Windows Update

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Windows Update

Beitrag von it@ff-don.de »

Hallo,

leider verzweifel ich gerade an den Windows Updates.

Zu meinem Aufbau:

Windows 10 PC soll regulär Windows Updates aus dem Internet beziehen.
Auf der UTM ist lediglich der Proxy freigegeben.
Transpararent und SSL Proxy funktionieren Tadellos.
Webfilter ist auch Aktiv und Funktioniert.

Das Problem momentan, egal welche Ausnahme Regeln ich einfüge (auch nach Anleitung) will der Blöde WIndows Update nicht Funktionieren.

"Beim Installieren von Updates sind Probleme aufgetreten. Wir versuchen es allerdings später noch einmal. Falls dieser Fehler weiterhin auftritt und Sie Informationen im Web suchen oder sich an den Support wenden möchten, kann dieser Fehlercode hilfreich sein: (0x801901f7)"

Hilfreich wäre jetzt wo ich welche Ausnahmen einfügen muss damit wieder alles Funktioniert.

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo it@ff-don.de,
bitte folgen Sie genau dieser Anleitung.
Wenn es weiterhin nicht klappt schreiben Sie gern wieder.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Beitrag von it@ff-don.de »

David hat geschrieben:Hallo it@ff-don.de,
bitte folgen Sie genau dieser Anleitung.
Wenn es weiterhin nicht klappt schreiben Sie gern wieder.

Hallo,

Habe bereits versucht es nach dieser Anleitung zu machen.

Leider ohne erfolg.

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Dann möchte ich Sie bitten sich bei Ihrem Händler zu melden. Dieser kann Ihnen sicher helfen oder ggf. hier bei uns ein Ticket eröffnen.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Beitrag von it@ff-don.de »

OK hat sich gerade gelöst!

Windows 10 hat leider den winhttp Proxy nicht aus dem System Proxy übernommen.

netsh winhttp set proxy proxy-server="proxyserver:8080" schon gehts :)

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Zu der gleichen Frage kann ich ggf. auch noch was evt. Interessantes beitragen als eigenen Übungs-Erfahrungswert zu dem gleichen Thema: bei mir war es gleiche Konstellation: alles "richtig" im (festen) Proxy drin mit den empfohlenen Ausnahmen- trotzdem kriegte Windows sobald ich zum "Normalen" Proxy noch die SSL Intercept reingemacht habe, immer keine Verbindung mehr zu den Updateservern- Logs waren dabei erstaunlicherweise alle soweit ich sie inzwischen verstehe, bin ja noch Anfänger, unauffällig, sowohl bei Webfilter als auch bei Proxy/SSL- also SSL hat sichtbarlich Windows update eigentlich nicht blockiert-trotzdem lief es nicht- auch das manuelle Setzen von Winproxy auf 8080 hatte bei mir nichts gebracht- weiterhin (auch nach Neustart Client) Meldung: "Wir konnten keine Verbindung zum Updatedienst herstellen"- ließ sich auch nicht durch weitere Neustarts, Updatereparaturtools von Windows etc. herstellen- immer nur  Meldung von Windows Update Reparaturtool "Problem nicht gefunden" usw...war schon mehr als am verzweifeln- habe dann erstmal ohne SSL das anstehende Update (KB4522741) für NET Framework runtergeladen und eingespielt....- danach (!) Rechner neu gestartet- und dann gleich SSL Interception wieder aktiviert und dann eine neue Anforderung "Updates suchen" rausgeschickt- seither läuft alles stabil- kann Zufall sein, hätte aber evt. einen Verdacht, dass ggf. sich entweder die FW und/oder der Client noch irgendwelche Sachen im Cache merken von alten Anforderungen "Ohne SSL" und erst wenn die Systeme tiefergehend überarbeitet werden, z.B. bei Update + Neustart, dann wird das dann mit überspielt und man kommt über diese eingemusterten Pfade wieder drüber...?!?! da ich an der FW nix geändert hatte außer SSL an/aus und ansonsten nur der Client das Update bekommen hat zwischenzeitlich, kann ich mir eigentlich nur vorstellen, dass der Client da irgendwas im Cache gehabt hat, was dann weg war- wie gesagt- ist nur eine Vermutung, vielleicht war es auch einfach Zufall- aber vielleicht hilft es jemanden hier in der Community mit ähnlichem Problem auch nochmal weiter als Idee, daher schreib ich es mit auf.Gern bitte auch nochmal Rückmeldung von den experienced Forumsmitgliedern, was sie dazu meinen.... Grüße an alle und schönes Wochenende

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Das klingt sehr nach der nicht webfilterbasierten SSL-Interception - bei der normalen SSL-Interception muss logischerweise das CA-Zeritfikat der UTM für die SSL-Interception im Computerkonto in den "Vertrauenswürdigen Stammzertifizierungsstellen" eingetragen sein, damit Windows-Update funktioniert.

Mit der Webfilterbasierten SSL-Interception müsste es eigentlich auch ohne Zertifikat am Client gehen, solange keine Seiten aufgerufen werden, die eine Meldung der Firewall zufolge haben (z.B. gesperrte Seiten, Kurz-URLs, ...)

Ob der Proxy nun in WinHTTP hinterlegt ist oder nicht sollte bei beiden Varianten erstmal egal sein.

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Ja richtig, ich hab hier die  klassische nicht webfilterbasierte SSLinterception for everything;-) - und das CA der UTM hatte ich auch eingetragen ordnungsgemäß, WUpdate wollte aber eben trotzdem zunächst nicht durch, das was das Problem...

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo, ist denn auch der transparente Modus für https aktiv? Wenn ja könnte es sein das Windows versucht direkt raus zu gehen statt über den Proxy. In der transparenten SSL-Interception ohne Webfilterbasis wird jedes HTTPS aufgebrochen es sei denn Sie excluden das Ziel. Sonst würde mit nur einfallen das Windows eine neue URL für Updates verwendet. Dazu können Sie im Livelog einmal schauen was genau von dem Client aufgerufen wird und ob der Eintrag auch mit dem Regex in der SSL-Interceptionausnahme passt.


Gruß Björn

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Ich ergänze zumindest nochmal folgenden Erfahrungsbericht zu dem bekannten Thema, der vielleicht auch für andere noch wichtiger Hinweis ist:

Ich habe eine ganze Gruppe Clients Windows Version 1909 Anfang 2020 auf http Proxy + SSL Intercept gesetzt. Fester Proxy.

Das sah zunächst im Frontend alles gut aus: wenn man unter Windows - ) Einstellungen- ) Updates+ Sicherheit ... geschaut hat, kam auch immer die Meldung "Sie sind auf dem aktuellen Stand". Auch wenn man aktiv auf "nach Updates suchen" startete blieb das fehlermeldungsfrei.

Tatsache war aber, dass das praktisch nicht der Fall war: denn ich habe nach einiger Zeit feststellen müssen, dass meine Clients in dieser Zone trotz positiver Meldung im Frontend, es sei alles aktuell trotzdem (!) KEINE Kumulativen Updates gezogen hatten seit der Umstellung auf httpProxy.
Hierfür sprach auch Fehler 80240437 in den Ereignislogs vom Dienst Windows Update.
Warum es im Frontend nicht als Fehler erschien? Keine Ahnung!

Ich hab das jedenfalls dann gelogged (UTM + Wireshark) und nach meinen Befunden  ergab sich, dass das Ziel delivery.mp.microsoft.com auf allen Ebenen (Ausnahmen Authentifizierung, Virenscanner, Webfilter und SSL) zusätzlich freigegeben werden muss. Habe ich ausprobiert und hat auch bei mir 100% funktioniert.

Wie weit das jetzt nur meine Clients 1909 betraf oder immer gilt für die 1909 kann ich nicht beurteilen.
Aber evt. macht es Sinn, die Liste im Securepointwiki für Ausnahmen für WUpdates um diese weitere Ausnahme zu ergänzen?

Anbei noch ein paar der entscheidenden Logs zu dem Thema:
TCP_DENIED/407 32915 CONNECT fe3cr.delivery.mp.microsoft.com:443 - HIER_NONE/- text/html

12.05.2020 19:00:49 HTTP-Proxy (squid) 1589302849.838 529 192.168.100.21 TAG_NONE/200 0 CONNECT fe3cr.delivery.mp.microsoft.com:443 - HIER_DIRECT/111.221.29.40 -

12.05.2020 19:00:49 HTTP-Proxy (squid) 1589302849.951 3 192.168.100.21 TAG_NONE/503 16475 POST https://fe3cr.delivery.mp.microsoft.com ... lient.asmx - HIER_NONE/- text/html

Antworten