为了防止通过 Authenticode-signed Windows 二进制进行攻击,Web 保护团队已发布了(GAM) DAT 更新,其时间为 Gateway Anti-Malware 2020 年1月16日(1900 UTC),版本6974(或更高版本)。它包含一个新的检测项,名为 “BehavesLike.Win32.MaybeSpoofedCert.*” 对 CVE-2020-0601 的签名二进制文件的利用。客户及使用 GAM (NSP、ATD)的 Web Gateway 其他产品,会自动接收此 DAT 更新。如果更新步法不频繁,您也可以手动触发 DAT 更新。
注意:Web GatewaySSL 扫描程序(HTTPS 代理)会验证证书。它还保护使用 CryptAPI 易受攻击且未修补的 Windows 版本的浏览器-在 SSL 扫描程序后面 Web Gateway 部署的客户端(来自访问使用受伪造证书的页面)。
如何在未使用 SSL 扫描程序时配置 SSL 证书验证
要在不启用 SSL 检查的情况下启用产品的证书验证功能 Web Gateway ,请执行以下步骤。此方法允许 Web Gateway 您通过根据已知和受信任的证书颁发机构列表检查网站的证书来添加其他安全层。此操作会阻止用户访问运行不安全或欺诈证书的网站。
注意:如果您的 HTTPS 扫描(也称为 SSL 扫描或 SSL 检测)已就位,则无需遵循这些说明。 证书验证是 HTTPS 扫描选项规则集,因此证书验证会启用(如果未明确禁用)。 您可以按照以下步骤验证您的策略中是否仍启用证书验证。
重要:强烈建议您导入已受浏览器信任证书颁发机构的现有 证书颁发机构,或生成新的 证书颁发机构 并确保其受您网络中客户端信任。 当拦截连接并需要向客户端显示 HTML 模板时 Web Gateway ,配置的证书颁发机构用于对连接进行签名。有关更多详细信息,
请参阅产品手册。
- Web Gateway访问用户界面。产品文档中提供了访问用户界面的说明。
- 切换到政策选项卡。
- 请确保规则集选项卡位于左上角。
- 下规则集点击添加。在下拉字段中,选择 Top Level 规则集。
- 在打开的对话框中,选择从规则集导入规则集文件。
- 打开类别 HTTPS 扫描 并选择规则 Set https 扫描。
注意: 如果您找不到 HTTPS 扫描,则可能会将该规则集作为 SSL 扫描程序来找到。
选择规则集后, Web Gateway 将为策略中存在的对象验证规则集。由于默认策略"HTTPS 扫描"已存在,因此有可能找到现有列表、设置或规则集。 引用现有对象或创建其他名称的新对象,解决冲突。 对于此特定用例,建议使用 自动解决冲突 向导,并 通过复制和重命名为建议来选择 "解决"。
- 所有冲突解决后,请单击还行以将规则集导入您的策略。
- 导入后,选择解锁视图以从向导切换至基于规则的完整视图。
- 将规则集移到策略顶部。 无需放在策略的顶层。 将系统放置于通常可以找到规则集"HTTPS 扫描"位置。 作为通用建议,在规则集"全局"允许和阻止列表之后,在"通用规则"(如 Web Cache、Openers、进度指示)调用之前。
- 选择HTTPS 扫描,处理连接呼叫规则集。
- 对于规则设置 ClientXt,在右侧,找到通过 CA 启用 SSL 客户端上下文事件。 单击关联的设置以打开此事件的设置。
- 在设置中,您可以执行以下两项操作之一。 导入一个已受信任、计划证书颁发机构。 或者,使用"生成"按钮创建新的 证书颁发机构,需要像之前指示的一样将新客户端推广。
- 选择HTTPS 扫描,内容检测规则集。
- 删除旁边的复选框使在右侧视图规则集,以完全禁用整个内容检测规则集。 请确保左侧窗格上列出所有规则集时变灰。 此操作已完成,否则, Web Gateway 将不仅会执行证书验证,还可以启用内容检查以查看 SSL 连接。您不希望在此阶段启用此检测,而只想启用证书验证。
- 保存更改。
从现在开始,在上的 Web Gateway 证书验证启用。如果用户点击了不受信任的、不安全的或欺骗的证书,则浏览器会显示由 Web Gateway 大纲所生成的 HTML 网站,说明证书存在问题。在这种情况下,该连接通过使用设备签名的证书证书颁发机构在步骤 13 中导入或生成。
有关 "HTTPS 扫描" 的更多详细信息,请参阅产品文档、社区站点或联系技术支持。
- 如果您是注册用户,请键入您的用户 ID 和密码,然后单击 " 登录"。
- 如果您不是注册用户,请单击 " 注册 " 并填写相应的字段,以通过电子邮件将您的密码和说明发送给您。