HTTPS 網站的 SSL/TLS 解密

您可以控制我們是否解密網站，以為您的客戶檢查它們。如果您選擇這樣做，您的客戶就無法進行變更。

安全網站 (HTTPS) 已加密，因此我們只能在您允許我們解密內容時才掃描內容。

但是，您可能想將部分或全部網站從解密中排除。這是因為解密可能會讓我們的產品記錄個人資訊並將其顯示在記錄項目中。

如果您開啟 HTTPS 網站的解密功能，我們可能會看到並記錄以下個人資訊：

• 我們會看到完整的 URL（包括 GET 請求使用的任何其他參數）。
• 我們會掃描內容，其中可能包含個人隱私資訊 (PPI)。
• 如果我們偵測到威脅，我們可能會將樣本傳送至 SophosLabs。

Firefox 與解密

Firefox 使用自己的憑證存放區，這會影響 HTTPS 網站的解密。他們也使用自己的 DNS 伺服器，而不使用 Windows DNS 伺服器。

要使解密正常運作，您需要讓 Firefox 信任 Windows 憑證存放區。若要執行此動作，請依照以下步驟操作。

1. 在網址列中輸入 'about:config'，然後按 Enter 鍵。

   可能會出現警告頁面。按一下接受風險並繼續以前往 about:config 頁面。

2. 將 'security.enterprise_roots.enabled' 設爲 True。

   這會告訴 Firefox 信任 Windows 根憑證存放區。

您還需要告訴 Firefox 使用您的 Windows DNS 伺服器。這對於 Web 防護非常重要，因爲它允許我們在 HTTPS 解密關閉時查看 HTTPS 工作階段的伺服器名稱指示 (SNI) 資訊。有關此內容的說明，請參閱 Firefox DNS-over-HTTPS。

開啟或關閉解密

您可以在威脅保護原則中為所有網站開啟或關閉 HTTPS 解密。您必須變更並推送適用於客戶及其裝置的原則。

1. 按一下工作列中的「設定與原則」圖示 。
2. 在全域客戶設定，按一下全域範本。

3. 選取一個範本。

   Note

   這將為該模板中的所有客戶啟用SSL/TLS 解密。

4. 按一下基礎原則。

5. 在端點保護或伺服器保護下，按一下 安全威脅防護。

6. 在「使用 SSL/TLS 解密HTTPS 網站」下，啟用 「使用 SSL/TLS 解密 HTTPS 網站」。

   如果裝置的威脅防護原則中啟用了解密，則該裝置的 Web 控制檢查也會啟用解密功能。

7. 在 基本策略中，按一下 「推送給客戶」。

8. 在 「推播給客戶」 對話方塊中，按一下 「推播」 進行確認。

從解密中排除網站

您可以排除某些 HTTPS 網站或網站類別的解密以保護機密資料。

我們會自動封鎖不使用 TLS 1.2 或更新版本的 HTTPS 網站。大多數 Web 瀏覽器（Chrome、Firefox、Edge）也會自動封鎖這些網頁。

如果發生這種情況，您會收到訊息，指出「根據您的原則，我們已封鎖對此 URL 的存取。託管此 URL 的伺服器所使用的加密不安全。」

您可以為這些網站新增排除項。

有關 Chrome 移除 TLS 1.0 和 1.1 的相關資訊，請參閱 功能：TLS 1.0 和 TLS 1.1（已移除）。

若要排除特定網站的解密，請執行下列動作：

1. 按一下工作列中的「設定與原則」圖示 。
2. 在全域客戶設定，按一下全域範本。

3. 選取一個範本。

   Note

   此範本中，所有客戶的網站均不解密。

4. 點選 全域設置 ，然後點選 HTTPS的SSL/TLS 解密。

5. 檢查從 HTTPS 解密中排除的類別。

   預設情況下，所有列出的類別都會被排除。您可以關閉這些排除項，但無法新增或移除類別。

   要排除特定站點，請繼續執行下一步。

6. 在 從 HTTPS 解密中排除的網站 中，按一下新增排除項。

7. 在 「新增排除項 」對話方塊中，輸入以下詳細資料：

   1. 輸入網域名稱、IP 位址或 IP 位址範圍。
   2. (選擇性) 新增註解以提醒您為何排除網站。
   3. 按一下 新增。

8. 在 HTTPS 的SSL/TLS 解密 頁面上，按一下 「儲存」。