本帖最后由 张尔祥12189 于 2020-8-15 23:42 编辑
一、背景某公司内部有1500多人使用钉钉办公,且除了钉钉能正常使用外,QQ,微信都不能正常使用,公司为了防止内部员工通过钉钉泄漏信息,决定使用上网行为管理管控钉钉的上网权限,不能通过钉钉外发文件(含钉盘,钉钉文档,钉钉传文件),钉邮外发邮件,上传附件,钉钉子功能_考勤,流程审批等功能,其他聊天功能正常使用。 二、配置步骤前提条件: 需要开取SSL全代理识别 Web界面导入识别规则库contchkr.zip MD5:7E8E22896C64A195C6FA29439A88AA37。 1、钉钉软件升级控制 由于钉钉版本更新太快,规则库更新无法及时跟上钉钉版本,导致钉钉拦截策略和审计策略失效,因此通过AC设备将钉钉自动更新阻断。 钉钉软件升级拦截策略:
效果图展示:
2、钉钉外发文件泄密(包含钉盘,钉钉文档,钉钉传文件)控制配置钉钉外发文件拦截策略: 注意:开取SSL内容识别,无控制策略下,偶有发现钉钉PC端的新建文档和表使用显示异常(SSL内容识别导致的异常显示问题)
效果展示图:
3、钉邮外发邮件,上传附件控制配置钉邮[发邮件]+设置钉邮[上传附件]拒绝策略:
效果图展示:
4、钉钉子功能_考勤,流程审批控制配置钉钉_考勤+钉钉审批拒绝策略:
效果展示图: 钉钉_考勤策略拦截:
钉钉_审批策略拦截:
5、钉钉白名单主要功能放通钉钉全部功能,保证钉钉功能正常,聊天,页面显示和功能正常。 配置放通钉钉所有功能:
注意:非关键功能连接,钉钉其他附加项功能自定义应用实现地址 rest.api.amap.com。apilocate.amap.com--签到地图定位高德, mobilegw.alipay.com,ynuf.alipay.com---某公司付款, orange-dc.alibaba.com,& .cnzz.com- 网站后台数据统计 auditd-api.taobao.com&px.ucweb.com--应用数据统计
6、整体组合策略拒绝策略前置,允许策略后置:
|