Blocking *CHIP-Installer.exe

Du musst über den Webfilter folgende URL sperren: https://www.chip.de/n_downloader/

Da es eine HTTPS Verbindung ist, solltest du den HTTPS Scan aktivieren und einrichten (erfordert ein wenig Know-How aufgrund des zu verteilenden Zertifikats)

Gruß,

Jonas

HTTPS-Scan ist bei uns aktiv.

Habe nun mal https://www.chip.de/n_downloader/ unter Webfilter > Richtlinien unter "Diese Websites blockieren" hinzugefügt. Kann aber immernoch z.B. unter https://www.chip.de/downloads/Tor-Browser_22479695.html den CHIP-Download ausführen....

Auch mit gelöschtem Cache / anderem Browser? - Weil ich kann über den Ausdrucksfilter nur noch direkt das Programm herunterladen, die Möglichkeit/die Seite für den Chip-Installer wird nach der Aktivierung/Einrichtung der Regel nicht mehr angezeigt/angeboten.

Ja, hab es nun im Firefox, IE & Edge getestet....

Ich kann nach wie vor unter https://www.chip.de/downloads/Tor-Browser_22479695.html über den DOWNLOAD-Button die Datei "Tor Browser - CHIP-Installer.exe herunterladen :-(

Welcher Link wird dir denn angezeigt, wenn du noch den Chip Downloader runterladen kannst?

Dieser wird nämlich immer mit dem Ausdruck "n_downloader" hinterlegt, welchen wir ja gesperrt haben:

Der Downloadlink lautet:

https://www.chip.de/n_downloader/?lastchange=220620190931&pid=chipderedesign&cid=54415401&euid=52616c94dc09b98e25667e90&browser=firefox&ref=&tid=39014&tpathid=9223_9232_38913_39014&os=windows&tname=anonymisierung&ico=aHR0cHM6Ly93d3cuY2hpcC5kZS9paS8zLzAvOS81LzEvOS85LzllNjg0ZTg2OGQxZTExOTUuanBn&proto=https://&source=BLUB2&v=oct2015

Ich verstehs nicht :-( Die Richtlinie ansich greift, denn andere Websites die wir in der Richtlinie blockieren funktionieren auch nicht....

Der Richtlinientest auf der Sophos sieht eigentlich auch gut aus:

Ich würde prüfen, ob deine/die richtige Webfilterrichtlinie angewendet wird sowie ob dein HTTPS-Scan richtig greift.

Zum Beispiel einfach mal die Dateiendung "exe" für den Download sperren --> Wie schaut jetzt der Download von .exe´n aus? --> Ich nehme gerne folgende Seite für Tests:

https://7-zip.org/a/7z1900-x64.exe

Jetzt bin ich völlig durcheinander...

Vorheriger Screenshot zeigt ja, dass das Blocking laut Richtlinientest funktioniert.

Nun habe ich wie von dir Beschrieben mal unter "Blockierte Dateierweiterungen" exe hinzugefügt und einen Richtlinientest auf https://7-zip.org/a/7z1900-x64.exe vollzogen - Ergebnis=Zugelassen....

Betriebsmodus des Webfilter ist bei uns Transparenzmodus & HTTPS ist auf "Nur URL-Filterung" gestellt & "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" ist nicht angehakt....

Ist der Client auf dem die Richlinie nicht greift evtl. in der Liste "Transparentmodus Ausnahme" unter Web Protection / Filteroption / Sonstiges oder unter Benutzer umgehen enthalten?

Eine andere Möglichkeit wäre ein Eintrag Application Control / Erweitert "Host/Netze ausnehmen"?

- Meine Liste "Transparenzmodus-Ausnahmen" unter Filteroptionen>Sonstiges ist leer
- Benutzer umgehen ist auch leer
- Application-Control-Ausnahmen ist auch leer

Unknown said:

Betriebsmodus des Webfilter ist bei uns Transparenzmodus & HTTPS ist auf "Nur URL-Filterung" gestellt & "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" ist nicht angehakt....

