Dans le champ Analyse HTTPS, cliquez sur OUI

IMPORTANT

Assurez-vous de ne violer aucune disposition légale ni règle de conformité quand vous activez l'analyse HTTPS.

3. Dans le champAfficher un avertissement, cliquez surOUIpour afficher une page d'avertissement aux utilisateurs avant que GFI WebMonitor ne commence à déchiffrer et à inspecter le trafic HTTPS.

4. Dans la zoneBloquer les éléments non validés, cliquez surOUIpour commencer à bloquer les sites Web HTTPS dont les certificats ne sont pas encore validés.

5. Dans la zoneBloquer les éléments expirés, cliquez surOUIpour bloquer des pages qui contiennent des certificats expirés. Utilisez le champAccepter un niveau max. de 'x' jours après expirationpour accepter les sites Web dont le certificat a expiré depuis un nombre de jours précis.

6. Pour bloquer les sites Web dont les certificats sont révoqués, cliquez surOUIen regard deBloquer les éléments révoqués.

7. Cliquez surEnregistrer.

8. Dans la zoneCertificat actuel, consultez les informations concernant le certificat en cours d'utilisation. Si aucun certificat n'est actuellement activé, consultez les sections suivantes qui détaillent les modalités d'utilisation des certificats.

REMARQUE

Il est recommandé d'ajouter à la liste d'exclusion de l'analyse HTTPS tout site Web HTTPS apparaissant comme inapproprié pour le déchiffrement et l'inspection GFI WebMonitor. Pour plus d'informations, consultez la ressource suivante :Ajout d'éléments à la liste d'exclusion du cache de l'analyse HTTPS.

Configuration des paramètres d'analyse proxy HTTPS en s'aidant d'un assistant

L'Assistant d'analyse HTTPSvous guide à travers la configuration des paramètres d'analyse HTTPS suivants :

Page d'avertissement concernant l'analyse HTTPS Créer ou importer un certificat

Vérifications de certificat Exporter un certificat

Pour configurer les paramètres d'analyse HTTPS en s'aidant de l'assistant de configuration : 1. Accédez àParamètres > Paramètres proxy > HTTPS.

2. Cliquez surDémarrer l'assistant.

3. Naviguez dans l'assistant et configurez les paramètres à votre convenance.

4. Cliquez surTerminerpour terminer l'assistant d'analyse HTTPS

GFI WebMonitor Configuration du GFI WebMonitor|135

Création d'un certificat d'analyse HTTPS

Après avoir déchiffré les sites Web HTTPS, GFI WebMonitor peut rechiffrer ces sites Web pour

sécuriser la transmission des données vers le navigateur client. Il faut créer un nouveau certificat ou importer un certificat existant dans GFI WebMonitor à cet effet.

REMARQUE

Quand le certificat parvient à expiration, la navigation vers des sites Web HTTPS n'est plus autorisée. Renouvelez, exportez et déployez le certificat à nouveau sur les ordinateurs client.

Pour créer un nouveau certificat :

1. Accédez àParamètres > Paramètres proxy > HTTPS 2. Cliquez surCréer un certificat.

3. Dans le champNom, tapez un nom pour le certificat.

4. Fixez la date d'expiration puis cliquez surCréer.

5. Cliquez surEnregistrerpour confirmer vos modifications.

Importation d'un certificat d'analyse HTTPS Pour importer un certificat d'analyse HTTPS existant : 1. Accédez àParamètres > Paramètres proxy > HTTPS 2. Cliquez surImporter le certificat.

3. Cliquez surSélectionner...et localisez le certificat existant.

4. Cliquez surImporter.

5. Cliquez surEnregistrer.

Exportation d'un certificat d'analyse HTTPS

Il est possible d'exporter un certificat créé ou importé de GFI WebMonitor dans les formats de fichier suivants :

FORMAT DE FICHIER DESCRIPTION

Personal Information Exchange file format (.pfx) Contient les données de certificat et ses clés publiques et privées. Requis par le proxy GFI WebMonitor pour rechiffrer le trafic HTTPS inspecté. Se prête le mieux à la sauvegarde du certificat et de ses clés.

Certificate file format (.cer) Contiens les données du certificat mais pas sa clé privée. Se prête parfaitement au déploiement du certificat en tant que certificat de confiance sur l'ordinateur client.

REMARQUE

Conservez la clé privée du certificat en lieu sûr afin d'éviter la génération non autorisée de certificats de confiance.

GFI WebMonitor Configuration du GFI WebMonitor|136

REMARQUE

Si le certificat n'est pas publié par une autorité de certification de confiance, il est recommandé de l'exporter de GFI WebMonitor et de le déployer sur les ordinateurs client en tant que certificat de confiance. Pour plus d'informations sur les modalités de déploiement d'un certificat sur les ordinateurs client, consultez la rubrique :

http://go.gfi.com/?pageid=WebMon_HTTPSInspectionCertificate

Pour exporter un certificat existant :

1. Accédez àParamètres > Paramètres proxy > HTTPS

2. Cliquez surExporter comme .cerozExporter comme .pfxselon votre convenance.

3. Spécifiez le chemin de destination du certificat.

4. Cliquez surEnregistrer.

Déployez le certificat d'inspection HTTPS via un objet de stratégie de groupe

Pour que vos postes client puissent accéder aux sites HTTPS, il faut déployer un certificat HTTPS de confiance sur les ordinateurs client. Utilisez la fonctionnalitéExporter le certificatpour enregistrer le certificat sur le disque, puis le déployer sur de multiples ordinateurs en utilisant les services de domaine Active directory et un objet de stratégie de groupe (GPO) : Un objet de stratégie de groupe peut contenir de multiples options de configuration ; il est appliqué à tous les ordinateurs situés dans son rayon d'action.

REMARQUE

Vous devez disposer des droits d'administrateur pour réaliser cette opération.

Pour déployer un certificat en utilisant un objet de stratégie de groupe : 1. Ouvrez laConsole de gestion des stratégies de groupe.

2. Cherchez un objet de stratégie de groupe ou créez-en un nouveau pour contenir les paramètres du certificat. Vérifiez que l'objet de stratégie de groupe est associé au domaine, site ou à l'unité

organisationnelle dont vous souhaitez voir les utilisateurs affectés par cette stratégie.

3. Cliquez avec le bouton droit sur l'objet de stratégie de groupe et sélectionnezÉditer. L'Éditeur de gestion des stratégies de groupe s'ouvre en affichant le contenu actuel de l'objet de stratégie.

4. Dans le panneau de navigation, ouvrezConfiguration ordinateur > Paramètres Windows >

Paramètres de sécurité > Stratégies de clé publique > Éditeurs approuvés.

5. Cliquez sur le menu Action puis cliquez surImporter.

6. Suivez les instructions fournies dans l'Assistant Importation de certificatpour trouver et importer le certificat.

7. Si le certificat est auto-signé et ne peut pas être rapporté à un certificat contenu dans le magasin de certificats Autorités de certification racines de confiance, vous devez aussi le copier dans ce magasin. Dans le panneau de navigation, cliquez surAutorités de certification racines de confiance puis répétez les étapes nº 5 et 6 pour installer une copie du certificat dans ce magasin.

GFI WebMonitor Configuration du GFI WebMonitor|137

Déployer le certificat d'inspection HTTPS manuellement

Pour que vos postes client puissent accéder aux sites HTTPS, il faut déployer un certificat HTTPS de confiance sur les ordinateurs client. Utilisez la fonctionnalitéExporter le certificatpour enregistrer le certificat sur le disque, puis le déployer manuellement comme suit :

1. Copiez le certificat exporté sur le poste client.

2. Sur le poste client, accédez àDémarrer > Exécuter > mmc.exe

3. Dans la fenêtre MMC, sélectionnezFichier > Ajouter/supprimer un composant logiciel enfichable 4. Cliquez surAjouter, sélectionnezCertificatspuis cliquez surAjouter.

5. SélectionnezCompte d'ordinateurpuis cliquez surSuivant.

6. SélectionnezOrdinateur localpuis cliquez surTerminer.

7. Dans la console de gestion Microsoft, accédez àCertificats (ordinateur local) > Autorités de certification racines de confiance.

8. Cliquez avec le bouton droit sur le nœud et sélectionnezToutes les tâches > Importer.

9. Localisez le certificat copié lors de la première étape et importez le certificat.

10. Laissez le champ du mot de passe vierge et poursuivez jusqu'au bout de l'assistant.

Pour vérifier que l'importation du certificat a réussi, ouvrez un navigateur Internet sur le poste client et accédez à un site HTTPS quelconque. Vérifiez qu'aucun avertissement ne s'affiche.

REMARQUE

Certaines applications ou certains navigateurs (p. ex. Mozilla Firefox) peuvent disposer de leur propre magasin de certificats. Vous devrez importer séparément le certificat dans le magasin de certificats pour de telles applications. Procédez comme suit pour importer le certificat dans Firefox.

1. Accédez àOutils > Options > Avancé > Chiffrement > Voir les certificats.

2. Cliquez surImporterpuis sélectionnez le certificat.

3. Cliquez surOK.

Ajout d'éléments à la liste d'exclusion du cache de l'analyse HTTPS IMPORTANT

Ces informations s'appliquent uniquement à la version de proxy autonome GFI WebMonitor.

Quand l'inspection HTTPS est activée, ceci s'applique par défaut à toutes les sessions HTTPS

transitant via le proxy GFI WebMonitor. Les administrateurs peuvent souhaiter exclure des domaines, des utilisateurs, ou des IP clientes de la procédure d'inspection de leurs sessions. Ceci est possible en les ajoutant à la liste d'exclusion de l'analyse HTTPS.

Domaines d'exclusions

1. Ouvrez..\WebMonitor\Interface\App_Data\ProxyConfig.xml 2. Supprimez la balise<DomainsExceptedFromHTTPSInspection />

GFI WebMonitor Configuration du GFI WebMonitor|138

3. Ajoutez les exclusions de sites entre les balisesDomainsExceptedFromHTTPSInspection . Exemple : 2. Supprimez la balise<UsersExceptedFromHTTPSInspection />

3. Ajoutez les utilisateurs à exclure entre une baliseUsersExceptedFromHTTPSInspection, par exemple : 2. Supprimez la balise<UserIPsExceptedFromHTTPSInspection />

3. Ajoutez les adresses IP client à exclure entre une balise UsersExceptedFromHTTPSInspection, par exemple :

Réalisez une copie de sauvegarde du fichierProxyConfig.xmlavant de procéder à tout changement.

REMARQUE

Les modifications sont effectives dès l'enregistrement du fichier.

Configuration des paramètres de mise en cache

Quand cette option est activée, la mise en cache GFI WebMonitor permet de stocker des données en toute transparence afin de pouvoir servir plus rapidement les demandes ultérieures portant sur ces données. La mise en cache sert à optimiser la bande passante. Il est recommandé d'ajouter tout site

GFI WebMonitor Configuration du GFI WebMonitor|139

qu'il est inutile de conserver dans le cache de GFI WebMonitor à la liste d'exclusion du cache. Pour plus d'informations, consultez :Ajout d'éléments à la liste d'exclusion du cache.

REMARQUE

GFI WebMonitor vous permet de spécifier la durée de conservation des données issues des demandes utilisateur dans sa base de données locale. Reportez-vous àConfiguration de la journalisation de l'activitépour en savoir plus.

Pour configurer les paramètres de cache :

1. Accédez àParamètres > Paramètres proxy > Mise en cache 2. Dans le champActiver la mise en cache, cliquez surOUI.

3. Dans le champLimite de taille de mise en cache, spécifiez le volume de données à conserver dans le cache en ko.

4. [Optional] Dans le champChemin d'accès au cache, spécifiez l'emplacement de stockage des fichiers mis temporairement en cache. Si le chemin d'accès n'est pas spécifié, le cache est stocké dans le dossier d'installation de GFI WebMonitor.

REMARQUE

Vérifiez que le chemin d'accès existe et que le compte sous lequel GFI WebMonitor fonctionne dispose de privilèges suffisants. GFI WebMonitor procèdera à

l'enregistrement à l'emplacement par défaut si le chemin d'accès n'est pas valide ou spécifié.

5. Cliquez surEnregistrer.

Ajout d'éléments à la liste d'exclusion du cache IMPORTANT

Ces informations s'appliquent uniquement à la version de proxy autonome GFI WebMonitor.

Quand la mise en cache est activée, le contenu téléchargé via HTTP est stocké en vue des demandes futures concernant la même source, ce qui permet de réduire la consommation de bande passante.

Procédez comme suit pour ajouter les sites à la liste d'exclusion du cache afin de ne pas mettre leur contenu en cache :

1. Ouvrez..\WebMonitor\Interface\App_Data\ProxyConfig.xml 2. Ajoutez les sites à exclure entre les balisesCacheWhiteList. Exemple :

<CacheWhiteList>

GFI WebMonitor Configuration du GFI WebMonitor|140

REMARQUE

Réalisez une copie de sauvegarde du fichierProxyConfig.xmlavant de procéder à tout changement.

REMARQUE

Les modifications sont effectives dès l'enregistrement du fichier.

REMARQUE

Les caractères génériques suivants sont acceptés :

* remplace tout nombre de caractères dans la chaîne.

? remplace un simple caractère dans la chaîne.

# remplace un simple chiffre dans la chaîne.

GFI WebMonitor Dépannage et assistance|141

Dans le document Manuel du produit GFI. Guide de l'administrateur (Page 134-141)