v8.01 (build: May 23 2024)

Мережевий драйвер

Мережевий драйвер використовується для перехоплення та контролю мережевого трафіку на низькому рівні.
При відключенні не буде перехоплення мережевих даних.
За замовчуванням (неявно) для перехоплення додані процеси популярних браузерів, поштових клієнтів, месенджерів, а також стандартні порти протоколів, що підтримуються (SMTP, POP3, HTTP (S), FTP (S)). Можна додати нестандартні TCP-порти для моніторингу (наприклад, під час використання проксі), а також виключити деякі порти. Аналогічно і з процесами, котрим проводиться моніторинг. Всі дані потрібно вказувати через кому списком.

На відміну від програм (процесів), запущених користувачем, мережний драйвер перехоплює трафік від усіх служб (що зроблено головним чином для підтримки перехоплення трафіку під час використання деяких антивірусів), однак бувають ситуації, коли деякі служби потрібно додати у винятки і не перехоплювати. У виключення служб потрібно додавати exe-файли служб (не імена служб!), а також допускаються маски. Наприклад, *.* повністю заборонить моніторинг трафіку від усіх служб.

Опцію блокування протоколу QUIC рекомендується використовувати для коректного перехоплення даних у сервісах Google.

Важливо відзначити, що для перехоплення зашифрованого (SSL) трафіку використовується установка в систему кореневого сертифіката під назвою . При цьому деякі програми використовують свою базу кореневих сертифікатів, тому можуть видавати попередження.
Наприклад, браузер Яндекс (процес browser.exe) видає попередження у будь-якому випадку.
Для більшості браузерів та поштових клієнтів попереджень не буде якщо клієнт був встановлений коли вікна цих додатків були закриті. Інакше потрібно перезавантажити клієнтську машину, або завершити сеанс, або ж додати сертифікат у довірені у самому додатку у вікні попередження.

У виключеннях можна додати IP-адреси або імена хостів, для яких не буде використовуватися драйвер мережі. Зазвичай це потрібно робити для сайтів, які чутливі до заміни SSL-сертифіката.
Кожен виняток у списку має починатися з нового рядка.
Можна вказувати DNS-ім'я (допускаються маски "*" і "?"), точна IP-адреса (IPv4/IPv6), IP-адреса з масками, а також діапазони адрес (лише IPv4).
Приклади:
134.17.23.*
192.168.1.15-192.168.1.20
10.10.1.5
*.dep.domain.com

Важливо відзначити, що для перехоплення URL-адрес в браузерах для звітів мережевий драйвер не використовується!

У старих ОС - Windows XP та Windows 7 (без виконаного Windows Update) драйвер працювати не буде!

Увага при використанні антивірусів! Дуже рідко трапляється конфліктна ситуація, коли відразу після встановлення клієнта блокується мережевий трафік, у цьому випадку потрібно виконати перезавантаження. Якщо ж використовується віддалена установка на групу машин, можна попередньо увімкнути опцію "Активувати драйвер тільки після перезавантаження", у цьому випадку конфлікт буде виключено, але перехоплення почне працювати тільки після перезавантаження клієнтських машин!
Опцію "Завжди використовувати WFP-драйвер" має сенс включати тільки для клієнтських машин з Windows7 і тільки за наявності конфліктів із TDI-драйверами деякого стороннього ПЗ. В даний час такий конфлікт був зафіксований лише для Lotus Notes Sametime чату. Після включення опції та застосування налаштувань необхідно виконати дві перезавантаження клієнтської машини для активації!

© Mirobase