This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update

hello. We have UTM 9.004. Clients pc's can't download windows updates from Microsoft, unless they are added in the "Skip transparent mode source hosts/nets" list. otherwise an error appears. the same with wsus server. it must be also added in the same list in order to synchronize. I am sending the web proxy log, when a client pc tries to download updates from Microsoft.
Any ideas are welcome. The built-in "Microsoft Windows Update" exception rule is active.
Thanks


This thread was automatically locked due to age.
  • Select all of the other options in the exception (disable caching, etc.) ... I've found that helps.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Is the option 'Scan HTTPS (SSL) Traffic' activated?

    Every line of the log says 'action="pass"'. So webproxy should not block your request.
  • If you're using the SSL scanner and transparent proxy - this issue already was discussed in another thread somewhere here.

    Thanks to Flame Virus Microsoft changed their update procedure slightly, where for some requests MITM (certificate exchange due SSL scanning) isn't accepted anymore and makes windowsupdate fail.

    I found, that placing the DNS GROUPS "update.microsoft.com" and "www.update.microsoft.com" into the transparent destination should be sufficient to solve this issue. Please note, that it may take a while until it's fully working, as behind those DNS names are hidden multiple IP addresses, which takes a while to get collected...

    /Sascha
  • hello. Well this is a workaround, but I would like to know what happens. we use transparent proxy with https scanning enabled
  • Thanks to Flame Virus Microsoft changed their update procedure slightly, where for some requests MITM (certificate exchange due SSL scanning) isn't accepted anymore and makes windowsupdate fail.


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hello Sascha,

    thx for the info relating to flame and ms update policy (mitm).
    I've tried to config a dns group with given names in advanced and create a https-rule for "internal->https->any IPv4", but i still get the error within win 7 and win 8 clients. :-(

    Only when i disable ssl-scan in my profile and use this https-rule instead, then all works fine.

    But i cannot disable the whole ssl-scan, because my users know how to reach blocked sites with https instead of http. :-(

    How to handle this?

    Thx,

    Manuel
  • Hello Sascha,

    thx for the info relating to flame and ms update policy (mitm).
    I've tried to config a dns group with given names in advanced and create a https-rule for "internal->https->any IPv4", but i still get the error within win 7 and win 8 clients. :-(

    Only when i disable ssl-scan in my profile and use this https-rule instead, then all works fine.

    But i cannot disable the whole ssl-scan, because my users know how to reach blocked sites with https instead of http. :-(

    How to handle this?

    Thx,

    Manuel


    This can have different reasons.
    a) It can really take a while until the DNS Groups collected all IP's. "update.microsoft.com" has 8 IP's and "www.update.microsoft.com" shows 17 IP's for me.
    b) Did you import the UTM CA certificate correctly into the computers "trusted root certification authority" folder ? It must be for the computer account, not user, not service.
    c) I also use a slightly modified exception in the webproxy for the Windowsupdates. Not sure, how much it differs from the original exception delivered from Sophos. I skip AV, Extension Blocking and Content Removal for
    ^http://.*download\.windowsupdate\.com/
    d) Not sure about this last point, but probably you also may check, that your AV settings doesn't block .exe and .msi downloads

    [:)]
  • Thx for reply.

    I'll try at home this evening and report back.
    I do a block of msi and exe... [8-)] maybe thats the point.

    Manuel
  • Hello. I followed all Sascha's instructions but still client's can't download update and Wsus won't synchronize. Any other ideas?
  • I mamanged to get it working with these steps:

    [LIST=1]
    • Create network definitions

    • create firewall rule

    • Internal (Network) -> Web Surfing ->

    • activate HTTPS (SSL) scanning

      • Web Protection - Web Filtering  - Global - check 'Scan HTTPS (SSL) Traffic'

    • Web filtering exceptions

    • Web Protection - Web Filtering - Exceptions - activate 'Microsoft Windows Update'
    • Skip these checks:
      • Antivirus, Extension blocking, SSL scanning

    • Matching these URLS:
      • ^https?://([A-Za-z0-9.-]*\.)?windowsupdate\.com/
      • ^https?://([A-Za-z0-9.-]*\.)?microsoft\.com/


    • skip transparent mode
      • Web Protection - Web Filtering - Advanced
        • Skip transparent mode destination hosts/nets:
        • activate 'Allow HTTP/S traffic for listed hosts/nets'


    • import cert
      • Web Protection - Web Filtering - HTTPS CAs -> Download

    [/LIST]

    Some config pictures: