跳至內容

HTTPS 網站的 SSL/TLS 解密

您可以控制我們是否解密網站,以為您的客戶檢查它們。如果您選擇這樣做,您的客戶就無法進行變更。

注意

如果您的客戶正在參與「新端點保護功能」EAP,他們可以開啟或關閉 HTTPS 網站的解密功能。他們只能對您在此處爲電腦選擇的設定進行變更。他們無法對伺服器進行變更。

限制

此功能僅在 Windows 電腦和伺服器上可用。

安全網站 (HTTPS) 已加密,因此我們只能在您允許我們解密內容時才掃描內容。

但是,您可能想將部分或全部網站從解密中排除。這是因為解密可能會讓我們的產品記錄個人資訊並將其顯示在記錄項目中。

Firefox 與解密

Firefox 使用自己的憑證存放區,這會影響 HTTPS 網站的解密。他們也使用自己的 DNS 伺服器,而不使用 Windows DNS 伺服器。

要使解密正常運作,您需要讓 Firefox 信任 Windows 憑證存放區。若要執行此操作,請依照以下步驟操作。

  1. 在網址列中輸入 'about:config',然後按 Enter 鍵。

    可能會出現警告頁面。按一下接受風險並繼續以前往 about:config 頁面。

  2. 將 'security.enterprise_roots.enabled' 設爲 True。

    這會告訴 Firefox 信任 Windows 根憑證存放區。

您還需要告訴 Firefox 使用您的 Windows DNS 伺服器。這對於 Web 防護非常重要,因爲它允許我們在 HTTPS 解密關閉時查看 HTTPS 工作階段的伺服器名稱指示 (SNI) 資訊。有關此內容的說明,請參閱 Firefox DNS-over-HTTPS

開啟或關閉解密

您可以在威脅保護原則中為所有網站開啟或關閉 HTTPS 解密。您必須變更並推送適用於客戶及其裝置的原則。

  1. 前往設定與原則 > 全域範本
  2. 選取您要變更的範本或複製一個範本以建立新範本。
  3. 檢查相關客戶是否與範本相關聯。
  4. 按一下基礎原則
  5. 請移至端點:威脅保護伺服器:威脅保護
  6. 編輯 HTTPS 網站的 SSL/TLS 解密的設定。

    如果套用至某部裝置的威脅防護原則中開啟了解密,則該原則也將用於同一部裝置中的 Web 控制項檢查。

  7. 推送範本。

從解密中排除網站

您可以排除某些 HTTPS 網站或網站類別的解密以保護機密資料。

我們會自動封鎖不使用 TLS 1.2 或更新版本的 HTTPS 網站。大多數 Web 瀏覽器(Chrome、Firefox、Edge)也會自動封鎖這些網頁。

如果發生這種情況,您會收到訊息,指出「根據您的原則,我們已封鎖對此 URL 的存取。託管此 URL 的伺服器所使用的加密不安全。」

您可以為這些網站新增排除項。

注意

如果您排除網站,安全威脅防護網頁控管 原則中的某些設定(掃描下載或封鎖有風險的檔案類型)將不會套用到網站。但是,我們會執行不需要解密的檢查。

有關 Chrome 移除 TLS 1.0 和 1.1 的相關資訊,請參閱 功能:TLS 1.0 和 TLS 1.1(已移除)

若要排除特定網站的解密,請執行下列動作:

  1. 前往設定與原則 > 全域範本
  2. 選取您要變更的範本或複製一個範本以建立新範本。
  3. 按一下 HTTPS 網站的 SSL/TLS 解密
  4. 檢查從 HTTPS 解密中排除的類別

    預設情況下,所有列出的類別都會被排除。您可以關閉這些排除項,但無法新增或移除類別。

    要排除特定站點,請繼續執行下一步。

  5. 從 HTTPS 解密中排除的網站 中,按一下新增排除項

  6. 新增例外項目 對話方塊中,輸入網站的詳細資料。

    1. 輸入網域名稱、IP 位址或 IP 位址範圍。

    2. 可選:新增註解以提醒您為何排除網站。

    3. 按一下新增

回到頁首