Advisory: Sophos Endpoint "Your connection isn't private" after reboot. Policy settings can be returned to normal. See: KB-000045954 for the latest updates.

[2.160][CONFIRMED] Web Security config pushed (and disabled) without deployment

Hi,

We've ACC 2.160 and ASG 7.950 (virtual). 
Deploying filter actions and exceptions is working well. But if one change the items in ACC the change is deployed to the ASG immediately after clicking the save button. Additionally exceptions are turned off. Autodeployment is not enabled.

Regards,
Stefan

  • We've ACC 2.160 and ASG 7.950 (virtual). 
    Deploying filter actions and exceptions is working well. But if one change the items in ACC the change is deployed to the ASG immediately after clicking the save button. 


    That is the expected behaviour. You deploy a global definition to a ASG. When the the global definition is changed it will update on all the devices where it is deployed.


    Additionally exceptions are turned off. Autodeployment is not enabled.

    It is possible to switch on and off the exceptions of global exceptions on the ACC side. If it is disables on ACC it will be disabled on all devices. If it is enables on ACC it will be enabled on the devices.

    Thorsten
  • Hi again,

    sorry for the delay.
    I think I was missunderstood. I understand that it is the wanted behavior that all changes are deployed immediatly. But I think that it is not wanted that the changed exception is disabled if I press the save button. Why should a changed exception be automatically disabled?
    Furthermore, for my understanding, what is the option autodeployment for? I think it was usefull if I can decide at which time a change is deployed to a group of boxes.

    Regards,
    Stefan
  • Hi again,
    sorry for the delay.
    I think I was missunderstood. I understand that it is the wanted behavior that all changes are deployed immediatly. But I think that it is not wanted that the changed exception is disabled if I press the save button. Why should a changed exception be automatically disabled?

    You are right it is a bug that the exception gets disabled when it is edited.  +1point for you


    Furthermore, for my understanding, what is the option autodeployment for? I think it was usefull if I can decide at which time a change is deployed to a group of boxes.


    Autodeployemnt means that global definitions like networks, services are automatically deployed to the ou of the device has the flag set. So when a new device is move into the ou all global definitions will get deployed to the device. Or when a new definition in the OU is created it gets deployed to the device automatically.
    Note this does not work for setting the default filter filter action, pac file and packetfilert ruleset.
  • Thank you for the description!

    Is it possible (or planed) to do a rollout of changed proxy rules in smaller groups. Background: We will have more than hundred of ASGs to update with proxy rules. I think it's a high risk if a faulty change will be deployed to all ASGs. I would like to do this in smaller groups. So if something goes wrong I only have to deal with 10 ASGs instead of hundreds.

    Regards,
    Stefan