Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Junioruser1976
Themen-Autor
Beiträge: 9
Registriert: Di 02.07.2019, 07:43

weiter Windows Update Fehler 80072f8f trotz deaktivertem Proxy

Mo 29.07.2019, 20:52

Hallo,

hier ist mal wieder der Securepointneuling mit seiner Übungsumgebung eines Rechners mit Proxy:-)

Proxy incl SSL interception + Webfilter funktionieren jetzt grundsätzlich- soweit so gut:  konnte mir über den Webfilter einzelne Sites schonmal sperren und https läuft jetzt auch durch und ist aufrufbar über Proxy...

Nun bin ich grad dabei, die Konfiguration für erfolgreiche Updates von Windows und Virenscanner zu integrieren und damit die ersten Erfahrungen zu sammeln praktisch in meiner Musterumgebung: 

Anscheinend war noch irgendein kleiner Fehler in der Konfi bei den Ausnahmen drin- denn Windows Update lief ab dann über diesen Rechner  dann leider nicht mehr- es kam die  Fehlermeldung 80072f8f.

Ich wollten dann erstmal den Rechner aktualisieren um danach weiter zu üben und in Ruhe den Fehler zu finden.

Ich hatte dafür den Client einfach in der Firewall wieder auf any gestellt im Portfilter , Proxy aus und meinte, damit den Proxy komplett umgehend umgehen zu können. Leider zeigte sich weiter der genannte Fehler. Synchronisierung mit time.windows.com ließ sich aufrufen, Zeiten waren auch korrekt auf allen Ebenen.

Ich habe dann auf der UTM eine alte Konfiguration, die zeitlich noch VOR Konfiguration von Zertifitkat und Proxy komplett lag.

Aber auch dann gab es zunächst diesen Fehler weiterhin. Auch an den lokalen Einstellungen am Client selbst schien es eher nicht zu liegen: hatte jedenfalls zum test einen weiteren Übungsclient ins gleiche Netz hinter die FW gepackt- und auch hier gleiche Fehlermeldung.

Ich habe daraufhin Neustart der Firewall mit dieser alten Konfiguration "ohne Proxy" noch zusätzlich gemacht- danach war der Fehler weg und Updates liefen wieder durch.

Hatte sich da nur die Verbindung zu einem Windows-Zeitdienst o.ä. aufgehängt unplanmäßig (u.a. auch , weil der betreffende Client wegen meines Urlaubs 2 Wochen komplett aus war)  oder kann ich allgemein daraus mir merken, dass der grundlegende Wechsel von "mit Proxy" zurück zu any oder gravierende Änderungen in der Proxykonfiguration o.ä. besser immer einen Neustart zwischendrin erfordern?

Oder anders gesprochen: reicht eigentlich -außer die FW hängt sich auf- immer Regeln aktualisieren und speichern- oder empfehlen Sie und wenn ja wann immer wieder mal zwischendrin einen Neustart?

Viele Grüße
 
friede
Beiträge: 6
Registriert: Do 25.07.2019, 12:23

Re: weiter Windows Update Fehler 80072f8f trotz deaktivertem Proxy

Di 30.07.2019, 18:04

Hi,

Wenn du über den Proxy gehst, ist es egal, ob du eine Any-Regel drin stehen hast. Entscheidend ist die Regel, die den Zugriff auf das interne Interface mit Proxy-Diensten erlaubt.
Mit Windows-Updates haben wir auch unsere leidlichen Erfahrungen gemacht. Ende vom Lied: Festen Proxy rein, nicht transparent. In der Firewall gibt es dann logischerweise keine http/https-Regel vom internen Netz nach internet.
Die SSL-Interception bleibt bei uns mittlerweile aus. Durch den festen Proxy werden auch zuverlässig Https-Anfragen durch den Webfilter geschickt.
 
Junioruser1976
Themen-Autor
Beiträge: 9
Registriert: Di 02.07.2019, 07:43

Re: weiter Windows Update Fehler 80072f8f trotz deaktivertem Proxy

Do 01.08.2019, 16:17

Hi,

vielen Dank. Das ist schonmal wieder ein wichtiger Praxis-Hinweis, dass es besser geht mit festen Proxy. Werde es so dann nochmal jetzt so probieren mal sehen, was dann passiert und ob es jetzt klappt mit den Updates.

Das mit "SSL Interception aus und trotzdem werden dann bei festem Proxy Https-Anfrage durch den Webfilter geschickt" , ist mir aber leider noch weiter nicht so klar -das hatte ich bislang genau anders verstanden, dass das grad nicht geht dann für https+ Proxy- und dass dann SSL interception in jedem Fall an sein muss, damit das auch für https funktioniert.

Wenn ich SSL dann rausnehme, schreiben Sie ja, geht es trotzdem zumindest jedenfalls noch durch den Webfilter- gilt das dann auch für den Virenscanner- oder anders gefragt: was genau prüft dann die Firewall bei https mit der SSL Interception noch darüber hinaus- also worauf verzichte ich, wenn ich das dauerhaft deaktiviere?

Viele Grüße
 
friede
Beiträge: 6
Registriert: Do 25.07.2019, 12:23

Re: weiter Windows Update Fehler 80072f8f trotz deaktivertem Proxy

Do 01.08.2019, 20:25

Hi,

wenn man den gesamten Traffic über den eingetragenen Proxy leitet, arbeitet der Webfilter auch auf HTTPS-Seiten, dazu muss die SSL-Interception nicht eingeschalten sein. Die Block-Seite kann lediglich anders aussehen.
Der Virenscanner etc. funktioniert dann leider nicht, lediglich der Webfilter.

Egal wie du dich entscheidest, wenn du deine Clients im Netzwerk administrieren kannst, würde ich immer einen fest eingetragenen Proxy bevorzugen, egal ob mit oder ohne SSL-Interception. Beim transparenten Proxy fängt man dann schnell mit zig Ausnahmen an. Wenn du nur im festen Modus arbeitest, funktioniert dein Programm oder es funktioniert nicht, Wenn es nicht funktioniert muss man prüfen, ob der Zielserver und -dienst fest sind, dann kann man im Webfilter die entsprechende Ausnahme setzen un diesen Traffic direkt rausschicken. Die Erfahrung hat aber gezeigt, dass die meisten Programme mittlerweile eigene Proxy-Einstellungen haben oder den Systemproxy verwenden (unter Windows unter "Internetoptionen").
 
Junioruser1976
Themen-Autor
Beiträge: 9
Registriert: Di 02.07.2019, 07:43

Re: weiter Windows Update Fehler 80072f8f trotz deaktivertem Proxy

Sa 03.08.2019, 18:08

Hi,

vielen Dank für die ergänzende Erklärung- hab jetzt mal mit festem Proxy  eine Konfiguration auf meinem Musterrechner aufgesetzt und nur noch die Windows und Trend-Microausnahmen im Webfilter rein- mal sehen, ob es jetzt mit den Updates klappt.
Und die Erfahrung, dass ggf. "Webfilter verhindert zugriff" verschieden anzeigt, hab ich auch ausprobiert: im Firefox sieht es anders auch als z.B bei IE oder Chrome.

Grüße und ein schönes Wochenende
 
Bjoern
Securepoint
Beiträge: 436
Registriert: Mi 03.07.2013, 10:06

Re: weiter Windows Update Fehler 80072f8f trotz deaktivertem Proxy

Fr 09.08.2019, 09:43

Hallo,

mit der Version 11.8.x kann man den Webfilter auch für https im transparenten Modus laufen lassen. Dazu muss aber die SSL-Interception wieder aktiviert werden mit dem Zusatz "Webfilter basiert:". Ab der Version 11.8 bricht die Firewall nicht gleich die https Pakte auf sondern liest den SNI Wert aus. Anhand des Wertes wird dann mit dem Webfilter verglichen ob die Seite geblockt werden soll oder nicht. Es wird nur interceptet wenn die Webseite geblockt werden soll.

Sollte jedoch gewünscht werden das auch HTTPS Seiten auf Viren gescannt werden sollen bleibt nur die reine SSL-Interception über. Dieses würde ich nie im transparenten Modus machen nur mit festem Proxy da man hier per Regex die Webseiten davon ausnehmen kann.

Gruß Björn

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste