Handleiding YourSafetynet pro+

Transcriptie

1 Handleiding YourSafetynet pro+ v2.x YourSafetynet Support Team rev 2.43,

2 Inhoud Over deze handleiding Woordenlijst Introductie Wat is YourSafetynet pro+? Onderdelen Belangrijk! Management Server Introductie Aan de slag Setup Licentie activeren Active Directory (LDAP) Profielen Filter Gebruikers Troubleshooting Filter Gateway Introductie Aan de slag Setup System Control Captive Portal Troubleshooting Endpoint Client Introductie Aan de slag Setup Client verwijderen Instellingen Windows Register Troubleshooting

3 Over deze handleiding Dit is de gebruikershandleiding voor YourSafetynet pro+ v2.x. Deze handleiding beschrijft de architectuur van YourSafetynet en geeft inzicht in de basisinstellingen. Revisie Revisie 2.43 Feedback Heeft u vragen of opmerkingen over deze handleiding, neem dan contact op via <support@yoursafetynet.com>! Copyright Copyright (c) 2016 Media Security Networks BV. Alle rechten voorbehouden. 1

4 Woordenlijst Endpoint Client De filter software voor Windows machines. Optioneel en alleen nodig als u gaat filteren/monitoren. Filter Gateway Optionele filter gateway voor clientless filteren van bijvoorbeeld non-windows devices. Optioneel en alleen nodig als u gaat filteren/monitoren. Filter Gebruiker Een gebruiker die gefilterd wordt, bijvoorbeeld door een Endpoint Client op zijn computer. Dit kan ook een gebruiker zijn die met zijn mobiele device toegang krijgt tot het internet via een Filter Gateway. Management Server De centrale management server. Verzamelpunt voor alle documenten, logs en instellingen binnen YourSafetynet. Manager Een gebruiker die toegang heeft tot de web interface van de Management Server. De Manager beheert instellingen. Master / Master Context Het overkoepelende niveau. Er is maar één Master Context op de server. Onder de Master vallen één of meerdere organisaties. Master Manager Een Manager die alle instellingen kan beheren op de hele Management Server, inclusief de instellingen van alle organisatie. Deze manager is te vergelijken met een Administrator of superadmin. Master Server Andere naam voor Management Server. Organisatie Een instellingsniveau onder de Master. De organisatie bevat alle Profielen, Filter Gebruikers en organisatie-brede filter instellingen. Er altijd minimaal één organisatie. Er kunnen ook meerdere organisaties aangemaakt worden, elk met eigen Mangers, Profielen en Filter Gebruikers. Dit is bijvoorbeeld handig als er meerdere organsiaties binnen een holding of overkoepelende stichting vallen. Organisatie Manager Een Manager die alle instellingen kan beheren van één of meer organisaties. Deze manager binnen de organisatie(s) alles wijzigen, inclusief Filter Gebruikers, Profielen en andere Managers. Deze 2

5 manager kan geen instellingen wijzigen op master niveau. Profiel Een profiel beschrijft alle filterinstellingen die gelden voor een Filter Gebruiker. Het profiel bepaalt wat?, hoe lang? en wanneer? iemand bepaalde activiteit mag uitvoeren (het bezoeken van een website bijvoorbeeld). Profiel Manager Een Manager die instellingen kan beheren van één of meer profielen. Deze manager kan geen instellingen wijzigen op organisatieniveau. YourSafetynet.com portal De online portal van YourSafetynet waar u alle licenties voor YourSafetynet producten kunt inzien en beheren. U heeft hier een YourSafetynet.com portal account voor nodig. Zie YourSafetynet.com portal account De account waarmee je kunt inloggen op de YourSafetynet.com portal, voor het beheer van alle licenties van YourSafetynet producten. Zie 3

6 Hoofdstuk 1. Introductie 1.1. Wat is YourSafetynet pro+? YourSafetynet pro+ is een totaaloplossing voor het beheer en toepassen van uw ICT beleid. Het biedt niet alleen tools voor het handhaven van uw beleid (webfiltering, monitoring), maar ook voor het vastleggen en distribueren van ICT reglementen. Dit alles ondersteund door procedures en voorbeelddocumenten die voldoen aan de wet- en regelgeving. Feature Overzicht: Automatische distributie van ICT-reglementen Vraag om akkoord te gaan met uw ICT reglement voordat men het internet op gaat. Filteren of reguleren van internet- of computeractiviteit Bepaal wie, wat, wanneer en hoe lang iets mag Monitoren, verwerken en rapporteren Bekijk statistieken en rapportages over internet- of computeractiviteit Voldoet aan strenge eisen privacywetgeving Zorg dat uw ICT beleid voldoet aan de wet met de geïntegreerde procedures en voorbeelddocumenten 1.2. Onderdelen YourSafetynet pro+ bestaat uit drie onderdelen: Management Server Endpoint Client [optioneel] Filter Gateway [optioneel] Management Server Dit is het hoofdonderdeel van YourSafetynet. Deze server in de vorm van een virtual appliance biedt een web interface voor het beheer van vrijwel alle instellingen binnen YourSafetynet. Het is het centrale punt voor alle instellingen, logs, statistieken en rapporten. Met de YourSafetynet Management server beheert u instellingen en gegevens van meerdere organisaties op één centraal punt. Het beheer wordt gedaan door één of meer Managers. Er kunnen een onbeperkt aantal verschillende managers aangemaakt worden (eventueel met afwijkende rechten). Voor de daadwerkelijke filtering en implementatie van uw ICT beleid, moeten er Filter Nodes gekoppeld worden aan de Management Server. Dit kunnen Endpoint Clients en/of Filter Gateways zijn. De Management Server stuurt instellingen door naar de Filter Nodes en ontvangt eventuele logs over 4

7 bijvoorbeeld bezochte website of gebruikte software. De Management Server vereist een geldige YourSafetynet pro+ licentie. Zonder geldige licentie werken instellingen en filters niet of slechts gedeeltelijk Endpoint Client Dit is een software pakket voor Windows machines en terminal servers (te installeren via een msi pakket). Dit pakket installeert zichzelf als een lokaal filter op de computer. Alle filtering vindt lokaal plaats op de computer. Naast een internetfilter heeft de endpoint client nog extra filter mogelijkheden op het gebied van software (reguleren van gebruik van software). Daarnaast biedt het een screenshot alarm knop waarmee de gebruiker direct een screenshot kan maken. Deze wordt doorgestuurd naar de Management Server en is daar door de managers te bekijken. Deze alarmknop is vooral handig bij technische problemen of als er sprake is van pestgedrag. De Endpoint Client zal instellingen en logs uitwisselen met de Management server. U kunt een onbeperkt aantal Endpoint clients gebruiken in combinatie met een Management Server Filter Gateway Dit is een intermediate gateway in de vorm van een virtual appliance. Dit onderdeel biedt de mogelijkheid om computers, laptops, mobiele devices te filteren zonder dat daar software voor geïnstalleerd hoeft te worden. De Filter Gateway is een Captive Portal; een soort firewall, maar dan binnen uw netwerk. Het vangt al het binnenkomende netwerkverkeer af en filtert dit volgens de ingestelde beperkingen. De eerste keer dat een gebruiker verbinding probeert te maken zal de gateway de gebruiker doorsturen naar een inlogformulier. Hier moet de gebruiker inloggen (met zijn Active Directory of LDAP credentials) en moet dan eventueel nog akkoord gaan met het ICT gebruiksreglement dat u heeft ingesteld. Daarna kan de gebruiker verder surfen (binnen de beperkingen van de ingestelde filters). Een Filter Gateway appliance zal instellingen en logs uitwisselen met de YourSafetynet Management server. U kunt een onbeperkt aantal Filter Gateway appliances gebruiken in combinatie met een Management Server Belangrijk! Met YourSafetynet kunt u voor uw organisatie een specifiek ICT beleid toepassen op het Master niveau 5

8 (bijvoorbeeld de overkoepelende organisatie of holding), op Organisatie niveau (bijvoorbeeld één locatie) of per profiel/gebruikersgroep (bijvoorbeeld één afdeling). Het is belangrijk dat de directie of beleidsafdelingen van uw organisatie het uit te voeren ICT beleid accorderen vóórdat u gebruikers gaat filteren of monitoren! We raden aan de volgende stappen te nemen: 1. Installeer de Management Server appliance 2. Stel in overleg met de directie of beleidsafdelingen het ICT beleid op voor de verschillende onderdelen binnen de organisatie. Hiervoor kunnen de beschikbare (voorbeeld)documenten in de Management Server worden gebruikt. 3. Laat het uit te voeren ICT beleid accorderen door de directie of beleidsafdelingen. 4. Installeer daarna, pas na het accorderen van het ICT beleid, eventueel de filter software: de Endpoint Clients en/of Filter Gateway appliances. 5. Zorg dat de juiste ICT gebruiksreglementen zijn aangemaakt in de Management Server en zorg dat deze gekoppeld zijn aan de juiste Organisaties en Profielen. 6

9 Hoofdstuk 2. Management Server 2.1. Introductie De Management Server is een virtual appliance en biedt een web interface voor het beheer van vrijwel alle instellingen binnen YourSafetynet. Het is het centrale punt voor alle instellingen, logs, statistieken en rapporten. Met de YourSafetynet Management server beheert u instellingen en gegevens van meerdere organisaties op één centraal punt. Het beheer wordt gedaan door één of meer Managers. Er kunnen een onbeperkt aantal verschillende managers aangemaakt worden (eventueel met afwijkende rechten). Voor de daadwerkelijke filtering en implementatie van uw ICT beleid, moeten er Filter Nodes gekoppeld worden aan de Management Server. Dit kunnen Endpoint Clients en/of Filter Gateways zijn. De Management Server stuurt instellingen door naar de Filter Nodes en ontvangt eventuele logs over bijvoorbeeld bezochte website of gebruikte software. De Management Server vereist een geldige YourSafetynet pro+ licentie. Zonder geldige licentie werken instellingen en filters niet of slechts gedeeltelijk Aan de slag De YourSafetynet Management Server is beschikbaar als virtual appliance in de volgende formaten: OVF (VMDK disk) Geschikt voor o.a. VMware (ESXi 5.1+, Workstation 9+), XenServer, etc. VHD Geschikt voor o.a. Hyper-V. Download via De OVF template is niet geschikt voor VMWare ESXi 5.0. U kunt de template echter wel handmatig aanpassen zodat deze wel te importeren is in ESXi 5.0. Zie VMware Knowledge Base Systeemeisen Hardware De volgende virtuele hardware eigenschappen worden aanbevolen: Minimaal 2 CPU cores 7

10 Minimaal 2 GB RAM Tot 60 GB HD 1 netwerkverbinding De webinterface ondersteunt de volgende browsers: Internet Explorer 10 of hoger Google Chrome 30 of hoger Firefox 30 of hoger Microsoft Edge Safari en andere WebKit-based browsers Op andere browsers werken sommige onderdelen slechts gedeeltelijk of hebben een ander uiterlijk Netwerkeisen Inkomend verkeer De Management Server moet toegankelijk zijn via HTTPS (TCP poort 443). HTTPS wordt gebruikt voor toegang tot de web interface voor de managers (via webbrowser). De Endpoint Filter Clients en Filter Gateways communiceren met de management server over dezelfde HTTPS poort. Uitgaand verkeer De Management Server moet zelf op het internet kunnen. Dit is o.a. nodig voor DNS lookups, NTP tijdsynchronisatie, licentie controle en updates. Als u profielen automatisch wilt laten koppelen aan gebruikers op basis van AD/LDAP, dan is er een verbinding nodig met een domaincontroller (Active Directory/LDAP). Locatie in netwerk De fysieke locatie van de management server is niet van belang, zolang deze maar via een (publiek) IP-adres te bereiken is op de HTTPS poort 443. De virtual appliance hoeft dus niet in het te filteren netwerk te staan en zou eventueel in een extern data center gehost kunnen worden. Maakt u gebruik van een koppeling met Active Directory of LDAP, dan is het van belang dat de Management Server vanaf zijn locatie verbinding kan maken met de domaincontroller! Samengevat Inkomend naar HTTPS (TCP poort 443) Uitgaand naar Internet (TCP, UDP) Uitgaand naar domain controller Active Directory/LDAP [optioneel]. 8

11 Console Terminal: Eerste keer inloggen Start de virtual appliance en log in op de console terminal met de console terminal admin account: Gebruikersnaam: ysnadmin Wachtwoord: changeme14127 Het systeem zal direct vragen om een nieuw wachtwoord in te stellen. Kies een veilig (niet te gemakkelijk te raden) wachtwoord en onthoud dit goed! Dit wachtwoord is op een later moment niet meer te achterhalen als u het kwijtraakt. Bij het invoeren van het wachtwoord worden geen tekens in het scherm getoond! Dit wijkt af van wat u wellicht gewend bent bij Windows systemen. U heeft deze logingegevens alleen in uitzonderlijke gevallen nodig. De meeste instellingen en functies beheert u straks eenvoudig via de web interface met uw eigen manager account login Updates installeren Regelmatig komen er updates uit van pakketten en onderdelen van de appliance. Het gaat hier niet alleen om de pakketten van YourSafetynet zelf, maar ook pakketten van derden. Om er zeker van te zijn dat u de meest recente versies heeft (met alle bug- en securityfixes), kunt u het beste nu eerst updates installeren. Voer de volgende stappen uit: 1. Log in op de console terminal (als u dat al niet gedaan had). 2. Voer de volgende commando s één voor één uit (commando typen + ENTER): 1. wget -N 2. sudo bash fix-apt 3. sudo ysn-updates install-reboot Het systeem zal alle updates nu downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden. 9

12 Op een later moment kunt u ook via de web interface updates laten uitvoeren. Onderaan in footer van de web interface ziet u welke versie van YourSafetynet u op dit moment heeft. Voor meer informatie over recente updates, zie Setup Nu de appliance gestart is kunt u via de web interface de setup starten. BELANGRIJK: Installeer altijd eerst eventueel beschikbare updates (zie Updates installeren). IP Adres van de server Om toegang te krijgen tot de web interface heeft u het IP adres van de server nodig. U kunt het adres opvragen via de Console Terminal met het commando: ysn-system-url Uitzondering SSL certificaat Uw browser zal, bij het eerste bezoek aan de web interface, melding maken van een ongeldig SSL/TLS certificaat (omdat het een self-signed certificaat is). Laat de browser een uitzondering toevoegen voor dit adres. 10

13 Setup Starten 1. Ga met de browser naar de /setup op het aangegeven adres: 2. Volg de stappen. Tijdens de setup zullen diverse basisgegevens ingesteld worden. Deze kunt u op een later moment altijd nog wijzigen. Het gaat hier o.a. om: Networkconfiguratie Hier kunt u zaken als de host name, IP adres, de default gateway en DNS servers invoeren. Standaard wordt dit verkregen via DHCP. Master Context Dit is het overkoepelende niveau van instellingen; hieronder komen uw organisaties te hangen. Organisatie Binnen de Master Context zijn er meerdere organisaties te beheren (elk met eigen gebruikers, profielen en filterinstellingen). Standaard moet er minimaal één organisatie zijn binnen uw Master Context. Die wordt hier aangemaakt. Op een later moment kunt u nog meer organisaties toevoegen. Manager De web interface is alleen toegankelijk voor Managers. Hier maakt u een Master Manager account aan (uw eigen account). Deze heeft alle rechten op Master Context niveau en mag dus alles wijzigen. U kunt op een later moment nog meer managers toevoegen (eventueel 11

14 op een lager niveau, zoals een Organisatie Manager). Na de setup zult u direct kunnen inloggen met uw zojuist aangemaakte Master Manager account. Tijdens de setup zal het systeem mogelijk een aantal keer opnieuw opstarten Licentie activeren Als de setup is afgerond wordt u direct doorgestuurd naar de management interface en het onderdeel licentie (op een later moment altijd te bereiken via Master > Licentie). Hier kunt u het systeem activeren De licentiesleutel Om de Management Server te activeren heeft u een geldige licentiesleutel nodig voor YourSafetynet. Deze licentiesleutel is altijd gekoppeld aan een YourSafetynet.com portal account (een adres en wachtwoord). Heeft u van uw reseller een nieuwe licentiesleutel ontvangen die nog niet gekoppeld is aan een YourSafetynet.com portal account, ga dan naar: Hier kunt u de licentie koppelen aan een YourSafetynet.com portal account. Dit kan een geheel nieuwe YourSafetynet.com portal account zijn, maar ook een bestaande (hiervoor moet u inloggen). 12

15 De YourSafetynet.com portal account is een niet hetzelfde als de manager account waar u mee inlogt op de Management Server! Hoewel beide accounts gekoppeld kunnen zijn aan hetzelfde adres, zijn het verschillende accounts met eventueel verschillende wachtwoorden Activeren Tijdens de activatie zal er gevraagd worden naar uw licentie en YourSafetynet.com portal accountgegevens. Tevens kunt u een referentie opgeven voor deze installatie/activatie. Deze referentie kunt u later ook terugvinden op (onder Mijn Account Licenties). Dit is vooral handig als u meerdere licenties heeft, of meerdere installaties op één licentie (alleen mogelijk bij bepaalde licenties) Active Directory (LDAP) In de meeste gevallen is het aan te raden om uw organisatie binnen de YourSafetynet Management Server te koppelen aan een Active Directory domein (of een OpenLDAP directory). Met een gekoppeld domein is het mogelijk om automatisch een profiel aan gebruikers toe te laten wijzen op basis van de OU of Groepslidmaatschap Domein toevoegen Ga naar Organisatie > Domein & Netwerk en klik op Nieuw op een nieuw domein toe te voegen aan uw organisatie. 13

16 Voer alle verbindingsgegevens in en geef een gebruikersnaam met wachtwoord op zodat de management server verbinding kan maken met de domain controller. De gebruiker die u hier invoert wordt alleen gebruikt door de management server zelf (alleen leesrechten nodig op de gehele boomstructuur van uw domein). De management server zal de OU- en groepsstructuur van uw domein op de achtergrond regelmatig opnieuw synchroniseren. Wijzigingen in uw domeinstructuur zullen doorgaans binnen 10 minuten ook op de management server verwerkt zijn. Zorg dat de Distinguished Name onder Basis DN correct is (zie volgende sectie) Basis DN Voor de juiste toewijzing van profielen en inloggen via de captive portal van de Filter Gateway is het van belang dat de gebruikers van uw organisatie binnen uw domein te vinden zijn binnen de ingestelde Basis DN (of in een sub map daarvan). Voorbeeld 1 U heeft een Active Directory domein (mydomain.local) met een aparte OU voor uw organisatie. Bijvoorbeeld: ou=myorg,dc=mydomain,dc=local U heeft alle gebruikers binnen de standaard map Users. Bijvoorbeeld: cn=users,dc=mydomain,dc=local 14

