Blocking *CHIP-Installer.exe

Du musst über den Webfilter folgende URL sperren: https://www.chip.de/n_downloader/

Da es eine HTTPS Verbindung ist, solltest du den HTTPS Scan aktivieren und einrichten (erfordert ein wenig Know-How aufgrund des zu verteilenden Zertifikats)

Gruß,

Jonas

HTTPS-Scan ist bei uns aktiv.

Habe nun mal https://www.chip.de/n_downloader/ unter Webfilter > Richtlinien unter "Diese Websites blockieren" hinzugefügt. Kann aber immernoch z.B. unter https://www.chip.de/downloads/Tor-Browser_22479695.html den CHIP-Download ausführen....

- Meine Liste "Transparenzmodus-Ausnahmen" unter Filteroptionen>Sonstiges ist leer
- Benutzer umgehen ist auch leer
- Application-Control-Ausnahmen ist auch leer

Unknown said:

Betriebsmodus des Webfilter ist bei uns Transparenzmodus & HTTPS ist auf "Nur URL-Filterung" gestellt & "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" ist nicht angehakt....

Da haben wir schon das erste, was angepasst werden kann:

Damit in den HTTPS Verkehr eingegriffen werden kann, muss "entschlüsseln & scannen" angehakt sein anstatt "Nur URL Filterung".

So wie hier:

Wichtig: Nachdem du dies aktiviert hast, musst du das PEM Zertifikat unter Filteroptionen --> HTTPS-CAs --> Herunterladen --> PEM Export heruntergeladen werden, und (mittels GPO) in den Windows Zertifikatsspeicher (vertrauenswürdige Stammzertifikate) gelegt werden- ansonsten erhälst du eine Browserwarnung.

Sobald du den HTTPS Scann vollständig eingerichtet hast, greifen auch alle deine Regeln. Hintergrund ist, dass die meisten Webseiten schon längst auf HTTPS sind ;-)

Ok verstanden, sinnvoll wäre dann aber erst das Cert via GPO zu verteilen und ggf. erst am Folgetag auf "entschlüsseln & scannen" umzustellen, oder? Zumindest könnte ich mir so einige Anrufe in der IT ersparen :-)

Muss nicht unbedingt sein, gpupdate /force sollte dein Anliegen beschleunigen.

Noch besser ist es, ein eigenes Webfilterprofil für den HTTPS-Scan anzulegen und erstmal einen Client (dein PC?) darin hinterlegen,- dann kannst du in Ruhe ausprobieren und alle Ausnahmen/Settings vornehmen und optimieren ;-)

Gruß,

Jonas

Jetzt funktionierts :-)

Aber die Proxy CA läuft ja auch mal aus, oder? Oder verlängert die Sophos automatisch?

Das ist grundsätzlich so bei Zertifikaten, dass diese auslaufen :-)

Diese müssen dann neu erstellt/ersetzt werden

Habs grad wieder auf "Nur URL-Filterung" zurückgestellt - hab nicht an die Nicht-AD-Geräte gedacht :-( Wie verfahre ich mit diesen?

Über MMC die Zertifikate auf den NICHT-AD Clients das Zertifikat händisch in den Bereich "Vertrauenswürdige Zertifizierungsstellen" hinzufügen

Alternativ ein eigenes Webfilter Profil für die NICHT-AD Clients erstellen, wo nur die URL-Filterung gilt.

Gruß

Ich dachte da eher an iPhone & Co. der Firmenhandybesitzer die im WLAN sind.....

geht auch über das Userportal die über das iPhone aufgerufen wird, sofern keine MDM Software eingesetzt wird:

https://support.apple.com/de-de/HT204477

https://www.helmholtz-berlin.de/zentrum/locations/it/email/sig/cert-iphone_de.html

geht auch über das Userportal die über das iPhone aufgerufen wird, sofern keine MDM Software eingesetzt wird:

https://support.apple.com/de-de/HT204477

https://www.helmholtz-berlin.de/zentrum/locations/it/email/sig/cert-iphone_de.html

Ich hab auch mal irgendwo gelesen, dass man den iPhone-Usern direkt nen Link zum Zertifikat schicken kann, welchen die aufrufen sobald der User im hausinternen Netz ist...

Finde aber die Seite nicht mehr :-(

http://passthrough.fw-notify.net/cacert.pem

MfG - Bob

Genau das hab ich gesucht....

Unter https://community.sophos.com/kb/en-us/126895 wird beschrieben "How to trust the Root Certificate" - Aber auf iOS 12.4.1 trifft das nicht zu....

Gibt es eine aktuellere Beschreibung?

My iPhone Xs is on 12.4.1 and that KB article correctly describes what I see.

Cheers - Bob

Hi Bob,

when I open the link on my iPhone first appears a query, if I want to allow it to load the configuration profile. So far so good - I confirm the question with "allow"...
Afterwards a message appears, that the profile was loaded successfully.

But when I navigate to the Settings> General> About> Certificate Trust Settings unfortunately, I have no entry to enable the Root Certificates...

It's been awhile, but I think I installed the CA from the User Portal.  How did you do it?

Cheers - Bob

I called up the link passthrough.fw-notify.net/cacert.pem directly on my iPhone and tried to follow this instructions > community.sophos.com/.../126895

Bob, do you have an idea?

Have you tried deleting the cert from your phone and then loading it via the User Portal?

Cheers - Bob

Hi Bob,

no, I do not like to do it via the user portal but directly via the link passthrough.fw-notify.net/cacert.pem