Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 16 replies
  • Answers 1 answer
  • Subscribers 5 subscribers
  • Views 921 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Terminalserver Internetzugriff für einzelne User steuern

TVV

Hi,

ich verwende eine Sophos XGS ohne Sophos Central und würde gerne den Internetzugriff für einige Benutzer an einem Windows Terminalserver sperren.

Bedeutet, ca. 50% der User dürfen ins Internet, 50% nicht. 

Wie kann ich dies lösen?

STAS funktioniert soweit ich es verstanden habe auf IP-Adressen Basis und einen klassichen Proxy gibt es ja nichtmehr.

Danke!



This thread was automatically locked due to age.
  • 0 in reply to LuCar Toni

    Danke. Ich habe dies so konfiguriert wie in der Anleitung beschrieben. Leider funktioniert es nicht. Mit ist aufgefallen, dass unter "Current activities" keine Benutzer anzeigt werden. Dies sollte so nicht sein oder? Vermutlich erkennt die Sophos die user nicht richtig... Was ist zutun? Muss ich STAS konfigurieren? 

  • 0 in reply to TVV

    Hallo TVV,

    lass doch im ersten Schritt die Benutzer weg und gucke, ob die Proxy-Regel dann funktioniert. Ich sperre hier immer eine "ungewollte" Seite global.

    Geht das? Dann weiter zu den Benutzern...

    Wenn es nur um Terminalserver geht, ist STAS nicht nötig/möglich.

    Hast du unter Authentication / Server die AD-Authentifizierung eingerichtet?

    Hast du Authentication  / WebAuthentication /Authentication settings for direct web proxy / "Use per-connection AD SSO authentication for multi-user hosts" aktiviert&konfiguriert?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hi. 

    Folgendes wurde konfiguriert:

    - Authentication\Servers -> Domain Controller wurde eingebunden

    - Authentication\Groups -> Alle Gruppen aus der Domäne wurden importiert. Dort gibt es eine "Internet_allow" Gruppe, in welcher einige Terminalserveruser sind. 

    - Authentication\Web Authentication\Authentication settings for direct web proxy -> Hier wurde der Terminalserver hinzugefügt

    - Es wurden in der Firewall 2 Regeln angelegt:

    Regel Terminalserver_allow:

    Regel Terminalserver_Drop:

    Aktuell kann kein User auf das Internetzugreifen. Somit funktioniert die Regel Terminalserver_allow nicht.

    Wo liegt der Fehler? Danke!!

  • 0 in reply to TVV

    Wenn du "match known users" aus der Allow-Regel nimmst (kurz zum Testen) ... dann greift die Regel?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ja, dann können alle User am Terminalserver ins Internet. 

  • 0 in reply to TVV

    Der KBA spricht viele Dinge an. Direct Proxy (also Port 3128 muss konfiguriert werden). AD SSO muss konfiguriert werden, also Kerberos. Ist das alles aktiv und funktioniert? 

    __________________________________________________________________________________________________________________

  • 0 in reply to TVV

    Evtl. musst du die Userfilterung aus der FW-Rule weglassen und innerhalb des Web-Filters ein "deny" für Nutzer definieren, welche nicht surfen sollen.

    Aber beachte ... am terminalserver greift das nur für "Browser-Traffic" ... also nur 3128 / 443 / 80 zulassen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Wenn im Webfilter anybody für den kompletten traffic gesperrt wird, funktioniert die Regel. Sobald ich die Gruppe "Internet_Deny" eintrage, besitzt jeder User Internetzugriff -> Ich vermute, dass die Sophos die Benutzer in der Gruppe nicht erkennt oder es ein Problem in dieser Richtung ist... Die Firewall Regeln sollten ja passen?

  • 0 in reply to LuCar Toni

    Es ist alles konfiguriert. Ich kann mich auch mit Domänenusern im Sophos Userportal anmelden.

Unfiltered HTML