This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update

hello. We have UTM 9.004. Clients pc's can't download windows updates from Microsoft, unless they are added in the "Skip transparent mode source hosts/nets" list. otherwise an error appears. the same with wsus server. it must be also added in the same list in order to synchronize. I am sending the web proxy log, when a client pc tries to download updates from Microsoft.
Any ideas are welcome. The built-in "Microsoft Windows Update" exception rule is active.
Thanks


This thread was automatically locked due to age.
Parents
  • Thanks to Flame Virus Microsoft changed their update procedure slightly, where for some requests MITM (certificate exchange due SSL scanning) isn't accepted anymore and makes windowsupdate fail.


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hello Sascha,

    thx for the info relating to flame and ms update policy (mitm).
    I've tried to config a dns group with given names in advanced and create a https-rule for "internal->https->any IPv4", but i still get the error within win 7 and win 8 clients. :-(

    Only when i disable ssl-scan in my profile and use this https-rule instead, then all works fine.

    But i cannot disable the whole ssl-scan, because my users know how to reach blocked sites with https instead of http. :-(

    How to handle this?

    Thx,

    Manuel
  • Hello Sascha,

    thx for the info relating to flame and ms update policy (mitm).
    I've tried to config a dns group with given names in advanced and create a https-rule for "internal->https->any IPv4", but i still get the error within win 7 and win 8 clients. :-(

    Only when i disable ssl-scan in my profile and use this https-rule instead, then all works fine.

    But i cannot disable the whole ssl-scan, because my users know how to reach blocked sites with https instead of http. :-(

    How to handle this?

    Thx,

    Manuel


    This can have different reasons.
    a) It can really take a while until the DNS Groups collected all IP's. "update.microsoft.com" has 8 IP's and "www.update.microsoft.com" shows 17 IP's for me.
    b) Did you import the UTM CA certificate correctly into the computers "trusted root certification authority" folder ? It must be for the computer account, not user, not service.
    c) I also use a slightly modified exception in the webproxy for the Windowsupdates. Not sure, how much it differs from the original exception delivered from Sophos. I skip AV, Extension Blocking and Content Removal for
    ^http://.*download\.windowsupdate\.com/
    d) Not sure about this last point, but probably you also may check, that your AV settings doesn't block .exe and .msi downloads

    [:)]
  • Thx for reply.

    I'll try at home this evening and report back.
    I do a block of msi and exe... [8-)] maybe thats the point.

    Manuel
Reply Children
No Data