17 Instelling U stelt in dat geval de Basis DN in op de root DN: dc=mydomain,dc=local. Voorbeeld 2 U heeft een Active Directory domein (mydomain.local) met een aparte OU voor uw organisatie. Bijvoorbeeld: ou=myorg,dc=mydomain,dc=local. U heeft alle gebruikers ook binnen deze OU staan, eventueel verdeeld over een aantal submappen. Bijvoorbeeld: ou=myusersa, ou=myorg, dc=mydomain, dc=local ou=myusersb, ou=myorg, dc=mydomain, dc=local Instelling U stelt in dat geval de Basis DN in op de root DN: ou=myorg, dc=mydomain, dc=local 2.6. Profielen YourSafetynet werkt voor het maken van filterinstellingen op basis van profielen. Binnen een profiel wordt ingesteld of er toegang is tot bepaalde filter categorieën en eventueel wanneer of hoe lang die toegang mogelijk is. Elke filter gebruiker heeft één profiel (wordt dan gefilterd volgens de instellingen van dat profiel) of helemaal geen profiel (wordt dan niet gefilterd). Doorgaans is het aan te raden een profiel aan te maken voor afdelingen of groepen binnen uw organisatie die u afzonderlijk wilt filteren (elk met eigen instellingen). Dit kan bijvoorbeeld overeenkomen met bepaalde groepen of OU s binnen uw Active Directory, maar dat is niet noodzakelijk Het Standaard Profiel Als u naar Profielen gaat zie u dat er al één profiel binnen uw organisatie is gedefinieerd met de naam (Standaard Profiel). Dit is het profiel dat standaard wordt toegewezen aan nieuwe (nog onbekende) filter gebruikers. Dit is tevens het profiel dat wordt toegewezen aan gebruikers die op basis van hun OU of Group lidmaatschap niet onder een ander profiel vallen (bij koppeling met Active Directory of LDAP). Het is aan te raden dit profiel in te stellen volgens een aantal basisfilters, zodat er altijd een algemeen filterbeleid geldt. Het Standaard Profiel staat in eerste instantie niet ingeschakeld. Gebruikers met dit profiel worden dan niet beveiligd. Klik op de knop met het slotje om het profiel in te schakelen (zie afbeelding). 15

18 Een nieuw profiel maken Het is aan te raden om naast het Standaard Profiel nog één of meer profielen aan te maken binnen uw organisatie. Ga naar Profielen Nieuw Profiel en voer een naam en eventueel een omschrijving van het profiel in. Deze omschrijving is optioneel en alleen zichtbaar voor u en andere managers binnen de organisatie. Nadat u het profiel heeft aangemaakt (via de knop Wijzigingen Opslaan), krijgt u de mogelijkheid om de profieltoewijzing in te stellen. Zie volgende sectie voor meer informatie over profieltoewijzing. Profieltoewijzing Als u een profiel heeft aangemaakt kunt ook de profieltoewijzing instellen. Hier heeft u, als u eerder een domein gekoppeld heeft aan de organisatie, de keuze uit twee mogelijkheden: Geen automatische toewijzing Het profiel zal nooit automatisch aan een Filter Gebruiker worden toegewezen. Alleen als u zelf handmatig dit profiel aan een gebruiker toewijst zal de gebruiker gefilterd worden volgens de instellingen van dit profiel. Automatische toewijzing via het domein U kunt het profiel koppelen met één of meer OU s of groepen binnen uw Active Directory of LDAP 16

19 domein. Het profiel zal dan automatisch toegewezen worden aan alle gebruikers die in de gekoppelde OU s zitten of lid zijn van de gekoppelde groepen. Bij automatische toewijzing via het domein zal de management server op de achtergrond regelmatig contact maken met de domain controller om gegevens over het OU en Group lidmaatschap op te vragen voor de gebruikers. Als een gebruiker dus binnen uw active directory veranderd van Group of OU zal deze ook automatisch een ander profiel krijgen binnen YourSafetynet als dat nodig is. Kiest u voor Automatische toewijzing via het domein dan krijgt u een boomstructuur te zien van de huidige OU s en groepen binnen uw domein. Vink hier de OU s en/of groepen aan die u wilt koppelen met dit profiel (zie afbeelding). Automatische toewijzing van profielen gebeurt in een achtergrondproces ongeveer elke 5 minuten. Het kan vervolgens nog enkele minuten duren voordat een eventuele wijziging ook verwerkt is op de Endpoint Clients of Filter Gateways. In de Gebruikerslijst ziet u onder de kolom Profiel welk profiel de gebruikers hebben gekregen. 17

20 Nieuw aangemaakte profielen staan (net als het Standaard Profiel) in eerste instantie nog uitgeschakeld (icoontje van open slot ). De filtering wordt pas actief als u het profiel ook inschakelt.<o:p></o:p> Eigen black- en whitelists Standaard bevat YourSafetynet al zeer uitgebreide black- en whitelists voor de verschillende filter categorieën. Het kan zijn dat u echter nog extra websites zou willen filteren of juist altijd willen toestaan. Hiervoor heeft elk profiel eigen black- en whitelist instellingsmogelijkheden. Op de pagina van het profiel (via Profielen) kunt u onder Filters Web filters eigen black- of whitelists beheren. U kunt de ingebouwde filtercategorieën uitbreiden door zelf websites (domeinnamen) toe te voegen aan een bepaalde categorie. Dit is bijvoorbeeld handig als een bepaalde website volgens u als Gokken gezien zou moeten worden, dan kunt u deze specifiek onder de categorie Gokken laten identificeren. Websites die u zelf toevoegt overschrijven altijd eventuele fabrieksinstellingen voor die website. Websites die u toevoegt aan de Blacklist categorie zullen altijd worden geblokkeerd, ongeacht de overige profielinstellingen. 18

21 Websites die u toevoegt aan de Whitelist categorie zullen altijd worden toegestaan, ongeacht de overige profielinstellingen Logs bijhouden Op de pagina van het profiel (via Profielen) kunt u onder Opties Logs instellen of er logs moeten worden bijgehouden. Standaard wordt er niets gelogd, u zult dit specifiek moeten aanvinken voor elk profiel waar u voor wilt loggen. Let op: het bewaren en verwerken van gegevens over internet- en computergebruik zijn meestal onderhevig aan privacywetgeving. Raadpleeg de speciale supportpagina s (bereikbaar via het vraagteken rechts boven in de navigatiebalk) voor meer informatie over de juiste procedures en richtlijnen met betrekking tot het registreren en verwerken van deze gegevens Filter Gebruikers Onder Gebruikers vindt u een lijst met alle gebruikers die door YourSafetynet zijn gezien binnen uw organisatie. Dit betreft gebruikers die ooit ingelogd hebben op de captive portal van een Filter Gateway of op een Windows machine waar de Endpoint Client op geïnstalleerd staat. 19

22 Deze lijst bevat dus bijvoorbeeld niet alle gebruikers binnen uw Active Directory structuur, maar alleen de gebruikers die echt van belang zijn binnen uw Organisatie. In eerste instantie zal deze lijst dan ook leeg zijn voor uw Organisatie. Pas nadat er gebruikers ingelogd hebben, zullen er steeds meer gebruikers verschijnen in deze lijst. Als gebruikers langer dan 2 maanden inactief zijn worden ze weer automatisch verwijderd uit de lijst. U kunt eventueel ook handmatig gebruikers verwijderen uit de lijst. Als een verwijderde gebruiker daarna weer ergens inlogt, zal deze automatisch weer aangemaakt worden (en al dan niet gefilterd worden op basis van het gekoppelde profiel) Instellingen voor een gebruiker U kunt eventueel handmatig instellingen voor een gebruiker aanpassen. Zoek hiervoor onder Gebruikers naar de betreffende gebruiker en klik op de naam of op de Wijzig knop. Het is ook mogelijk meerdere gebruikers tegelijk te wijzigen. Vink daarvoor de juiste gebruikers aan en klik bovenaan de lijst op de 'Wijzig' knop. 20

23 Profiel toewijzing Standaard zal een gebruiker een profiel automatisch toegewezen krijgen op basis van zijn OU of Group lidmaatschap. Als er op basis van die gegevens geen profiel gevonden wordt, krijgt de gebruiker het Standaard Profiel toegewezen. U kunt voor een gebruiker de toewijzing op Handmatig zetten. In dat geval kiest u het profiel dat van toepassing moet zijn voor de gebruiker. Eventueel kunt u er ook voor kiezen om specifiek Geen profiel in te stellen. In dat geval zal de gebruiker geheel niet gefilterd worden. Een gebruiker wordt pas echt gefilterd als het profiel dat hij toegewezen heeft gekregen ook ingeschakeld (beveiligd) staat onder Profielen (knop slotje ). Akkoord ICT reglement Onder deze instelling wijzigt u handmatig het eerder gegeven akkoord op het ICT gebruiksreglement van de organisatie. De gebruiker zal dan bij de eerstvolgende login opnieuw akkoord moeten gaan met het geldende ICT reglement. Dit is alleen van toepassing als u voor uw organisatie ook een ICT reglement heeft ingesteld. Zie hiervoor onder Organisatie Gebruiksreglement of Profiel Gebruiksreglement Troubleshooting Management Server wil niet updaten Whitelisting video s van NPO Whitelisting van Netflix Whitelisting Embedded video JWPlayer (IE) Whitelisting Embedded video THEOPlayer Management Server wil niet updaten Scenario U ziet dat er updates beschikbaar zijn onder Master Updates. U laat de updates installeren en het systeem geeft aan dat de updates geïnstalleerd zijn. Als u nogmaals op updates controleert blijken exact dezelfde updates weer beschikbaar te zijn. De updates worden dus niet geïnstalleerd. Oorzaak Er is vermoedelijk een probleem met het update systeem die niet afgehandeld kan worden door de web interface. Deze fout wordt niet herkend waardoor het systeem in eerste instantie denkt dat de 21

24 updates wel geïnstalleerd zijn. 1. Log in op de console terminal. 2. Voer de volgende commando s één voor één uit (commando typen + ENTER): 1. wget -N 2. sudo bash fix-apt 3. sudo ysn-updates install-reboot Hiermee voert u een script uit dat de problemen met het update-systeem oplossen. Het zal daarna alle beschikbare updates downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden. Ga als de server opgestart is weer naar Master Updates en laat het systeem opnieuw op updates controleren. Er zouden nu geen updates meer beschikbaar moeten zijn Whitelisting video s van NPO Scenario U wilt Audio & Video streams in het algemeen niet toestaan (filter categorie op rood/blokkeren), maar wel (embedded) video s van de NPO toestaan. U heeft npo.nl op de whitelist gezet, maar de video s willen toch niet laden. Oorzaak De embedded video s van de NPO gebruiken onderhuids een aparte URL voor het laden van de video: npostreaming.nl. Deze URL staat niet op de whitelist en wordt dan ook geblokkeerd door YourSafetynet. 1. Voeg toe aan de whitelist: npo.nl 2. Voeg toe aan de whitelist: npostreaming.nl Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben Whitelisting van Netflix Scenario U wilt Audio & Video streams in het algemeen niet toestaan (filter categorie op rood/blokkeren), of alles blokkeren, maar wel Netflix toestaan. U heeft netflix.com op de whitelist gezet, maar Netflix wil niet goed laden (soms een wit scherm). Oorzaak Netflix gebruikt onderhuids diverse andere URL s voor het laden van scripts en video onderdelen. Afhankelijk van de overige filter instellingen kan het zijn dat YourSafetynet deze andere URL s blokkeert. Netflix kan daardoor niet al zijn scripts laden. 22

25 1. Voeg toe aan de whitelist: netflix.com 2. Voeg toe aan de whitelist: nflximg.com 3. Voeg toe aan de whitelist: nflxext.com Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben Whitelisting Embedded video JWPlayer (IE) Scenario U wilt standaard alles blokkeren, maar wel een bepaalde website toestaan. Ook de video s op die website wilt u toestaan. U heeft de betreffende site op de whitelist gezet, en alles werkt, behalve het afspelen van de video met Internet Explorer. In Google Chrome doet de video het wel. Oorzaak Omdat Internet Explorer bepaalde nieuwe standaarden niet goed ondersteunt, gebruiken veel websites voor het tonen van video s op Internet Explorer een speciaal script van JWPlayer. Voor meer moderne browsers zoals Google Chrome hoeft dat niet. De scripts van JWPlayer laden vaak onderhuids nog extra URL s voor statistieken en tracking. Afhankelijk van de filter instellingen kan het zijn dat YourSafetynet deze URL s blokkeert. De video player wil daardoor de video niet afspelen. 1. Voeg toe aan de whitelist: jwpcdn.com 2. Voeg toe aan de whitelist: jwpltx.com Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben Whitelisting Embedded video THEOPlayer Scenario U wilt standaard alles blokkeren, maar wel een bepaalde website toestaan. Ook de video s op die website wilt u toestaan. U heeft de betreffende site op de whitelist gezet, en alles werkt, behalve het afspelen van de video. De site gebruikt een video player van THEOPlayer. Oorzaak De scripts van THEOPlayer laden vaak onderhuids nog extra URL s voor statistieken en tracking. Afhankelijk van de filter instellingen kan het zijn dat YourSafetynet deze URL s blokkeert. De video player wil daardoor de video niet afspelen. 1. Voeg toe aan de whitelist: theoplayer.com 23

26 24 Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben.

27 Hoofdstuk 3. Filter Gateway 3.1. Introductie De Filter Gateway is een virtual appliance voor het clientless filteren van (mobiele) devices. De Filter Gateway gebruikt u voor situaties waarbij het niet mogelijk is om een Endpoint Client te installeren. Dit kan bijvoorbeeld gaan om de volgende scenario s: WiFi voor Gasten De organisatie biedt een WiFi netwerk voor gasten. Bring Your Own Device (BYOD) Gebruikers binnen de organisatie nemen eigen laptops of tablets mee (waar u geen controle over heeft). Non-Windows devices De organisatie gebruikt bijvoorbeeld ipads of Android tablets. De Filter Gateway is een Captive Portal: een soort firewall, maar dan binnen uw netwerk. Het vangt al het binnenkomende netwerkverkeer af en filtert dit eventueel volgens het ingestelde ICT beleid. De Filter Gateway kan op twee manieren in uw netwerk geplaatst worden. De Simple Router Mode is voor de meeste netwerken de beste keus. De Filter Gateway is geen UTM of firewall tussen uw netwerk en het internet, maar een intermediate gateway tussen de te filteren devices en uw eigen netwerk. Er zal dus altijd ook nog een reguliere firewall (of UTM) in uw netwerk aanwezig moeten zijn Filter Gateway vs Endpoint Client De Filter Gateway is een oplossing voor als u geen Endpoint Client kunt toepassen. In de meeste gevallen is oplossing met Endpoint Clients altijd te prefereren boven die met een Filter Gateway. De Endpoint Client filtert namelijk lokaal op de machine en biedt daardoor niet alleen veel hogere performance, maar ook extra filtering en monitoring opties (bijvoorbeeld software filtering). De Filter Gateway filtert alleen alle binnenkomende verbindingen van meerdere (mobiele) devices. Zit een machine met een Endpoint Client óók nog achter een Filter Gateway (niet aan te raden), dan meldt de Endpoint Client zich bij de Filter Gateway. De Filter Gateway stuurt daarna al het verkeer van die client machine ongefilterd door (gekoppeld aan IP/MAC). De Endpoint Client is dan geheel verantwoordelijk voor de filtering. Eventuele conflicten door 'dubbele filtering' worden daarmee voorkomen Simple Router Mode In deze variant heeft de gateway één netwerk interface (met 1 lokaal IP) en het verkeer dat binnenkomt, wordt verder doorgestuurd indien nodig. Dit is een 'out-of-band' oplossing waarbij de 25

28 gateway 'naast' de andere devices op je netwerk staat (op de (virtuele) switch bijvoorbeeld). Alleen het verkeer dat je er heen stuurt wordt gefilterd (niet al het lokale netwerkverkeer hoeft er doorheen). Default Gateway De te filteren devices moeten in dit geval hun internet verkeer zelf doorsturen naar de gateway. Dat kan bijvoorbeeld door het IP adres van de Filter Gateway als default gateway in te stellen (bijvoorbeeld in de DHCP setting). De Filter Gateway zal op zijn beurt het verkeer weer doorsturen naar de echte default gateway. Policy Based Routing (PBR) Beschikt u over een geavanceerde router of switch waarmee u Policy Based Routing kunt uitvoeren, dan kunt u op die manier zorgen dat het HTTP(S) verkeer bij de YSN Filter Gateway terecht komt. Het is dan niet nodig om de YSN Filter Gateway als default gateway in te stellen. Alle TCP pakketten voor poort 80/443 moeten dan naar de YSN Filter Gateway gestuurd worden. 26

29 De Simple Router Mode is voor de meeste netwerkomgevingen de beste keus. Kies deze modus in geval van twijfel! Inline Bridge Mode In deze variant wordt de Filter Gateway als transparante bridge in uw netwerk geplaatst. De clients die gefilterd moeten worden zitten aan de 'downstream' kant en de 'rest' van uw netwerk zit aan de 'upstream' kant. De filter gateway heeft in de Bridge Mode twee netwerk interfaces (samen op één IP adres): 1. Upstream netwerkverbinding (eth0) Dit is de eerste netwerkverbinding van de filter gateway en wordt gebruikt als toegang tot de rest van uw netwerk en het internet. 27

30 2. Downstream netwerkverbinding (eth1) Dit is de tweede netwerkverbinding van de filter gateway en wordt gebruikt als verbinding met de te filteren devices. De gateway wordt in-line geplaatst tussen uw eigen netwerk en een netwerk van te filteren devices. De gateway zal al het verkeer tussen de twee netwerkverbindingen als een bridge met elkaar verbinden. Al het reguliere netwerkverkeer wordt over-en-weer gestuurd. De devices achter de downstream verbinding zullen dus ook gewoon hun DHCP en DNS aanvragen kunnen versturen alsof ze direct in het normale netwerk zouden zitten. Ook koppelingen met uw domain controller of aanvragen voor intranet websites zullen altijd doorgestuurd worden. De aanvragen die de Filter Gateway in Bridge Mode doet 'lijken' van het originele IP adres van de downstream client af te komen (die worden door de Filter Gateway 'spoofed'). Op die manier is deze variant dus 'echt' transparant en merkt zowel de upstream als de downstream kant niet dat er gefilterd wordt. Gebruik de Bridge Mode alleen als u weet wat u doet! Verkeerd gebruik van de Bridge Mode kan voor problemen op uw netwerk zorgen! De Bridge Mode ondersteunt op dit moment geen vlan tags/ids. Alle TCP pakketten die binnenkomen worden doorgestuurd (ongeacht vlan tag). Eventuele vlan configuratie moet dus in de netwerkconfiguratie van uw virtuele switch van uw hyper visor afgehandeld worden Meerdere Filter Gateways gebruiken U kunt een onbeperkt aantal Filter Gateways toepassen in uw netwerk. Met één filter gateway kunt u doorgaans 100 tot 250 users/devices filteren (meer is mogelijk als u meer virtuele hardware resources toewijst). Als niet alle gebruikers gefilterd worden, kunnen er meer gebruikers tegelijkertijd afgehandeld worden. Gebruikt u load balancing (bijvoorbeeld via load balancing in uw Policy Based Router die het verkeer over de verschillende YSN Filter Gateways verdeelt), houd u er dan rekening mee dat inlogsessies altijd gekoppeld zijn aan één Filter Gateway. De load balancing moet dus op basis van een Source IP hash gebeuren, zodat aanvragen van een gebruiker altijd bij dezelfde gateway terecht komen. Als dit niet gebeurt en een aanvraag van de gebruiker komt bij een andere gateway terecht, dan zal deze gebruiker weer opnieuw moeten inloggen Aan de slag De Filter Gateway is beschikbaar als virtual appliance in de volgende formaten: OVF (VMDK disk) 28

31 Geschikt voor o.a. VMWare (ESXi 5.1+, Workstation 9+), XenServer, etc. VHD Geschikt voor o.a. Hyper-V. Download via De OVF template is niet geschikt voor VMWare ESXi 5.0. U kunt de template echter wel handmatig aanpassen zodat deze wel te importeren is in ESXi 5.0. Zie VMware Knowledge Base Systeemeisen Hardware De volgende virtuele hardware eigenschappen worden aanbevolen: Minimaal 4 CPU cores Minimaal 4 GB RAM Tot 50 GB HD 1 netwerkverbinding (Simple Router Mode) 2 netwerkverbindingen (Bridge Mode) Gebruikt u de Bridge Mode op Hyper-V, zorg dan dat Enable Spoofing of MAC addresses ingeschakeld is voor de VM voor beide netwerkverbindingen! De webinterface ondersteunt de volgende browsers: Internet Explorer 10 of hoger Google Chrome 30 of hoger Firefox 30 of hoger Microsoft Edge Safari en andere WebKit-based browsers Op andere browsers werken sommige onderdelen slechts gedeeltelijk of hebben een ander uiterlijk Netwerkeisen Inkomend verkeer De Filter Gateway zelf moet toegankelijk zijn via HTTP/HTTPS (TCP poort 80/443). HTTP wordt gebruikt voor het Captive Portal waar gebruikers moeten inloggen voordat ze op het internet kunnen. HTTPS wordt gebruikt voor toegang tot de web interface voor de managers (via webbrowser). 29

32 Uitgaand verkeer De Filter Gateway moet zelf op het internet kunnen. Dit is o.a. nodig voor DNS lookups, NTP tijdsynchronisatie, licentie controle en updates. Omdat gebruikers moeten inloggen op de Filter Gateway voor ze internettoegang krijgen, is er een uitgaande verbinding nodig met een domaincontroller (Active Directory/LDAP over TCP). Voor het uitwisselen van instellingen en logs moet de Filter Gateway contact kunnen maken met de Management Server (verloopt over HTTPS verbinding). De Filter Gateway kan standalone draaien. Als de Management Server (tijdelijk) niet beschikbaar is, zullen gebruikers gewoon volgens de laatst bekende instellingen gefilterd worden. Locatie in het netwerk De locatie van de Filter Gateway is vooral van belang omdat inlogsessies van gebruikers gekoppeld zijn aan een IP- of MAC-adres. De individuele devices moeten dus voor gateway ook allemaal apart zichtbaar zijn met een eigen IP- of MAC-adres. Dit betekent dus dat de filter gateway fysiek binnen uw lokale netwerk moet staan of bijvoorbeeld in een datacenter dat via een VPN verbonden is met uw lokale netwerk (zodat de gateway in het datacenter nog steeds de unieke IP adressen van de te filteren devices ziet ). Het is echter in verband met performance meestal aan te raden om de filter gateway zo dicht mogelijk bij de te filteren devices te plaatsen. Tevens is het bij grotere netwerken vaak nodig meerdere filter gateways te gebruiken (zie volgende sectie). De Filter Gateway gebruikt voor het inloggen een verbinding met uw LDAP/Active Directory domain controller. De locatie van de gateway binnen het netwerk moet dus ook zodanig zijn dat deze verbinding kan maken met de domain controller. De Filter Gateway hoeft niet het domein niet te joinen, maar moet wel verbinding kunnen maken via TCP/LDAP (poort instelbaar, eventueel met LDAP+TLS). Internetverkeer van de te filteren devices verloopt via de Filter Gateway. Als u de Filter Gateway in een datacenter (of andere externe locatie) heeft staan, hou er dan rekening mee dat het internetverkeer dus ook mogelijk allemaal via het datacenter verlopen. Dit kan in bepaalde gevallen extra vertraging of kosten met zich mee brengen! Samengevat Inkomend naar HTTP/HTTPS (TCP poort 80/443) Uitgaand naar Internet (TCP, UDP) Uitgaand naar domain controller (Active Directory/LDAP over TCP). 30

33 Uitgaand naar Management Server (HTTPS) Console Terminal: Eerste keer inloggen Start de virtual appliance en log in op de console terminal met de console terminal admin account: Gebruikersnaam: ysnadmin Wachtwoord: changeme14127 Het systeem zal direct vragen om een nieuw wachtwoord in te stellen. Kies een veilig (niet te gemakkelijk te raden) wachtwoord en onthoud dit goed! Dit wachtwoord is op een later moment niet meer te achterhalen als u het kwijtraakt. Bij het invoeren van het wachtwoord worden geen tekens in het scherm getoond! Dit wijkt af van wat u wellicht gewend bent bij Windows systemen. U heeft deze logingegevens alleen in uitzonderlijke gevallen nodig. De meeste instellingen en functies beheert u straks eenvoudig via de web interface met uw eigen manager account login Updates installeren Regelmatig komen er updates uit van pakketten en onderdelen van de appliance. Het gaat hier niet alleen om de pakketten van YourSafetynet zelf, maar ook pakketten van derden. Om er zeker van te zijn dat u de meest recente versies heeft (met alle bug- en securityfixes), kunt u het beste nu eerst updates installeren. Voer de volgende stappen uit: 1. Log in op de console terminal (als u dat al niet gedaan had). 2. Voer de volgende commando s één voor één uit (commando typen + ENTER): 1. wget -N 2. sudo bash fix-apt 3. sudo ysn-updates install-reboot Het systeem zal alle updates nu downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. 31

34 Aan het einde zal het systeem automatisch opnieuw opgestart worden. Op een later moment kunt u ook via de web interface updates laten uitvoeren. Onderaan in footer van de web interface ziet u welke versie van YourSafetynet u op dit moment heeft. Voor meer informatie over recente updates, zie Setup Nu de appliance gestart is kunt u via de web interface de setup starten. BELANGRIJK: Installeer altijd eerst eventueel beschikbare updates (zie Updates installeren). IP Adres van de gateway Om toegang te krijgen tot de web interface heeft u het IP adres van de Filter Gateway nodig. U kunt het adres opvragen via de Console Terminal met het commando: ysn-system-url Uitzondering SSL certificaat Uw browser zal, bij het eerste bezoek aan de web interface, melding maken van een ongeldig SSL/TLS certificaat (omdat het een self-signed certificaat is). Laat de browser een uitzondering toevoegen voor dit adres. 32

35 Setup Starten 1. Ga met de browser naar de /setup op het aangegeven adres: 2. Volg de stappen. Tijdens de setup zullen diverse basisgegevens ingesteld worden. Deze kunt u op een later moment altijd nog wijzigen. Het gaat hier o.a. om: Networkconfiguratie Hier kunt u zaken als de Gateway Mode, de host name, het IP adres, de default gateway en DNS servers invoeren. Standaard wordt dit verkregen via DHCP. Server Link Hier koppelt u de Gateway appliance met een Management Server. U heeft hiervoor het publieke adres van de Management Server nodig en een API Keyset. De API Keyset vindt u in de Management Server onder Organisatie Filter Nodes API Keys. Tijdens de setup zal het systeem mogelijk een aantal keer opnieuw opstarten System Control Als de setup afgerond is kunt u inloggen op de System Control via de web interface. Hiermee kunt u 33

36 specifieke instellingen van de Filter Gateway aanpassen en actieve sessies van Filter Gebruikers inspecteren. Toegang tot de System Control interface vereist een login met uw Manager account (dezelfde als die u gebruikt voor de Management Server): Tijdens de setup heeft de gateway ook alle Manager accounts van de organisatie gesynchroniseerd. Alle managers kunnen dus na de setup inloggen op de web interface van de gateway. Deze synchronisatie zal regelmatig herhaald worden, dus wijzigingen in Managers voor uw organisatie gelden ook voor het System Control gedeelte van de gateway. Synchronisatie tussen Filter Gateway en Management Server gebeurt ongeveer elke 5 minuten in een achtergrondproces Captive Portal De Filter Gateway gedraagt zich als een Captive Portal: de gebruikers worden eerst doorgestuurd naar een loginpagina en moeten eventueel akkoord gaan met uw ICT reglement. Bij elke nieuwe sessie (gekoppeld aan IP/MAC adres) worden de volgende stappen doorlopen: 1. De HTTP verbindingen (naar poort 80) worden naar een inlogpagina doorgestuurd (browser toont inlogpagina). 2. Op de inlogpagina moet de gebruiker inloggen met zijn Active Directory (of LDAP) accountgegevens. 3. De gebruiker moet daarna eventueel eerst een ICT reglement accorderen (als dat ingesteld is en hij had nog niet eerder akkoord gegeven). 4. De gebruiker krijgt een bevestiging dat hij is ingelogd en wordt doorgestuurd naar de eerder opgevraagde website. 34

