1. Grundkonfiguration und Inbetriebnahme Webfilter


Diese Anleitung soll Ihnen unterstützend die Grundkonfiguration des Webfilters vereinfachen und die wichtigsten Informationen zur Nutzung des Webfilter Services bieten.


1.1 Den Webfilter aktivieren


Navigieren Sie im Control Panel auf Ihre Primärdomain und aktivieren Sie den Webfilter. Um mit der Konfiguration zu starten, geben Sie über das Feld „Benutzer hinzubuchen“ die Benutzeranzahl an.


Weiterhin benötigen Sie eine administrative E-Mailadresse, zu welcher auch alle Webfilteranfragen (z. B. Freigabeaufforderungen) übermittelt werden. Wählen  Sie anschließend die Authentisierungsmethode (Benutzer, IP oder LDAP-Zugriff) aus:

  1. Für die Authentisierung mittels Hornetsecurity Connector oder durch manuelle Eingabe der Benutzeradresse und des Passworts wählen Sie „Benutzerbasierter Zugriff“ aus.
  2. Um  über  eine  bestimmte  IP-Adresse  den  Zugriff  über  den  Webfilter  Service  zu  erlauben, wählen Sie „IP-Adress-Zugriff“ aus. 
  3. Sofern die Benutzer anhand des Active Directory (AD) authentisiert werden sollen, wählen Sie „LDAP-Authentisierung aus. (Bitte  beachten Sie, dass diese Konfiguration in Verbindung mit der  gemeinsamen  Einrichtung  eines LDAP-Abgleichs  mit  dem  Support  von  Hornetsecurity abgestimmt werden muss!)


Die im Konfigurationsfenster (Abbildung 1) angegebenen URLs (Hornetsecurity Connector Download, URL zur automatischen Proxykonfigurationsdatei sowie Download HTTPS-Zertifikat) benötigen Sie für
die weitere Konfiguration des Webfilters.


1.2 HTTPS-Verbindungen öffnen und durchsuchen


Um  auch  verschlüsselte  Webaufrufe  durch  den  Webfilter  aufzubrechen  und  filtern  zu  lassen, aktivieren Sie „HTTPS-Verbindungen öffnen und durchsuchen“ (siehe Abbildung 1). Hierfür benötigen
Sie  ein  weiteres  Zertifikat,  welches  Sie  von  Hornetsecurity  erhalten.  Dieses  Vertraut  der verschlüsselten Verbindung über den Webfilter. Folgen Sie dem Link „Download HTTPS-Zertifikat“ in
den Webfiltereinstellungen (Abbildung 1) im Control Panel.


1.3 Auswahl der Webfilter Templates



Im Reiter „Templates“ in den Webfiltereinstellungen können Sie zwischen verschiedenen Templates wählen,  welche  z.B.  beim  Surfen  auf  eine  gesperrte  Webseite  erscheinen.  Zudem  besteht  die
Möglichkeit, die Sprachen der verschiedenen Webfilter Templates einzustellen. Sofern eigens für Sie gestaltete Templates vorhanden sind, können Sie diese hier auswählen (siehe Abbildung 2).



2. Kategorie-Einstellung


2.1 Kategorien einstellen


Welche  Kategorien  von  Websites  erlaubt  oder  verboten  sein  sollen,  wird  gruppenspezifisch eingestellt. Die  Einstellungen können für eine Kategorie insgesamt (z. B. „Erwachsene“) ode  für
Unterkategorien einzeln (z. B. „Arzneimittel“) vorgenommen werden (Abbildung 3). Für die Gruppe „Default“  ist  eine  für  viele  Unternehmen  sinnvolle  Grundeinstellung  durch  Klick  auf  den  Button
„Default“  einstellbar.  Für  andere  Gruppen  bewirkt ein  Klick  auf  den  Button  „Default“,  dass  für  die Gruppe die aktuellen Einstellungen der Gruppe Default gelten. 



2.2 Gezieltes Sperren und Freigeben bestimmter Webseiten


Sofern Sie eine gesamte Kategorie sperren möchten, jedoch bestimmte Internetseiten aus  der gleichen Kategorie aus betrieblicher Sicht für  Ihre Benutzer freigeben möchten, gehen Sie wie folgt
vor:

  • Sperren Sie die entsprechende Kategorie (z. B. „Soziale Netzwerke“)
  • Geben Sie die gewünschten Seiten (z. B. „XING“, „LinkedIn“) per Whitelisting frei (Abbildung 4).


