KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| HTTP-Proxy und Windowsupdates | | HTTP-Proxy und Windowsupdates | ||
| | | HTTP-Proxy and Windows Updates }} | ||
{{ | {{var3 | head | ||
| Windows Updates durch den HTTP-Proxy und den Webfilter | | Windows Updates durch den HTTP-Proxy und den Webfilter | ||
| | | Windows updates through the HTTP-Proxy and the webfilter }} | ||
{{var | Einleitung | {{var | Einleitung | ||
| Einleitung | | Einleitung | ||
| Introduction }} | | Introduction }} | ||
{{var | Einleitung--desc | {{var | Einleitung--desc | ||
| <p>Für Windows-Updates werden einige Microsoft-Server aufgerufen, die die einzelnen Dateien zur Verfügung stellen. Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es keine Regeln gibt, die Webseitenaufrufe | | <p>Für Windows-Updates werden einige Microsoft-Server aufgerufen, die die einzelnen Dateien zur Verfügung stellen. Ist ein Windows-Client direkt mit dem Internet verbunden, stellt dieses kein Problem dar, da es keine Regeln gibt, die Webseitenaufrufe reglementieren.</p> <p>In einer Netzwerkumgebung können diese Regeln schnell negative Auswirkungen haben, so dass es ratsam ist, den Datenverkehr über die Portfilter und Proxys zu filtern, um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.</p> <p>Eine gute Firewall Konfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, wie er auch wirklich benötigt. Das bedeutet für die meisten Benutzer, die auf Webseiten im Internet zugreifen, dass diese über den HTTP-Proxy geleitet werden, sodass Webseitenaufrufe über den Webfilter geregelt und die Datenpakete auf Viren gescannt werden.</p> <p>Windows verwendet ein Systemkonto, um sich mit den Microsoft-Servern zu verbinden und die Updates herunterzuladen. Hierbei ist es weder möglich, einen Proxy einzutragen noch eine Authentifizierung gegenüber dem HTTP-Proxy anzuwenden.</p> <p>In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Windowsupdate über den HTTP-Proxy und den Webfilter zulassen, wenn in den Windows Interneteinstellungen, beziehungsweise den einzelnen Anwendungen, die UTM als Proxy eingetragen wird, diese also nicht als transparenter Proxy dazwischen steht.</p> | ||
| | | <p>Some Microsoft servers are called up for Windows updates, which make the individual files available. If a Windows client is directly connected to the Internet, this is not a problem as there are no rules that regulate website calls.</p> <p>In a network environment, these rules can quickly have negative effects, so it is advisable to filter data traffic via port filters and proxies in order to offer malware as little attack surface as possible.</p> <p>A good firewall configuration is characterized by the fact that each client only gets the permissions it really needs. For most users who access websites on the Internet, this means that they are routed via the HTTP proxy so that website calls are regulated via the webfilter and the data packets are scanned for viruses.</p> <p>Windows uses a system account to connect to the Microsoft servers and download updates. It is neither possible to enter a proxy nor to use authentication against the HTTP proxy.</p> <p>In the following documentation, we present three scenarios that allow the Windows update via the HTTP proxy and the webfilter if the UTM is entered as a proxy in the Windows Internet settings or the individual applications, i.e. it is not interposed as a transparent proxy.</p> }} | ||
{{var | Szenario 1: Standard Proxy ohne Authentifizierung | {{var | Szenario 1: Standard Proxy ohne Authentifizierung | ||
| Szenario 1: Standard Proxy ohne Authentifizierung | | Szenario 1: Standard Proxy ohne Authentifizierung | ||
