Wechseln zu:Navigation, Suche
Wiki

UTM/KB/APP/HTTP Proxy-Windows: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
 
(4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
==Windows Updates durch den HTTP-Proxy und den Webfilter==
{{Set_lang}}
Für Windows-Updates werden einige Microsoft-Server aufgerufen, die die einzelnen Dateien zur Verfügung stellen. Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es keine Regeln gibt, die Webseitenaufrufe Reglementieren.


In einer Netzwerkumgebung können diese fehlenden Regeln aber schnell negative Auswirkungen haben, so dass es ratsam ist, den Datenverkehr über den Portfilter und die Proxys zu filtern und so Schadsoftware so wenig Angriffsfläche wie möglich zu bieten und sich auszubreiten.
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/KB/APP/HTTP Proxy-Windows.lang}}


Eine gute Firewall Konfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, wie er auch wirklich benötigt. Das bedeutet für die meisten Benutzer, die auf Webseiten im Internet zugreifen, dass diese über den HTTP-Proxy geleitet werden, so dass  Webseiten aufrufe über den Webfilter geregelt und die Datenpakete auf Viren gescannt werden.  
</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
{{Header|12.6.0|
* {{#var:neu--rwi}}
|[[UTM/KB/APP/HTTP_Proxy-Windows_v11.7 | 11.7]]
}}
----


Windows verwendet ein Systemkonto um sich mit den Microsoft-Servern zu verbinden und die Updates herunter zu laden. Hierbei ist es weder möglich einen Proxy einzutragen noch eine Authentifizierung gegenüber dem HTTP-Proxy anzuwenden.


In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Windowsupdate über den HTTP-Proxy und den Webfilter zulassen, wenn in den Windows Interneteinstellungen, beziehungsweise den einzelnen Anwendungen, die UTM als Proxy eingetragen wird, diese also nicht als transparenter Proxy dazwischen steht.
=== {{#var:Einleitung}} ===
<div class="einrücken">
{{#var:Einleitung--desc}}
</div>
----


===Szenario 1: Standard Proxy ohne Authentifizierung===
====Webfilter====
[[Datei:UTM116_AI_AWFmsupdrule2.png|200px|thumb|right|Webfilterregel]]
[[Datei:UTM116_AI_AWFmsupdrule2nwprof.png|200px|thumb|right|Webfilterprofil mit Regel]]
In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im '''Webfilter''' nur die für das Windows-Update benötigten Webseiten freigegeben werden. Diese werden folgendermaßen in einer '''Webfilterregel''' eingetragen:


'''*windowsupdate.microsoft.com/*'''<br>
{{h3|{{#var:Standard Proxy ohne Authentifizierung}}|{{#var:Szenario 1: Standard Proxy ohne Authentifizierung}} }}
'''*update.microsoft.com/*'''<br>
'''*.windowsupdate.com/*'''<br>
'''*download.microsoft.com/*'''<br>
'''*test.stats.update.microsoft.com/*'''<br>
'''www.msftncsi.com/ncsi*'''<br>
'''*ntservicepack.microsoft.com/*'''


Die Sterne vor und nach den URLs sind Wildcards.
==== Webfilter ====
{{Bild| {{#var:Webfilter Regel erstellen--Bild}} |{{#var:Webfilterregel}}||{{#var:Regelsatz hinzufügen}}|{{#var:Anwendungen}}|Webfilter|icon=fa-copy|icon-text={{#var:Regelsatz kopieren}}|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close|class=Bild-t}}
<div class="einrücken">
{{#var:Webfilter Regel erstellen--desc}}
<br>
{{#var:Auflistung Seiten Zugriff}}


Nachdem diese URLs über das URL Feld des Regelsatzes hinzugefügt wurden, werden diese auf ‘‘zulassen‘‘ geschaltet.
{{Einblenden| {{#var:Auswahl typischer Weise freizugebender URLs anzeigen}} | {{#var:hide}} |true|dezent}}
Als letzten Eintrag in der Liste wird in das URL Feld zwei Sterne ** eingetragen und die Regel wird auf ‘‘blockieren‘‘ geschaltet. Damit werden alle URLs Blockiert, die nicht vor der letzten Regel im Regelsatz als zugelassen eingetragen sind.
*'''*windowsupdate.microsoft.com/*'''
*'''*update.microsoft.com/*'''
*'''*.windowsupdate.com/*'''
*'''*download.microsoft.com/*'''
*'''*test.stats.update.microsoft.com/*'''
*'''www.msftncsi.com/ncsi*'''<br>
*'''*ntservicepack.microsoft.com/*'''
*'''*.delivery.mp.microsoft.com/*'''
<br>
{{#var:Die Sterne vor und nach den URLs sind Wildcards}}
</div></div><br clear=all>


Dieser Regelsatz wird abgespeichert und in unserem Beispiel dem Profil der Netzwerkgruppe ''internal-networks'' hinzugefügt. Der Regelsatz ‘‘security‘‘ kann in diesem Profil entfernt werden, da alle anderen URLs ja durch diesem Regelsatz ohnehin nicht zugelassen werden.
{{Bild| {{#var:Webfilter Regel Übersicht--Bild}} |{{#var:Webfilterprofil mit Regel}}||Webfilter|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=Webfilter Log|icon2=fa-save|class=Bild-t}}
{{#var:Webfilter Regel Übersicht--desc}}
</div><br clear=all>


Das Menü für den Webfilter befindet sich unter dem Menüpunkt Anwendungen.<br>
Ebenfalls unter Anwendungen wird das Menü '''HTTP-Proxy''' aufgerufen.


Hier muss zunächst überprüft werden ob der Transparente Modus aktiviert ist und es eine Regel gibt, mit der Datenpakete, die von der Quelle ''internal-network'', mit dem Ziel ''internet'' und dem Protokoll ''HTTP'' über den Proxy leiten soll.
==== {{#var:Virenscanner}} ====
====Virenscanner====
{{Bild|{{#var:Virenscanner Whitelist--Bild}}|{{#var:Virenscanner Whitelist}}||{{#var:HTTP-Proxy}}|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save|class=Bild-t}}
Genau wie die Updates der lokalen Virenscanner, mögen auch die Microsoft Update Pakete nicht von einem Virenscanner überprüft werden.
<div class="einrücken">
{{#var:Virenscanner--desc}}
<br>
<p>{{#var:Auflistung Seiten Zugriff}}</p>


[[Datei:UTM116_AI_HPVSmsupdausn.png|200px|thumb|right|Virenscanner Whitelist]]
{{Einblenden| {{#var:Auswahl typischer Weise freizugebender URLs anzeigen}} | {{#var:hide}} |true|dezent}}
Daher müssen hier auch noch die URLs der Microsoft Update-Server in die Webseiten-Whitelist des Virenscanner hinzugefügt werden. Zu beachten ist an dieser Stelle, dass es sich hierbei um reguläre Ausdrücke, sogenannte Regular Expressions, handelt, bei der einige Zeichen zusätzliche Bedeutungen haben. Diese Sonderbedeutungen werden mit einem Backslash \ vor dem Zeichen entfernt werden. Zum Beispiel kann ein Punkt ein Platzhalter für jedes beliebige Zeichen sein. <br>
*'''^[^:]*://[^\.]*\.windowsupdate\.microsoft\.com/'''
Die regulären Ausdrücke für die Microsoft URLs im '''Virenscanner''' lauten folgendermaßen:
*'''^[^:]*://[^\.]*\.update\.microsoft\.com/'''
*'''^[^:]*://[^\.]*\.download\.microsoft\.com/'''
*'''^[^:]*://[^\.]*\.windowsupdate\.com/'''
</div></div></span>
<br clear=all>
</div>
----


