим. К сожалению, нет возможности включить умеренную фильтрацию поиска. Кроме того, если проверка HTTPS не включена, любые поисковые запросы, выполненные с использованием SSL-шифрования, не будут подлежать применению SafeSearch.


Резюме


Включение принудительного применения SafeSearch в Forefront TMG 2010 может обеспечить «быструю победу» для администраторов безопасности, стремящихся лучше применять свою политику допустимого использования и предотвращать непреднамеренное попадание пользователей на явный контент. Хотя у функций безопасного поиска есть некоторые недостатки, у них есть возможность обеспечить дополнительный уровень защиты для ваших внутренних клиентов. Однако, учитывая его ограничения, важно не полагаться на эту функцию полностью, так как она должна быть лишь частью комплексного общего плана глубокоэшелонированной защиты.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023