37 Voor de juiste werking is het van belang dat u op de Management Server onder Organisatie Domein & Netwerk Filter Gateway een correct domein is ingesteld. Als dit nog niet correct is ingesteld, doe dat dan nu. Het kan daarna 5 tot 10 minuten duren voordat de gateway deze wijzigingen doorgekregen heeft. De filter gateway zal via een LDAP verbinding met de ingestelde domain controller controleren of de inloggegevens van de gebruiker kloppen. Als de gegevens kloppen zal de gateway het profiel van de gebruiker inladen. Mocht er een ICT reglement van toepassing zijn, dan zal de gebruiker eerst akkoord moeten gaan met het gebruiksreglement. Daarna kan de gebruiker weer als normaal verder websites bezoeken, maar wel alleen de websites die zijn toegestaan volgens het gekoppelde profiel. De inlogsessies zijn gekoppeld aan het IP- of MAC adres van de device van de gebruiker. Is de gebruiker langer dan bepaalde tijd inactief (geen verbindingen), dan wordt de gebruiker automatisch uitgelogd (idle session timeout). Bij een nieuwe aanvraag moet de gebruiker dan weer opnieuw inloggen Troubleshooting Filter Gateway wil niet updaten Filter Gateway wil niet updaten Scenario 35

38 U ziet dat er updates beschikbaar zijn onder Updates. U laat de updates installeren en het systeem geeft aan dat de updates geïnstalleerd zijn. Als u nogmaals op updates controleert blijken exact dezelfde updates weer beschikbaar te zijn. De updates worden dus niet geïnstalleerd. Oorzaak Er is vermoedelijk een probleem met het update systeem die niet afgehandeld kan worden door de web interface. Deze fout wordt niet herkend waardoor het systeem in eerste instantie denkt dat de updates wel geïnstalleerd zijn. 1. Log in op de console terminal. 2. Voer de volgende commando s één voor één uit (commando typen + ENTER): 1. wget -N 2. sudo bash fix-apt 3. sudo ysn-updates install-reboot Hiermee voert u een script uit dat de problemen met het update-systeem oplossen. Het zal daarna alle beschikbare updates downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden. Ga als de server opgestart is weer naar Updates en laat het systeem opnieuw op updates controleren. Er zouden nu geen updates meer beschikbaar moeten zijn. 36

39 Hoofdstuk 4. Endpoint Client 4.1. Introductie De Endpoint Client is een software pakket voor Windows machines en terminal servers (te installeren via een msi pakket). Dit pakket installeert zichzelf als een lokaal filter op de computer. Alle filtering vindt lokaal plaats op de computer. Naast een internetfilter heeft de endpoint client nog extra filter mogelijkheden op het gebied van software (reguleren van gebruik van software). Daarnaast biedt het een screenshot alarm knop waarmee de gebruiker direct een screenshot kan maken. Deze wordt doorgestuurd naar de Management Server en is daar door de managers te bekijken. Deze alarmknop is vooral handig bij technische problemen of als er sprake is van pestgedrag. De Endpoint Client zal instellingen en logs uitwisselen met de Management server Aan de slag De Endpoint Client is beschikbaar als MSI installatiepakket. Download via Systeemeisen Windows Vista SP2 (en hoger) Windows 7 SP1 (en hoger) Windows 8 / Windows 8.1 Windows 10 Windows Server 2008 SP2 / R2 (en hoger) Windows Server 2012 (R2) Ondersteuning van Windows Vista SP2 vervalt binnenkort: 1 januari De software zal daarna nog wel functioneren, maar er verschijnen geen bugfixes meer specifiek voor Vista SP2. Platform Let op: er zijn twee versies van de installer: een 32 bit en een 64 bit versie. U kunt de 32 bits versie niet op 64 bits systemen installeren en vice versa. U vindt de 64 bit versie in de x64 map en de 32 bit versie in de x86 map. Eisen Software 37

40 De Endpoint Client vereist.net Framework of beter. Dit framework is een standaard onderdeel van bepaalde versies van Windows (soms nog niet ingeschakeld): Windows 8.1/10 Windows Server 2012 SP1/R2 Voor oudere versies van Windows moet u zelf het.net Framework installeren (als dat al niet gedaan was). Download de officiële web-installer van het.net Framework via de volgende link (stuurt door naar de downloadpagina van Microsoft): Browserondersteuning Standaard worden de volgende browsers ondersteund: Internet Explorer 9 of hoger Google Chrome 30 of hoger Firefox 10 of hoger (vereist herstart) Microsoft Edge Vele andere browsers die Windows proxy instellingen gebruiken De Endpoint Client installeert een lokale proxy voor het filteren van websites. Deze proxy wordt automatisch geconfigureerd binnen Windows, waardoor de meeste browsers automatisch deze proxy gebruiken (en dus gefilterd worden). Voor Internet Explorer op Windows RDS/Terminal Server omgevingen moet IE Enhanced Security uitgeschakeld staan voor gebruikers EN administrators! Zie Troubleshooting: [troubleshooting-client-ie-enhanced-security] Netwerkeisen Inkomend verkeer Voor de Endpoint Client hoeven er geen specifieke poorten open gezet te worden voor inkomend verkeer. Uitgaand verkeer De Endpoint Client moet zelf op het internet kunnen. Dit is o.a. nodig voor de lokale filter proxy, DNS lookups, NTP tijdsynchronisatie, licentie controle en updates. Voor het uitwisselen van instellingen en logs moet de Endpoint Client contact kunnen maken met de Management Server (verloopt over HTTPS verbinding). 38

41 De Endpoint Client hoeft geen verbinding te hebben met een eventuele domain controller. De client kan dus ook draaien op machines die (tijdelijk) buiten het domein draaien. De Endpoint Client kan standalone draaien. Als de Management Server (tijdelijk) niet beschikbaar is, zullen gebruikers gewoon volgens de laatst bekende instellingen gefilterd worden. Samengevat Uitgaand naar Internet (TCP, UDP) Uitgaand naar Management Server (HTTPS) 4.3. Setup De endpoint client moet per machine geïnstalleerd worden. Het vereist elevated privileges om te installeren (en te de-installeren) Standaard installatie (full UI) Start de.msi en volg de stappen. Bij de installatie van de client wordt er om 3 dingen gevraagd:<o:p></o:p> Server host Vul hier de host name of het IP adres van de Management Server in. API Key De API Key vindt u op de Management Server onder Organisatie Filter Nodes Api Keys. Klik op de eerste key voor details. Dan komt er een detailpagina. Kopieer daarvan de API Key. API Secret De API Secret behoort bij de eerder gevonden API Key. Kopieer deze van dezelfde detail pagina. 39

42 Installatie via de command-line (msiexec) Via de msiexec kunt u het msi pakket installeren door gebruik te maken van de standaard parameters voor UI level of silent installs. Installeren via de command-line vereist meestal extra parameters. Vooral de SERVERHOST, API_KEY en API_SECR parameters zijn van belang. Aanbevolen parameters SERVERHOST SERVERHOST="<host>" Hiermee definieert u de hostnaam of het IP-adres van de Management Server. De Endpoint Client heeft dit nodig om instellingen van de Management Server op te kunnen halen. De SERVERHOST parameter wordt ook opgeslagen in de ServerList registersleutel onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client. Wilt u de host van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel. 40

43 Het gebruik van de SERVERHOST parameter is sterk aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ServerList registersleutel correct instellen (eventueel op een later moment). API_KEY API_KEY="<key>" Hiermee definieert u de API key die de Endpoint Client moet gebruiken bij de communicatie met de Management Server. U vindt deze API Key op de Management Server onder Organisatie Filter Nodes Api Keys De API_KEY parameter wordt ook opgeslagen in de ServerApiKey registersleutel onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client. Wilt u de API Key van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel. Het gebruik van de API_KEY parameter is sterk aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ServerApiKey registersleutel correct instellen (eventueel op een later moment). API_SECR API_SECR="<secret>" Hiermee definieert u de API secret (horend bij de API key) die de client moet gebruiken bij de communicatie met de management server. U vindt deze API secret op de Management Server onder Organisatie Filter Nodes Api Keys. Klik op de detail pagina van de API Key om de API Secret zichtbaar te maken. De API_SECR wordt ook opgeslagen in de ServerApiSecr registersleutel onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client. Wilt u de API Secret van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel. Het gebruik van de API_SECR parameter is sterk aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ServerApiSecr registersleutel correct instellen (eventueel op een later moment). Optionele parameters ARPNOREMOVE ARPNOREMOVE=1 41

44 Dit is een standaard MSI parameter (werkt ook op andere MSI pakketten). Wanneer deze parameter op 1 wordt gezet zal de Verwijderen optie uitgeschakeld worden in het Add/Remove Programs gedeelte van het configuratiescherm van Windows. Als u deze optie inschakelt kunt u dus alleen nog maar via de command-line de software verwijderen. Deze parameter wordt automatisch op 1 gezet als u de parameter UNINSTALLPASS gebruikt. Gebruik deze optie alleen als u wilt beschermen tegen ongeoorloofd verwijderen door gebruikers die ook beheerderrechten hebben (normale gebruikers kunnen de software niet verwijderen). UNINSTALLPASS UNINSTALLPASS="<password>" Hiermee kunt u een optioneel wachtwoord instellen ter bescherming van het verwijderen van de software. Als er een wachtwoord is ingesteld zal er alleen nog verwijderd kunnen worden via de command-line en het opgeven van het juiste wachtwoord. Deze parameter zal resulteren in een hash die wordt opgeslagen in de waarde uip_h onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client. Als u de deze parameter gebruikt, wordt de ARPNOREMOVE parameter automatisch op 1 gezet. Gebruik deze optie alleen als u wilt beschermen tegen ongeoorloofd verwijderen door gebruikers die ook beheerderrechten hebben (normale gebruikers kunnen de software niet verwijderen) Voorbeelden Silent install msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a 93fe" Silent install (alleen te verwijderen via commandline) msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a 93fe" ARPNOREMOVE=1 42

45 Silent install (alleen te verwijderen via commandline EN wachtwoord) msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a 93fe" UNINSTALLPASS="mypass" Push installatie Omdat de client setup als standaard MSI pakket beschikbaar is en deze alle standaard parameters/switches accepteert kunt u de client ook in de meeste push scenario s installeren. Als u bij push installatie niet de aanbevolen parameters voor SERVERHOST, API_KEY en API_SECR gebruikt, zorg dan dat de gerelateerde registersleutels correct worden ingesteld. Zorg ervoor dat de push installatie rekening houdt met het platform van de machine (32 bit of 64 bit). U kunt de 32 bits versie niet op 64 bits systemen installeren en viceversa Installatie via scripts Wilt u een installatiescript gebruiken om de Endpoint Client te installeren, dan is het is aanbevolen om in het script msiexec aan te roepen met de juiste parameters. Voorbeeld: msiexec /i %MYSHARE%\YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a 93fe" Installatie via GPO Omdat de installatie een aantal parameters vereist in de meeste gevallen (zoals SERVERHOST, API_KEY en API_SECR), is het aan te raden een MST bestand te maken met een tool zoals Orca. Zorg ervoor dat alle aanbevolen parameters correct toegevoegd zijn bij de Property table in Orca (of vergelijkbare tool). Zie ook: Orca is een tool die helaas niet meer officieel ondersteund wordt door Microsoft. Een goed alternatief is InstEd It (InstEd It is gratis, InstEd It Plus is niet gratis). 43

46 Als u geen MST bestand maakt, zorg dan dat de gerelateerde registersleutels correct zijn ingesteld voor de aanbevolen parameters Client verwijderen U kunt de Endpoint Client verwijderen via de command-line of via het onderdeel Add/Remove Programs van het configuratiescherm. Om te kunnen verwijderen heeft u altijd beheerderrechten nodig. Het is mogelijk dat u bij het verwijderen een melding krijgt dat een herstart van het systeem vereist is. Dit is meestal niet noodzakelijk; de verwijderprocedure zal alle services stoppen en opruimen in de elevated stage van de het verwijderproces. Door enkele beschermingsconstructies in Endpoint Client kan Windows de services niet stoppen op de standaard manier; vandaar de melding Verwijderen via Configuratiescherm Deze optie is alleen beschikbaar als u tijdens de installatie geen gebruik gemaakt heeft van de UNINSTALLPASS of ARPNOREMOVE parameters Verwijderen via command-line U kunt via msiexec de Endpoint Client verwijderen met de /x switch. Hiervoor heeft u óf de originele MSI nodig, óf de productcode. Verwijderen met originele msi pakket Hiervoor heeft u het originele msi pakket nodig dat u gebruikt heeft voor de originele installatie. U kunt dit niet doen met een nieuwere of oudere versie van het msi pakket; het moet exact dezelfde versie zijn. Voorbeelden: De-installatie msiexec /x YourSafetynetClientSetup.msi De-installatie (met eerder ingesteld wachtwoord) msiexec /x YourSafetynetClientSetup.msi UNINSTALLPASS="mypass" De-installatie (met msi log dump) 44

47 msiexec /x YourSafetynetClientSetup.msi /l*v MyLogFile.txt Verwijderen met productcode (guid) Hiervoor heeft u de productcode (guid) van het installatiepakket nodig. Deze productcode verandert bij elke nieuwe versie van het installatiepakket. Als u de productcode (guid) niet weet, kunt u die proberen te vinden via regedit: 1. Kijk onder HKLM\SOFTWARE\Windows\CurrentVersion\Uninstall 2. Klik met rechtermuisknop op deze map Uninstall en kies Zoeken en zoek op YourSafetynet 3. De registersleutelnaam zal de correcte productcode (guid) zijn. Bijvoorbeeld: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8EDE247B-EA55-483B-99AC- 2A3C9F3068B6} Voorbeelden: De-installatie msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} De-installatie (met eerder ingesteld wachtwoord) msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} UNINSTALLPASS="mypass" De-installatie (met msi log dump) msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} /l*v MyLogFile.txt 4.5. Instellingen Windows Register Voor de Endpoint Client kunt u bepaalde instellingen maken via register sleutels. Dit zijn optionele instellingen en standaard staan deze goed ingesteld. Wijzig alleen waardes als u weet wat u doet! De meeste register instellingen worden alleen bij het opstarten ingeladen. Maakt u wijzigingen, dan worden deze dus pas actief na een herstart! 45

48 Server Verbinding De volgende register instellingen hebben betrekking op de verbinding van de client met de Management Server. ServerList De Endpoint Client maakt verbinding met de Management Server die in deze register sleutel staat gedefinieerd. Deze sleutel kan 1 of meer adressen bevatten (hostnaam of IP-adres). Het opgeven van een poort is optioneel; standaard wordt poort 443 (HTTPS) gebruikt. Als de client geen verbinding kan krijgen met de eerste host, dan wordt de volgende geprobeerd (als er meerdere opgegeven zijn). Sleutel HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client Naam ServerList (String) Formaat <host>[:port][,<host>[:port],..] Voorbeeld ; Server Host (port is optional) [HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client] "ServerList"="ysn-ms01.mydomain.tld" ServerApiKey In deze register sleutel staat de API key die de Endpoint Client moet gebruiken bij de communicatie met de Management Server. U vindt de correcte API Key en bijbehorende secret op de Management Server onder Organisatie Filter Nodes Api Keys. Sleutel HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client Naam ServerApiKey (String) Voorbeeld ; Server API Key [HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client] "ServerApiKey"="aabbccddeeff " 46

49 ServerApiSecr In deze register sleutel staat de API secret die de Endpoint Client moet gebruiken bij de communicatie met de Management Server. U vindt de correcte API Key en bijbehorende secret op de Management Server onder Organisatie Filter Nodes Api Keys. Sleutel HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client Naam ServerApiSecr (String) Voorbeeld ; Server API Secret [HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client] "ServerApiSecr"="00000eeee0000aa000ccc eeff9" DisableOnServerUnreachable De Endpoint Client draait standaard standalone. Dat betekent dat als de server niet draait of niet beschikbaar is, de filtering gewoon blijft werken. In bepaalde situaties kan het wenselijk zijn om de filtering uit te schakelen als de server niet beschikbaar is. Een bekend voorbeeld hiervan is het thuisgebruik van een laptop van de organisatie. Alleen als de laptop binnen het netwerk van de organisatie gebruikt wordt moet er gefilterd worden. Thuis mag de gebruiker onbeperkt gebruik maken van het internet. Met deze optionele registersleutel is het mogelijk in te stellen dat de client bij het opstarten moet controleren of de server bereikbaar is. Is de server niet bereikbaar, bijvoorbeeld omdat de machine buiten het netwerk van de organisatie gebruikt wordt, dan wordt de filtering uitgeschakeld. De controle of de server bereikbaar is gebeurt in de eerste 20 seconden na het starten van de machine. Als de server tussentijds (terwijl de machine aanstaat) even onbereikbaar is, dan wordt de filtering NIET uitgeschakeld. Dit om te voorkomen dat tijdelijke downtime van de server binnen uw organisatie zorgt voor het uitschakelen van de filtering. Is de filtering uitgeschakeld omdat de server niet bereikbaar was tijdens het opstarten, dan wordt er om de zoveel tijd gecontroleerd of de server weer bereikbaar is. Is de server later alsnog weer bereikbaar, dan wordt de filtering automatisch weer ingeschakeld. Als uw server op een publiek adres draait, dan zal deze instelling meestal geen effect hebben. De server is dan immers ook bij thuisgebruik gewoon bereikbaar. 47

50 Sleutel HKLM\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client Naam DisableOnServerUnreachable (DWORD) Formaat 0 of 1 Standaard 0 (Optie niet ingeschakeld) Voorbeeld ; Disable filtering when server cannot be reached (default: 0) [HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet Pro+ Client] "DisableOnServerUnreachable"=dword: Filtering De volgende register instellingen zijn gerelateerd aan de filtering. DisableOnServerUnreachable Zie boven bij Server Verbinding: DisableOnServerUnreachable ExternalUrlDetectStrikes De Endpoint Client maakt voor het filteren o.a. gebruik van een externe URL detectie techniek. Deze externe URL detectie is een hulpmiddel bij de normale filter techniek (interne lokale proxy). Dit is vooral van belang voor het filteren/blokkeren van HTTPS websites, omdat daarvan de volledige URL en inhoud versleuteld zijn. Het interne HTTPS proxy filter van de client kan alleen de domeinnaam zien van een HTTPS pagina en filtert dan ook alleen op domeinnaam. Om ook de volledige HTTPS URL te kunnen filteren wordt deze externe detectie techniek gebuikt. Deze externe detectie werkt door in een regelmatige background cycle aan de webbrowser te vragen wat de actieve URL is (en soms ook wat de website titel is). De URL en titel worden dan gescand en er iets niet is toegestaan wordt de browser gevraagd het scherm af te sluiten. Deze URL detection cycle draait ongeveer elke 5 seconden. Standaard wordt er na 2 cycles (~10 seconden) bepaald of de URL is toegestaan en wordt het browserscherm afgesloten indien nodig. Via een register sleutel is het mogelijk om het aantal cycles in te stellen voordat de URL gescand wordt en het browserscherm wordt afgesloten. U kunt het aantal cycles ook op 0 instellen; in dat geval wordt er zo snel mogelijk gekeken naar de URL en wordt het scherm afgesloten indien nodig. Dit kan in de 48