Da haben wir schon das erste, was angepasst werden kann:

Damit in den HTTPS Verkehr eingegriffen werden kann, muss "entschlüsseln & scannen" angehakt sein anstatt "Nur URL Filterung".

So wie hier:

Wichtig: Nachdem du dies aktiviert hast, musst du das PEM Zertifikat unter Filteroptionen --> HTTPS-CAs --> Herunterladen --> PEM Export heruntergeladen werden, und (mittels GPO) in den Windows Zertifikatsspeicher (vertrauenswürdige Stammzertifikate) gelegt werden- ansonsten erhälst du eine Browserwarnung.

Sobald du den HTTPS Scann vollständig eingerichtet hast, greifen auch alle deine Regeln. Hintergrund ist, dass die meisten Webseiten schon längst auf HTTPS sind ;-)

Unknown said:

Betriebsmodus des Webfilter ist bei uns Transparenzmodus & HTTPS ist auf "Nur URL-Filterung" gestellt & "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" ist nicht angehakt....

Da haben wir schon das erste, was angepasst werden kann:

Damit in den HTTPS Verkehr eingegriffen werden kann, muss "entschlüsseln & scannen" angehakt sein anstatt "Nur URL Filterung".

So wie hier:

Wichtig: Nachdem du dies aktiviert hast, musst du das PEM Zertifikat unter Filteroptionen --> HTTPS-CAs --> Herunterladen --> PEM Export heruntergeladen werden, und (mittels GPO) in den Windows Zertifikatsspeicher (vertrauenswürdige Stammzertifikate) gelegt werden- ansonsten erhälst du eine Browserwarnung.

Sobald du den HTTPS Scann vollständig eingerichtet hast, greifen auch alle deine Regeln. Hintergrund ist, dass die meisten Webseiten schon längst auf HTTPS sind ;-)

Ok verstanden, sinnvoll wäre dann aber erst das Cert via GPO zu verteilen und ggf. erst am Folgetag auf "entschlüsseln & scannen" umzustellen, oder? Zumindest könnte ich mir so einige Anrufe in der IT ersparen :-)

Muss nicht unbedingt sein, gpupdate /force sollte dein Anliegen beschleunigen.

Noch besser ist es, ein eigenes Webfilterprofil für den HTTPS-Scan anzulegen und erstmal einen Client (dein PC?) darin hinterlegen,- dann kannst du in Ruhe ausprobieren und alle Ausnahmen/Settings vornehmen und optimieren ;-)

Gruß,

Jonas

Jetzt funktionierts :-)

Aber die Proxy CA läuft ja auch mal aus, oder? Oder verlängert die Sophos automatisch?

Das ist grundsätzlich so bei Zertifikaten, dass diese auslaufen :-)

Diese müssen dann neu erstellt/ersetzt werden

Habs grad wieder auf "Nur URL-Filterung" zurückgestellt - hab nicht an die Nicht-AD-Geräte gedacht :-( Wie verfahre ich mit diesen?

Über MMC die Zertifikate auf den NICHT-AD Clients das Zertifikat händisch in den Bereich "Vertrauenswürdige Zertifizierungsstellen" hinzufügen

Alternativ ein eigenes Webfilter Profil für die NICHT-AD Clients erstellen, wo nur die URL-Filterung gilt.

Gruß

Ich dachte da eher an iPhone & Co. der Firmenhandybesitzer die im WLAN sind.....

geht auch über das Userportal die über das iPhone aufgerufen wird, sofern keine MDM Software eingesetzt wird:

https://support.apple.com/de-de/HT204477

https://www.helmholtz-berlin.de/zentrum/locations/it/email/sig/cert-iphone_de.html

Ich hab auch mal irgendwo gelesen, dass man den iPhone-Usern direkt nen Link zum Zertifikat schicken kann, welchen die aufrufen sobald der User im hausinternen Netz ist...

Finde aber die Seite nicht mehr :-(

http://passthrough.fw-notify.net/cacert.pem

MfG - Bob