| | | Scenario 1: Standard proxy without authentication }} | ||
{{var | Standard Proxy ohne Authentifizierung | {{var | Standard Proxy ohne Authentifizierung | ||
| Standard Proxy ohne Authentifizierung | | Standard Proxy ohne Authentifizierung | ||
| | | Standard proxy without authentication }} | ||
{{var | Webfilter Regel erstellen--Bild | {{var | Webfilter Regel erstellen--Bild | ||
| UTM v12.6 HTTP_Proxy-Windows Szenario 1 Regelsatz hinzufuegen.png | | UTM v12.6 HTTP_Proxy-Windows Szenario 1 Regelsatz hinzufuegen.png | ||
| Zeile 26: | Zeile 26: | ||
{{var | Webfilterregel | {{var | Webfilterregel | ||
| Webfilterregel | | Webfilterregel | ||
| | | Webfilter rule }} | ||
{{var | Regelsatz hinzufügen | {{var | Regelsatz hinzufügen | ||
| Regelsatz hinzufügen | | Regelsatz hinzufügen | ||
| | | Add rule set }} | ||
{{var | Anwendungen | {{var | Anwendungen | ||
| Anwendungen | | Anwendungen | ||
| Zeile 35: | Zeile 35: | ||
{{var | Regelsatz kopieren | {{var | Regelsatz kopieren | ||
| Regelsatz kopieren | | Regelsatz kopieren | ||
| | | Copy rule set }} | ||
{{var | Webfilter Regel erstellen--desc | {{var | Webfilter Regel erstellen--desc | ||
| In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im '''Webfilter''' nur die für das Windows-Update benötigten Webseiten freigegeben werden. | | In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im '''Webfilter''' nur die für das Windows-Update benötigten Webseiten freigegeben werden. | ||
| }} | | In this case, the HTTP proxy is used in transparent mode for the system accounts of the clients, in which only the websites required for the Windows update are released in the '''Webfilter'''.}} | ||
{{var | Auswahl typischer Weise freizugebender URLs anzeigen | {{var | Auswahl typischer Weise freizugebender URLs anzeigen | ||
| Auswahl typischer Weise freizugebender URLs im Regex Format anzeigen | | Auswahl typischer Weise freizugebender URLs im Regex Format anzeigen | ||
| | | Display selection of typical URLs to be released in regex format }} | ||
{{var | Die Sterne vor und nach den URLs sind Wildcards | {{var | Die Sterne vor und nach den URLs sind Wildcards | ||
| Die Sterne vor und nach den URLs sind Wildcards. | | Die Sterne vor und nach den URLs sind Wildcards. | ||
| | | The asterisks before and after the URLs are wildcards. }} | ||
{{var | Webfilter Regel Übersicht--Bild | {{var | Webfilter Regel Übersicht--Bild | ||
| UTM v12.6 HTTP_Proxy-Windows Szenario 1 Uebersicht.png | | UTM v12.6 HTTP_Proxy-Windows Szenario 1 Uebersicht.png | ||
| Zeile 50: | Zeile 50: | ||
{{var | Webfilterprofil mit Regel | {{var | Webfilterprofil mit Regel | ||
| Webfilterprofil mit Regel | | Webfilterprofil mit Regel | ||
| | | Webfilter profile with rule }} | ||
{{var | Webfilter Regel Übersicht--desc | {{var | Webfilter Regel Übersicht--desc | ||
| | | | ||
* Nachdem entsprechende URLs über das URL Feld des Regelsatzes hinzugefügt wurden, werden diese auf ‘‘zulassen‘‘ geschaltet. | * Nachdem entsprechende URLs über das URL Feld des Regelsatzes hinzugefügt wurden, werden diese auf ‘‘zulassen‘‘ geschaltet. | ||
* Als letzten Eintrag in der Liste wird in das URL Feld zwei Sterne ** eingetragen und die Regel wird auf ‘‘blockieren‘‘ geschaltet. Damit werden alle URLs | * Als letzten Eintrag in der Liste wird in das URL Feld zwei Sterne ** eingetragen und die Regel wird auf ‘‘blockieren‘‘ geschaltet. Damit werden alle URLs blockiert, die nicht vor der letzten Regel im Regelsatz als zugelassen eingetragen sind. | ||
* Dieser Regelsatz wird abgespeichert und in unserem Beispiel dem Profil der Netzwerkgruppe ''internal-networks'' hinzugefügt. | * Dieser Regelsatz wird abgespeichert und in unserem Beispiel dem Profil der Netzwerkgruppe ''internal-networks'' hinzugefügt. | ||