'''^[^:]*://[^\.]*\.windowsupdate\.microsoft\.com/'''<br>
'''^[^:]*://[^\.]*\.update\.microsoft\.com/'''<br>
'''^[^:]*://[^\.]*\.download\.microsoft\.com/'''<br>
'''^[^:]*://[^\.]*\.windowsupdate\.com/'''<br>


===Szenario 2: Standard Proxy mit Authentifizierung über NTLM===
{{h3|{{#var:Standard Proxy mit Authentifizierung über NTLM}}|{{#var:Szenario 2: Standard Proxy mit Authentifizierung über NTLM}} }}
====Authentifizierungsausnahme====
[[Datei:UTM116_AI_HPmsupdaausn.png|200px|thumb|right|Webfilterprofil mit Regel]]
Der Webfilter und Virenscanner wird hierbei genauso konfiguriert wie im Szenario 1, zusätzlich werden aber '''Authentifizierungsausnahmen''' benötigt, da sich das Windows Systemkonto gegenüber dem Proxy nicht authentifizieren kann. Daher müssen die aufgerufenen URLs auch hier wieder definiert werden. Auch das geschieht hier wieder mit regulären Ausdrücken:


'''.*\.update\.microsoft\.com'''<br>
==== {{#var:Authentifizierungsausnahme}} ====
'''.*\.windowsupdate\.microsoft\.com'''<br>
{{Bild| {{#var:Authentifizierungsausnahme--Bild}} |{{#var:Webfilterprofil mit Regel}}||{{#var:HTTP-Proxy}}|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save|class=Bild-t}}
'''.*\.windowsupdate\.com'''<br>
<div class="einrücken">
'''.*\.download\.microsoft\.com'''<br>
{{#var:Authentifizierungsausnahme--desc}}
'''www\.msftncsi\.com'''<br>
<br>
{{#var:Webfilter Regel erstellen--desc}}
<p>{{#var:Auflistung Seiten Zugriff}}</p>


Da an dieser Stelle nicht mehr auf das Protokoll HTTP oder HTTPS geschaut wird, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.
{{Einblenden| {{#var:Auswahl typischer Weise freizugebender URLs anzeigen}} | {{#var:hide}} |true|dezent}}
*'''.*\.update\.microsoft\.com'''
*'''.*\.windowsupdate\.microsoft\.com'''
*'''.*\.windowsupdate\.com'''
*'''.*\.download\.microsoft\.com'''
*'''www\.msftncsi\.com'''
</div></div></span>
<br>
{{#var:Da an dieser Stelle nicht mehr}}
<br clear=all></div>
----


===Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz des SSL-Interception===
====SSL-Interception====
[[Datei:UTM116_AI_HPSSLImsupdausn.png|200px|thumb|right|SSL-Interception Ausnahmen]]
Wenn der '''SSL-Interception''' zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Microsoft Server als '''Ausnahmen für SSL-Interception''' hinterlegt werden.<br>
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.


'''.*\.update\.microsoft\.com'''<br>
{{h3|{{#var:Standard Proxy mit Authentifizierung über NTLM und SSL-Interception}}|{{#var:Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz des SSL-Interception}} }}
'''.*\.windowsupdate\.microsoft\.com'''<br>
'''.*\.windowsupdate\.com'''<br>
'''.*\.download\.microsoft\.com'''<br>
'''www\.msftncsi\.com'''<br>


Der Webfilter, Virenscanner und die Authentifizierungsausnahme wird hier natürlich genauso eingerichtet wie auch schon in den Szenarien 1 und 2.
==== SSL-Interception ====
{{Bild|{{#var:SSL-Interception--Bild}}|{{#var:SSL-Interception Ausnahmen}}||{{#var:HTTP-Proxy}}|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save|class=Bild-t}}
<div class="einrücken">
{{#var:SSL-Interception--desc}}
<br>
{{#var:Webfilter Regel erstellen--desc}}
<p>{{#var:Auflistung Seiten Zugriff}}</p>
 
{{Einblenden| {{#var:Auswahl typischer Weise freizugebender URLs anzeigen}} | {{#var:hide}} |true|dezent}}
*'''.*\.update\.microsoft\.com'''
*'''.*\.windowsupdate\.microsoft\.com'''
*'''.*\.windowsupdate\.com'''
*'''.*\.download\.microsoft\.com'''
*'''www\.msftncsi\.com'''
</div></div></span>
<br clear=all></div>

Aktuelle Version vom 18. Juni 2024, 07:26 Uhr

















































De.png
En.png
Fr.png








Windows Updates durch den HTTP-Proxy und den Webfilter
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.7


Einleitung

Für Windows-Updates werden einige Microsoft-Server aufgerufen, die die einzelnen Dateien zur Verfügung stellen. Ist ein Windows-Client direkt mit dem Internet verbunden, stellt dieses kein Problem dar, da es keine Regeln gibt, die Webseitenaufrufe reglementieren.

In einer Netzwerkumgebung können diese Regeln schnell negative Auswirkungen haben, so dass es ratsam ist, den Datenverkehr über die Portfilter und Proxys zu filtern, um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.

Eine gute Firewall Konfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, wie er auch wirklich benötigt. Das bedeutet für die meisten Benutzer, die auf Webseiten im Internet zugreifen, dass diese über den HTTP-Proxy geleitet werden, sodass Webseitenaufrufe über den Webfilter geregelt und die Datenpakete auf Viren gescannt werden.

Windows verwendet ein Systemkonto, um sich mit den Microsoft-Servern zu verbinden und die Updates herunterzuladen. Hierbei ist es weder möglich, einen Proxy einzutragen noch eine Authentifizierung gegenüber dem HTTP-Proxy anzuwenden.

In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Windowsupdate über den HTTP-Proxy und den Webfilter zulassen, wenn in den Windows Interneteinstellungen, beziehungsweise den einzelnen Anwendungen, die UTM als Proxy eingetragen wird, diese also nicht als transparenter Proxy dazwischen steht.


Standard Proxy ohne Authentifizierung

Szenario 1: Standard Proxy ohne Authentifizierung

Webfilter

Regelsatz hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenWebfilter Regelsatz kopieren UTM v12.6 HTTP Proxy-Windows Szenario 1 Regelsatz hinzufuegen.pngWebfilterregel

In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im Webfilter nur die für das Windows-Update benötigten Webseiten freigegeben werden.
Eine Auflistung, auf welche Seiten Zugriff benötigt wird findet sich auf diesen Seiten:

  • *windowsupdate.microsoft.com/*
  • *update.microsoft.com/*
  • *.windowsupdate.com/*
  • *download.microsoft.com/*
  • *test.stats.update.microsoft.com/*
  • www.msftncsi.com/ncsi*
  • *ntservicepack.microsoft.com/*
  • *.delivery.mp.microsoft.com/*


Die Sterne vor und nach den URLs sind Wildcards.


Webfilter UTMbenutzer@firewall.name.fqdnAnwendungen Webfilter Log UTM v12.6 HTTP Proxy-Windows Szenario 1 Uebersicht.pngWebfilterprofil mit Regel

  • Nachdem entsprechende URLs über das URL Feld des Regelsatzes hinzugefügt wurden, werden diese auf ‘‘zulassen‘‘ geschaltet.
  • Als letzten Eintrag in der Liste wird in das URL Feld zwei Sterne ** eingetragen und die Regel wird auf ‘‘blockieren‘‘ geschaltet. Damit werden alle URLs blockiert, die nicht vor der letzten Regel im Regelsatz als zugelassen eingetragen sind.
  • Dieser Regelsatz wird abgespeichert und in unserem Beispiel dem Profil der Netzwerkgruppe internal-networks hinzugefügt.
  • Der Regelsatz ‘‘security‘‘ kann in diesem Profil entfernt werden, da alle anderen URLs ja durch diesem Regelsatz ohnehin nicht zugelassen werden.
  • Das Menü für den Webfilter befindet sich unter dem Menüpunkt Anwendungen.
  • Ebenfalls unter Anwendungen wird das Menü HTTP-Proxy aufgerufen. Hier muss zunächst überprüft werden ob der Transparente Modus aktiviert ist und es eine Regel gibt, mit der Datenpakete, die von der Quelle internal-network, mit dem Ziel internet und dem Protokoll HTTP über den Proxy leiten soll.



Virenscanner

HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log UTM v12.6 HTTP Proxy-Windows Szenario 1 Virenscanner.pngVirenscanner Whitelist

Genau wie die Updates der lokalen Virenscanner, mögen auch die Microsoft Update Pakete nicht von einem Virenscanner überprüft werden.

Daher müssen hier auch noch die URLs der Microsoft Update-Server in die Webseiten-Whitelist des Virenscanner hinzugefügt werden. Zu beachten ist an dieser Stelle, dass es sich hierbei um reguläre Ausdrücke, sogenannte Regular Expressions, handelt, bei der einige Zeichen zusätzliche Bedeutungen haben. Diese Sonderbedeutungen werden mit einem Backslash \ vor dem Zeichen entfernt werden. Zum Beispiel kann ein Punkt ein Platzhalter für jedes beliebige Zeichen sein.


Eine Auflistung, auf welche Seiten Zugriff benötigt wird findet sich auf diesen Seiten:

  • ^[^:]*://[^\.]*\.windowsupdate\.microsoft\.com/
  • ^[^:]*://[^\.]*\.update\.microsoft\.com/
  • ^[^:]*://[^\.]*\.download\.microsoft\.com/
  • ^[^:]*://[^\.]*\.windowsupdate\.com/



Standard Proxy mit Authentifizierung über NTLM

Szenario 2: Standard Proxy mit Authentifizierung über NTLM

Authentifizierungsausnahme

HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log UTM v12.6 HTTP Proxy-Windows Szenario 2 Authentifizierungsausnahme.pngWebfilterprofil mit Regel

Der Webfilter und Virenscanner wird hierbei genauso konfiguriert wie im Szenario 1, zusätzlich werden aber Authentifizierungsausnahmen benötigt, da sich das Windows Systemkonto gegenüber dem Proxy nicht authentifizieren kann. Daher müssen die aufgerufenen URLs auch hier wieder definiert werden. Auch das geschieht hier wieder mit regulären Ausdrücken:
In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im Webfilter nur die für das Windows-Update benötigten Webseiten freigegeben werden.

Eine Auflistung, auf welche Seiten Zugriff benötigt wird findet sich auf diesen Seiten:

  • .*\.update\.microsoft\.com
  • .*\.windowsupdate\.microsoft\.com
  • .*\.windowsupdate\.com
  • .*\.download\.microsoft\.com
  • www\.msftncsi\.com


Da an dieser Stelle nicht mehr auf das Protokoll HTTP oder HTTPS geschaut wird, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.



Standard Proxy mit Authentifizierung über NTLM und SSL-Interception

Szenario 3: Standard proxy with authentication via NTLM and use of SSL interception

SSL-Interception

HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log UTM v12.6 HTTP Proxy-Windows Szenario 3 SSL-Interception.pngSSL-Interception Ausnahmen

Wenn der SSL-Interception zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Microsoft Server als Ausnahmen für SSL-Interception hinterlegt werden.
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.
In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im Webfilter nur die für das Windows-Update benötigten Webseiten freigegeben werden.

Eine Auflistung, auf welche Seiten Zugriff benötigt wird findet sich auf diesen Seiten:

  • .*\.update\.microsoft\.com
  • .*\.windowsupdate\.microsoft\.com
  • .*\.windowsupdate\.com
  • .*\.download\.microsoft\.com
  • www\.msftncsi\.com
Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/KB/APP/HTTP_Proxy-Windows&oldid=91952