Dieses Whitelisting kann auch für einzelne Gruppen oder Benutzer vorgenommen werden.


2.3 Definition von Ausnahmen


Webaufrufe, die nicht über den Webfilter geführt werden sollen, können im Bereich der abweichenden Einstellungen definiert werden. Wenn Sie den Verkehr mit bestimmten Webservern (beispielsweise interne Webserver oder Server, sie direkt per IP-Adresse angesprochen werden) nicht über den Webfilter führen möchten, können Sie die Adressen dieser Webserver in eine Ausnahmeliste eintragen. Die Eintragungen sind durch ein Semikolon voneinander zu trennen (siehe Abbildung 5).




3. Gruppeneinstellungen für den Webfilter nutzen


3.1 Gruppen aktivieren/deaktivieren


Mit  Hilfe  des  Hornetsecurity  Control  Panels  lassen  sich  gruppenspezifische  Richtlinien  zur Internetnutzung  konfigurieren.  Die  Gruppenzugehörigkeiten  können  im  Bereich  Gruppen  im
Navigationsbaum definiert werden. Anschließend lassen sich für die Gruppen einzelne Richtlinien für die Webfilterung setzen (siehe Abbildung 6).


Eine  optionale  LDAP-Synchronisation  kann  helfen,  Nutzer  den  Gruppen  automatisch  zuzuordnen. Wenden Sie sich für diese Konfiguration an den Hornetsecurity Support.


Für  jede  einzelne  Gruppe  besteht  außerdem  die  Möglichkeit,  einen  Gruppenleiter  zu  definieren. Dieser kann Freigabeanforderungen für Websites eigenverantwortlich bearbeiten, d. h. Anfragen
seiner Gruppe ablehnen oder bestätigen. Um einen Gruppenleiter zu definieren, wählen Sie in den Webfiltereinstellungen den Bereich „Gruppen“ aus. Dort klicken Sie auf die Gruppe, für welchen Sie
einen  Gruppenleiter  festlegen  möchten  und  geben  im  rechten  Menüfeld  die  E-Mailadresse  des Gruppenleiters an (siehe Abbildung 6). 




Dies ist nützlich, weil Administratoren den Nutzen einer bestimmten Website für eine Abteilung oder Tätigkeit unter Umständen nicht korrekt einschätzen können. Die Freigabe solcher Websites nimmt
der  Gruppenleiter  ggf.  per  Link  direkt  aus  der  per  E-Mail  erhaltenen  Freigabeanforderung  vor (Abbildung 7). 




3.2 Definition von Pausenzeiten



Für Gruppen lassen sich Pausenzeiten definieren, in denen abweichende Filterregeln gelten können. Um eine Pausenzeit für eine Gruppe einzustellen, wählen Sie diese aus, setzen mit den Schiebereglern
einen Zeitraum für eine Pausenzeit fest und klicken auf „Pausenzeiten  hinzufügen“. Nach dem Speichern wird Ihre Einstellung übernommen (Abbildung 8).

3.3 Anwendungskontrolle für Gruppenrichtlinien nutzen

Achtung: nur mit Hornetsecurity Connector nutzbar!


Mit  der  Anwendungskontrolle  kann  der  Internet-Zugriff  für  bestimmte  Anwendungen  wie  z.B. Messenger  (Skype,  MSN,  ICQ,…)  komplett  gesperrt,  freigeschaltet  oder  in  den  Pausenzeiten  für
Benutzer verfügbar gemacht werden (Abbildung 9). Wählen Sie hierzu aus der Anwendungskontrolle die  gewünschte  Anwendung  aus  und  setzen  die  Einstellung  auf  „erlaubt“,  „gesperrt“  oder
„Pausenzeiten“. Die Liste unterstützter Anwendungen ist erweiterbar. Bitte wenden Sie sich bei Bedarf an den Hornetsecurity Support.


3.4 Freigabe der Kategorie -Sperrung durch Gruppenleiter erlauben

Sofern für eine Gruppe ein Gruppenleiter festgelegt wurde, kann diesem von einem Administrator gezielt  die  Erlaubnis  erteilt  werden,  die  gesetzten  Einstellungen  für  einzelne  Kategorien  oder
Unterkategorien zu überschreiben. Dies wird durch Klick auf das angezeigte Schlosssymbol geregelt, welches dann entsprechend die Farbe ändert: Ein grünes Schloss zeigt eine erlaubte Veränderung
durch Gruppenleiter an, ein rotes Schloss das Verbot von Veränderungen durch den Gruppenleiter (Abbildung 3).  

Hinweis: Dieses Verbot ist wichtig für Kategorien, welche die Systemsicherheit betreffen (z. B. „Spam->Phishing“)  oder  solche,  die  mögliche  Rechtsverstöße  bedeuten  (z.  B.  Freigabe  von  freizügigen
Inhalten für minderjährige Mitarbeiter).


4. Clients einrichten 

4.1 HTTPS-Zertifikate installieren

Sofern Sie wie im Punkt 1.2 beschrieben mit dem Webfilter auch per SSL verschlüsselte Verbindungen (HTTPS) öffnen und durchsuchen wollen, benötigen Sie das Zertifikat zur Installation auf den ClientPCs.  Um  dieses  Zertifikat  abzurufen  und  zu  installieren,  folgen  Sie  dem  Link  „Download  HTTPSZertifikat“ im Control Panel in den Webfiltereinstellungen (siehe auch Abbildung 1).
Nach Aufruf des Links erfolgt eine Sicherheitsabfrage, in der Sie mehrere Optionen zum Vertrauen dieses neuen Zertifikates haben. Bestätigen Sie alle Optionen. Nach Bestätigung dieser
Sicherheitsabfrage wird diesem HTTPS-Zertifikat zukünftig vertraut, so dass alle durch den Webfilter gefilterten Verbindungen problemlos angezeigt werden können. Hinweis: Um das Zertifikat zu verteilen, kann dieses auch vom Hornetsecurity Support angefordert werden.

4.2 Konfiguration der Proxy.pac auf den Clients


Um den Webfilter nutzen zu können, müssen Sie in Ihren Browser-  oder Systemeinstellungen die Proxy-Konfiguration für Ihre Internetverbindung festlegen. In Windows finden Sie zum Beispiel die
Proxyeinstellungen unter „Systemeinstellungen->Internetoptionen->Verbindungen->LAN Einstellungen“  (Abbildung  10). Tragen Sie die URL für Ihre Domain (diese finden Sie in den
Webfiltereinstellungen im Control Panel (Abbildung 1) als automatisches Konfigurationsskript ein (Abbildung 11).




4.3 Hornetsecurity Connector

Mit Hilfe des Hornetsecurity Connectors werden die Nutzer-Clients, auf denen der Connector zuvor installiert  wurde, automatisch gegenüber dem Webfilter authentifiziert. Die Nutzer werden, unabhängig  ob  diese  sich  im  Firmennetz oder außerhalb des Internets befinden, automatisch authentifiziert.

Die Installationsanweisung für den Hornetsecurity Connector folgt anschließend in Punkt 5 in diesem Dokument.


5. Konfiguration des Hornetsecurity Connectors

Der  Hornetsecurity  Connector,  ein  kleines  Software-Plugin,  dient  der  Identifikation  von  Benutzern gegenüber dem Hornetsecurity Webfilter, ohne dass Benutzer dafür ihren Benutzernamen oder ein
Passwort  eingeben  müssen.  Der  Einsatz  des  Hornetsecurity  Connectors  erleichtert  dadurch  die Verwendung verschiedener Richtlinien zur Webfilter-Nutzung im Unternehmen. 

Der Hornetsecurity Connector ist derzeit für folgende Plattformen verfügbar:
  • Windows XP (32 Bit)
  • Windows Vista (32 und 64 Bit)
  • Windows 7 (32 und 64 Bit)
  • Windows Server 2003 (32 und 64 Bit, auch Terminalserver)
  • Windows Server 2008 (32 und 64 Bit, auch Terminalserver)

5.1 Download des Hornetsecurity Connectors

Zum Download des Hornetsecurity Connectors müssen Sie als Administrator oder Partner am Hornetsecurity Control Panel angemeldet sein. Den Download-Link finden Sie im Bereich „Webfilter“
in der Domainverwaltung im Management, wo Sie auch die Einstellungen für den Webfilter konfigurieren (Abbildung 12).


Wichtiger  Hinweis  für  Hornetsecurity  Partner: Bitte  achten  Sie  darauf,  als  Partner  immer  den Downloadlink innerhalb der  entsprechenden der Kundendomain auszuwählen, für welche Sie den
Hornetsecurity Connectors einrichten möchten. Durch die Download-Anforderung wird automatisch eine für jeden Kunden individualisierte Version des Hornetsecurity Connectors erzeugt.
Öffnen Sie nach dem Download die ZIP-Datei und starten Sie die für Ihr System bestimmte MSI-Datei (Abbildung 13: „aConnectorSetup-x86.msi“ für 32-Bit-Systeme und  „aConnectorSetup-x64.msi“ für 64-Bit-Systeme). Wenn Sie den Webfilter über eine eigene Hornetsecurity Managed Appliance nutzen, beachten Sie bitte die zu tätigenden Änderungen (zusätzliche Appliance IP) in der Konfigurationsdatei
(„connector.cfg“), bevor Sie die Installation starten (Punkt 5.2).



5.2 Konfiguration der connector.cfg

Sofern Sie den Hornetsecurity Webfilter über eine Hornetsecurity Managed Appliance nutzen, tragen Sie in der  „connector.cfg“-Datei die IP-Adressen Ihrer Appliance ein (Abbildung 14). Die IP-Adressen
müssen kommasepariert angegeben werden:



5.3 Installation und automatische Verteilung des Hornetsecurity Connectors

Die Installation des Hornetsecurity Connectors auf Client-Systemen ist einzeln von Hand möglich. Für die Installation benötigen Sie zwingend Administratorrechte. Die connector.cfg muss sich im gleichen
Verzeichnis wie die MSI-Dateien befinden.

Komfortabler ist eine Verteilung der Software über die Gruppenrichtlinien Ihrer Serverumgebung. Dazu hinterlegen Sie das passende MSI-Paket auf einer von den Zielcomputern erreichbaren
Netzwerkfreigabe  Legen Sie die connector.cfg, welche die ConnectorID enthält, in das gleiche Verzeichnis. 

Die Installation erfolgt per „Computer“. Ordnen Sie dafür alle gewünschten „Computerkonten“ einer Organisations-Einheit  (OU)  zu  und  weisen  Sie  dieser  eine  neue  oder  schon  vorhandene
Gruppenrichtlinie zu. Bearbeiten Sie dann diese Gruppenrichtlinie und fügen Sie unter „Computerkonfiguration“–> „Richtlinien“–> „Softwareeinstellungen“ das MSI-Paket für den Hornetsecurity Connector hinzu. Mit „gpupdate /force“können Sie die Aktualisierung der lokalen Gruppenrichtlinie erzwingen. Die Gruppenrichtlinien von Remoterechnern werden beim Start (PC-GPO) oder einem Login (Benutzernamen-GPO) aktualisiert.

5.4 Konfiguration der SAM Account Names / Abgleich per LDAP


Nachdem der Connector auf die Geräte verteilt wurde, kann die Organisation (bzw. Domainmitgliedschaft) schon authentifiziert werden. Lediglich die Zuordnung des SAM Account Namen zu den Konten kann zusätzlich erfolgen, wenn die Benutzer bekannt sind und mit individuellen Zugriffsrechten ausgestattet werden sollen. Ohne eine Zuweisung des SAM Account Names kann ein
Benutzer  nicht  zugeordnet  werden  und  surft  nur  über  die  Default-Gruppeneinstellung  seiner zugehörigen Domain.

5.4.1 Manuelle Zuweisung:

Tragen Sie im Hornetsecurity Control Panel für jeden Webfilter-Nutzer den von ihm in der WindowsAnmeldung genutzten Benutzernamen als SAM Account Namen ein (Abbildung 15). Dies ermöglicht
dem  Hornetsecurity  Webfilter  die  Zuordnung  der  Benutzer  zu  ihrem  benutzer-  oder gruppenspezifischen Profil. Wenn der Benutzer nicht vorhanden ist, können Sie diesen neu anlegen.


5.4.2 Synchronisieren der SAM Account Names mit dem LDAP Verzeichnisdienst:

Optional können die SAM Account Names aus Ihrem Active Directory (AD) über LDAP mit den Daten im Hornetsecurity Control Panel synchronisiert werden. Wenn Sie eine Synchronisierung  über LDAP
wünschen,  setzen  Sie  sich  bitte  mit  dem  Hornetsecurity  Support  in  Verbindung (support@hornetsecurity.com).