51 praktijk tussen de 0 en 5 seconden liggen. Wees voorzichtig met lage waardes voor deze instelling! Als uw browser een startpagina heeft die niet is toegestaan en het aantal cycles staat zeer laag of op 0, dan kan het zijn dat u het browsergebruik compleet blokkeert. De browser kan dan heel snel na het opstarten weer gesloten worden, omdat er een verboden URL actief is. U heeft dan weinig/geen tijd om naar een wel toegestane URL te surfen. Externe URL detectie werkt niet met alle browsers. Op dit moment worden alleen Internet Explorer en Google Chrome ondersteund. Sleutel (Machine) HKLM\Software\Media Security Networks\YourSafetynet Sleutel (User) HKCU\Software\Media Security Networks\YourSafetynet Naam ExternalUrlDetectStrikes (DWORD) Standaard 2 (~10 sec) Voorbeeld (Machine niveau) ; Changes number of cycles to 0 (default is 2) [HKEY_LOCAL_MACHINE\Media Security Networks\YourSafetynet] "ExternalUrlDetectStrikes"=dword: Voorbeeld (User niveau) ; Changes number of cycles to 0 (default is 2) [HKEY_CURRENT_USER\Media Security Networks\YourSafetynet] "ExternalUrlDetectStrikes"=dword: De sleutel op user niveau (HKCU) heeft alleen effect als de waarde lager is dan de waarde van de sleutel op machine niveau (HKLM). Een hogere waarde wordt genegeerd, omdat een gebruiker mogelijk zelf deze sleutel zou kunnen aanpassen en daarmee de beveiliging minder streng zou kunnen maken Agent De volgende register instellingen hebben betrekking op de Agent applicatie (draait voor elke gebruiker in de Windows system tray). 49

52 AgentShowIcon Via deze register sleutel is in te stellen of de Agent applicatie een icoontje moet laten zien in de systray van Windows. Als er gekozen wordt om het icoontje te verbergen (waarde 0), dan zal de gebruiker dus ook niet bij het Agent menu kunnen voor het bekijken van de actieve instellingen, contactgegevens, etc. Sleutel (Machine) HKLM\Software\Media Security Networks\YourSafetynet Sleutel (User) HKCU\Software\Media Security Networks\YourSafetynet Naam AgentShowIcon (DWORD) Formaat 0 of 1 Standaard 1 (ingeschakeld) Voorbeeld (Machine niveau) ; Show or Hide Agent Icon (Show: 1, Hide: 0, Default: 1) [HKEY_LOCAL_MACHINE\Software\Media Security Networks\YourSafetynet] "AgentShowIcon"=dword: Voorbeeld (User niveau) ; Show or Hide Agent Icon (Show: 1, Hide: 0, Default: 1) [HKEY_CURRENT_USER\Software\Media Security Networks\YourSafetynet] "AgentShowIcon"=dword: AgentShowTimePopups Via deze register sleutel is in te stellen of de Agent applicatie een popup moet laten zien als een daglimiet (bijna) op is of een bepaalde dagperiode (bijna) voorbij is. Als dit is ingeschakeld zal er een popup komen bij de volgende gebeurtenissen: 1. Waarschuwingen daglimieten De gebruiker heeft nog maar 10 minuten verbruikstijd over. De gebruiker heeft nog maar 5 minuten verbruikstijd over. 50

53 De gebruiker heeft geen verbruikstijd meer over. 2. Waarschuwingen dagperiode Over 10 minuten begint een periode waarbinnen bepaalde activiteit niet meer is toegestaan. Over 5 minuten begint een periode waarbinnen bepaalde activiteit niet meer is toegestaan. Er begint een periode waarbinnen bepaalde activiteit niet meer is toegestaan. Er begint een periode waarbinnen bepaalde activiteit juist wel weer is toegestaan. Sleutel (Machine) HKLM\Software\Media Security Networks\YourSafetynet Sleutel (User) HKCU\Software\Media Security Networks\YourSafetynet Naam AgentShowTimePopups (DWORD) Formaat 0 of 1 Standaard 0 (uitgeschakeld) Voorbeeld (Machine niveau) ; Show time warning popups (Show: 1, Hide: 0, Default: 0) [HKEY_LOCAL_MACHINE\Media Security Networks\YourSafetynet] "AgentShowTimePopups"=dword: Voorbeeld (User niveau) ; Show time warning popups (Show: 1, Hide: 0, Default: 0) [HKEY_CURRENT_USER\Media Security Networks\YourSafetynet] "AgentShowTimePopups"=dword: AgentShowSettingsChangePopups Via deze register sleutel is in te stellen of de Agent applicatie een popup moet laten zien als er instellingen gewijzigd zijn. Als dit is ingeschakeld zal er een popup komen als het profiel van de huidige gebruiker een wijziging heeft gehad op de server en de client dit zojuist verwerkt heeft. Sleutel (Machine) HKLM\Software\Media Security Networks\YourSafetynet 51

54 Sleutel (User) HKCU\Software\Media Security Networks\YourSafetynet Naam AgentShowSettingsChangePopups (DWORD) Formaat 0 of 1 Standaard 0 (uitgeschakeld) Voorbeeld (Machine niveau) ; Show settings change popups (Show: 1, Hide: 0, Default: 0) [HKEY_LOCAL_MACHINE\Software\Media Security Networks\YourSafetynet] "AgentShowSettingsChangePopups"=dword: Voorbeeld (User niveau) ; Show settings change popups (Show: 1, Hide: 0, Default: 0) [HKEY_CURRENT_USER\Software\Media Security Networks\YourSafetynet] "AgentShowSettingsChangePopups"=dword: AgentShowHttpsFilterPopups Via deze register sleutel is in te stellen of de Agent applicatie een popup moet laten zien als er HTTPS websites (of website-onderdelen) worden geblokkeerd. Bij blokkade van HTTPS websites toont YSN geen blokkade pagina, maar verbreekt het simpelweg de verbinding. Wilt u de gebruiker extra informeren over de (reden van) blokkade van de HTTPS website, stel dan deze registerwaarde in op 1. Een normale HTTP website kan ook onderdelen laden via HTTPS (bijvoorbeeld scripts van Facebook of Google). Als deze onderdelen geblokkeerd worden, dan zal met deze optie ingeschakeld voor elk onderdeel een popup getoond worden. Sleutel (Machine) HKLM\Software\Media Security Networks\YourSafetynet Sleutel (User) HKCU\Software\Media Security Networks\YourSafetynet Naam AgentShowHttpsFilterPopups (DWORD) Formaat 52

55 0 of 1 Standaard 0 (uitgeschakeld) Voorbeeld (Machine niveau) ; Show settings change popups (Show: 1, Hide: 0, Default: 0) [HKEY_LOCAL_MACHINE\Software\Media Security Networks\YourSafetynet] "AgentShowHttpsFilterPopups"=dword: Voorbeeld (User niveau) ; Show settings change popups (Show: 1, Hide: 0, Default: 0) [HKEY_CURRENT_USER\Software\Media Security Networks\YourSafetynet] "AgentShowHttpsFilterPopups"=dword: Troubleshooting Agent fout: "Failed to connect to the server" Firefox wordt niet gefilterd (direct na installatie) Verbindingsproblemen MS Outlook met Hosted Exchange server Video speelt niet af met IE op RDS/Terminal Server Agent fout: "Failed to connect to the server" Scenario U heeft de Endpoint Client geïnstalleerd en het icoontje van de Agent applicatie in de system tray geeft een fout weer: YourSafetynet Client: Failed to connect to the server Oorzaak De foutmelding komt als de client geen verbinding kan krijgen met de Management Server. Meestal komt dit door verkeerd ingevoerde server hostname (tijdens de installatie). Het kan ook zijn dat de Management Server (tijdelijk) niet bereikbaar is. 53

56 1. Kijk voor meer informatie over het onderliggende probleem in het 'Over YourSafetynet' scherm. Klik hiervoor op icoontje in system tray en kies voor 'Over YourSafetynet'. 2. Ga nu met de muis op het uitroepteken staan voor meer informatie. Is uw Management Server tijdelijk niet bereikbaar ivm een netwerkstoring of onderhoud, dan kunt u de melding van client negeren. De client zal blijven filteren volgens de laatst bekende instellingen. Zodra de server weer bereikbaar is zal de client vanzelf weer instellingen en logs gaan uitwisselen. Foutmelding: The remote name could not be resolved 'my.server.hostname' 1. Controleer of u de hostnaam correct heeft ingevoerd (komt deze overeen met de Management Server configuratie). 2. Controleer eventueel of de hostnaam gevonden kan worden door een DNS lookup: a. Start een Windows Shell (cmd.exe) b. Voer het volgende commando uit: nslookup myhost (vervang myhost door de hostname van de server) 54