* Der Regelsatz ‘‘security‘‘ kann in diesem Profil entfernt werden, da alle anderen URLs ja durch diesem Regelsatz ohnehin nicht zugelassen werden. | * Der Regelsatz ‘‘security‘‘ kann in diesem Profil entfernt werden, da alle anderen URLs ja durch diesem Regelsatz ohnehin nicht zugelassen werden. | ||
* Das Menü für den Webfilter befindet sich unter dem Menüpunkt Anwendungen. | * Das Menü für den Webfilter befindet sich unter dem Menüpunkt Anwendungen. | ||
* Ebenfalls unter Anwendungen wird das Menü '''HTTP-Proxy''' aufgerufen. Hier muss zunächst überprüft werden ob der Transparente Modus aktiviert ist und es eine Regel gibt, mit der Datenpakete, die von der Quelle ''internal-network'', mit dem Ziel ''internet'' und dem Protokoll ''HTTP'' über den Proxy leiten soll. | * Ebenfalls unter Anwendungen wird das Menü '''HTTP-Proxy''' aufgerufen. Hier muss zunächst überprüft werden ob der Transparente Modus aktiviert ist und es eine Regel gibt, mit der Datenpakete, die von der Quelle ''internal-network'', mit dem Ziel ''internet'' und dem Protokoll ''HTTP'' über den Proxy leiten soll. | ||
| | | | ||
* After the corresponding URLs have been added via the URL field of the rule set, they are switched to ''allow''. | |||
* As the last entry in the list, two asterisks ** are entered in the URL field and the rule is set to ''block''. This blocks all URLs that are not entered as permitted before the last rule in the rule set. | |||
* This rule set is saved and added to the profile of the ''internal-networks'' network group in our example. | |||
* The ''security'' rule set can be removed in this profile, as all other URLs are not permitted by this rule set anyway. | |||
* The menu for the web filter can be found under the Applications menu item. | |||
* The '''HTTP proxy''' menu is also called up under Applications. Here you must first check whether the transparent mode is activated and whether there is a rule with which data packets from the source ''internal-network'' with the destination ''internet'' and the protocol ''HTTP'' are to be routed via the proxy. }} | |||
{{var | Virenscanner | {{var | Virenscanner | ||
| Virenscanner | | Virenscanner | ||
| | | Virus scanner }} | ||
{{var | Virenscanner Whitelist--Bild | {{var | Virenscanner Whitelist--Bild | ||
| UTM v12.6 HTTP_Proxy-Windows Szenario 1 Virenscanner.png | | UTM v12.6 HTTP_Proxy-Windows Szenario 1 Virenscanner.png | ||
| Zeile 68: | Zeile 74: | ||
{{var | Virenscanner Whitelist | {{var | Virenscanner Whitelist | ||
| Virenscanner Whitelist | | Virenscanner Whitelist | ||
| | | Virus scanner whitelist }} | ||
{{var | HTTP-Proxy | {{var | HTTP-Proxy | ||
| HTTP-Proxy | | HTTP-Proxy | ||
| Zeile 74: | Zeile 80: | ||
{{var | Virenscanner--desc | {{var | Virenscanner--desc | ||
| <p>Genau wie die Updates der lokalen Virenscanner, mögen auch die Microsoft Update Pakete nicht von einem Virenscanner überprüft werden.</p> <p>Daher müssen hier auch noch die URLs der Microsoft Update-Server in die Webseiten-Whitelist des Virenscanner hinzugefügt werden. Zu beachten ist an dieser Stelle, dass es sich hierbei um reguläre Ausdrücke, sogenannte Regular Expressions, handelt, bei der einige Zeichen zusätzliche Bedeutungen haben. Diese Sonderbedeutungen werden mit einem Backslash \ vor dem Zeichen entfernt werden. Zum Beispiel kann ein Punkt ein Platzhalter für jedes beliebige Zeichen sein.</p> | | <p>Genau wie die Updates der lokalen Virenscanner, mögen auch die Microsoft Update Pakete nicht von einem Virenscanner überprüft werden.</p> <p>Daher müssen hier auch noch die URLs der Microsoft Update-Server in die Webseiten-Whitelist des Virenscanner hinzugefügt werden. Zu beachten ist an dieser Stelle, dass es sich hierbei um reguläre Ausdrücke, sogenannte Regular Expressions, handelt, bei der einige Zeichen zusätzliche Bedeutungen haben. Diese Sonderbedeutungen werden mit einem Backslash \ vor dem Zeichen entfernt werden. Zum Beispiel kann ein Punkt ein Platzhalter für jedes beliebige Zeichen sein.</p> | ||
| | | <p>Just like the updates of the local virus scanners, the Microsoft update packages do not like to be checked by a virus scanner.</p> <p>This is why the URLs of the Microsoft update servers must also be added to the whitelist of the virus scanner. It should be noted at this point that these are regular expressions, in which some characters have additional meanings. These special meanings are removed with a backslash \ in front of the character. For example, a dot can be a placeholder for any character.</p> }} | ||
{{var | Szenario 2: Standard Proxy mit Authentifizierung über NTLM | {{var | Szenario 2: Standard Proxy mit Authentifizierung über NTLM | ||
| Szenario 2: Standard Proxy mit Authentifizierung über NTLM | | Szenario 2: Standard Proxy mit Authentifizierung über NTLM | ||
| | | Scenario 2: Standard proxy with authentication via NTLM }} | ||
{{var | Standard Proxy mit Authentifizierung über NTLM | {{var | Standard Proxy mit Authentifizierung über NTLM | ||
| Standard Proxy mit Authentifizierung über NTLM | | Standard Proxy mit Authentifizierung über NTLM | ||
| | | Standard proxy with authentication via NTLM }} | ||
{{var | Authentifizierungsausnahme | {{var | Authentifizierungsausnahme | ||
| Authentifizierungsausnahme | | Authentifizierungsausnahme | ||
| | | Authentication exception }} | ||
{{var | Authentifizierungsausnahme--Bild | {{var | Authentifizierungsausnahme--Bild | ||
| UTM v12.6 HTTP_Proxy-Windows Szenario 2 Authentifizierungsausnahme.png | | UTM v12.6 HTTP_Proxy-Windows Szenario 2 Authentifizierungsausnahme.png | ||
| Zeile 89: | Zeile 95: | ||
{{var | Webfilterprofil mit Regel | {{var | Webfilterprofil mit Regel | ||
| Webfilterprofil mit Regel | | Webfilterprofil mit Regel | ||
| | | Webfilter profile with rule }} | ||
{{var | Authentifizierungsausnahme--desc | {{var | Authentifizierungsausnahme--desc | ||
| Der Webfilter und Virenscanner wird hierbei genauso konfiguriert wie im Szenario 1, zusätzlich werden aber '''Authentifizierungsausnahmen''' benötigt, da sich das Windows Systemkonto gegenüber dem Proxy nicht authentifizieren kann. Daher müssen die aufgerufenen URLs auch hier wieder definiert werden. Auch das geschieht hier wieder mit regulären Ausdrücken: | | Der Webfilter und Virenscanner wird hierbei genauso konfiguriert wie im Szenario 1, zusätzlich werden aber '''Authentifizierungsausnahmen''' benötigt, da sich das Windows Systemkonto gegenüber dem Proxy nicht authentifizieren kann. Daher müssen die aufgerufenen URLs auch hier wieder definiert werden. Auch das geschieht hier wieder mit regulären Ausdrücken: | ||
| | | The webfilter and virus scanner are configured in the same way as in scenario 1, but '''authentication exceptions''' are required, as the Windows system account cannot authenticate itself to the proxy. Therefore, the URLs called up must also be defined here again. This is also done using regular expressions: }} | ||
{{var | Da an dieser Stelle nicht mehr | {{var | Da an dieser Stelle nicht mehr | ||
| Da an dieser Stelle nicht mehr auf das Protokoll HTTP oder HTTPS geschaut wird, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner. | | Da an dieser Stelle nicht mehr auf das Protokoll HTTP oder HTTPS geschaut wird, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner. | ||
| | | As the HTTP or HTTPS protocol is no longer taken into account at this point, these expressions are somewhat shorter than in the virus scanner. }} | ||
{{var | Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz des SSL-Interception | {{var | Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz des SSL-Interception | ||
| Szenario 3: Standard | | Szenario 3: Standard proxy with authentication via NTLM and use of SSL interception }} | ||
{{var | Standard Proxy mit Authentifizierung über NTLM und SSL-Interception | {{var | Standard Proxy mit Authentifizierung über NTLM und SSL-Interception | ||
| Standard Proxy mit Authentifizierung über NTLM und SSL-Interception | | Standard Proxy mit Authentifizierung über NTLM und SSL-Interception | ||
| | | Standard proxy with authentication via NTLM and SSL interception }} | ||
{{var | SSL-Interception--Bild | {{var | SSL-Interception--Bild | ||
| UTM v12.6 HTTP_Proxy-Windows Szenario 3 SSL-Interception.png | | UTM v12.6 HTTP_Proxy-Windows Szenario 3 SSL-Interception.png | ||
| Zeile 107: | Zeile 112: | ||
{{var | SSL-Interception Ausnahmen | {{var | SSL-Interception Ausnahmen | ||
| SSL-Interception Ausnahmen | | SSL-Interception Ausnahmen | ||
| | | SSL interception exceptions }} | ||
{{var | SSL-Interception--desc | {{var | SSL-Interception--desc | ||
| Wenn der '''SSL-Interception''' zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Microsoft Server als '''Ausnahmen für SSL-Interception''' hinterlegt werden.<br> Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet. | | Wenn der '''SSL-Interception''' zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Microsoft Server als '''Ausnahmen für SSL-Interception''' hinterlegt werden.<br> Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet. | ||
| | | If the '''SSL interception''' is used to also check the encrypted data packets for malware, the Microsoft servers must also be stored here as '''Exceptions for SSL interception''''.<br> The same expressions are used for this as for the authentication exception. }} | ||
{{var | Der Webfilter Virenscanner und die Authentifizierungsausnahme | {{var | Der Webfilter Virenscanner und die Authentifizierungsausnahme | ||
| Der Webfilter, Virenscanner und die Authentifizierungsausnahme wird hier natürlich genauso eingerichtet wie auch schon in den Szenarien 1 und 2. | | Der Webfilter, Virenscanner und die Authentifizierungsausnahme wird hier natürlich genauso eingerichtet wie auch schon in den Szenarien 1 und 2. | ||
| | | The webfilter, virus scanner and authentication exception are of course set up in the same way as in scenarios 1 and 2. }} | ||
{{var | Auflistung Seiten Zugriff | {{var | Auflistung Seiten Zugriff | ||
| Eine Auflistung, auf welche Seiten Zugriff benötigt wird findet sich auf diesen Seiten: | | Eine Auflistung, auf welche Seiten Zugriff benötigt wird findet sich auf diesen Seiten: | ||
* https://learn.microsoft.com/de-de/windows/privacy/manage-windows-11-endpoints | * https://learn.microsoft.com/de-de/windows/privacy/manage-windows-11-endpoints | ||
* https://learn.microsoft.com/de-de/windows/privacy/windows-endpoints-1909-non-enterprise-editions | * https://learn.microsoft.com/de-de/windows/privacy/windows-endpoints-1909-non-enterprise-editions | ||
| | | A list of the pages to which access is required can be found on these pages: | ||
* https://learn.microsoft.com/de-de/windows/privacy/manage-windows-11-endpoints | |||
* https://learn.microsoft.com/de-de/windows/privacy/windows-endpoints-1909-non-enterprise-editions }} | |||
{{var | | {{var | | ||
| | | | ||
UTM/KB/APP/HTTP Proxy-Windows.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki