Proxyserver im LAN für Nutzung von Office 365 und Windows 10

lcer00
Goto Top
Hallo zusammen,

wir habe im LAN einen Proxy (Squid auf Debian) für einzelne Anwendungen (z.B. Zugriff auf Virenscanner-Updatserver) laufen. Ich würde das gerne erweitern und unsere PCs und Server besser schützen indem ich den gesamten Zugriff auf das Internet nur noch über den Proxyserver (mit entsprechender Filterung) zulasse. Ist das heute in einem "normalen" Windowssystem überhaupt möglich bzw. administrierbar? Mir geht es um die Zieladressen für
  • Windows Updates
  • Azure AD Synchronisation
  • Office 365 Zugriff

sowie um die Konfiguration der Windows-PC selbst.

Anleitungen für Windows Updates mit squid gibt es zu Hauf, aber irgendwie sind die alle nicht aktuell.

Bei Azure und Office365 ist es auch recht ausschweifend, die Zieladressen zu erhalten. Man findet zwar Seiten wie https://docs.microsoft.com/en-us/microsoft-365/enterprise/managing-offic ..., aber da wird ja gefühlt das halbe Internet freigegeben.

Also: Hat jemand ein Proxy-System am Laufen, das Windows und Office365 nicht beschränkt, aber den Rest verbiete? Und ist das ohne ständiges Nacharbeiten administrierbar?

Grüße

lcer

Content-Key: 2727993111

Url: https://administrator.de/contentid/2727993111

Ausgedruckt am: 16.05.2022 um 15:05 Uhr

Mitglied: chgorges
chgorges 09.05.2022 um 09:54:27 Uhr
Goto Top
Zitat von @lcer00:

Hallo zusammen,
Moin,

Bei Azure und Office365 ist es auch recht ausschweifend, die Zieladressen zu erhalten. Man findet zwar Seiten wie https://docs.microsoft.com/en-us/microsoft-365/enterprise/managing-offic ..., aber da wird ja gefühlt das halbe Internet freigegeben.

so ist es, meine Whitelists enthalten ca. 80 Einträge für obigen "Mist". Sind aber auch alle von 2015, da musste ich bisher nichts anpassen.

VG
Mitglied: unbelanglos
unbelanglos 09.05.2022 um 10:29:11 Uhr
Goto Top
Proxy PAC usw wird weiterhin unterstützt. Transparenter Proxy oder NAT-Regeln können dir auch helfen.
Mitglied: Dani
Dani 09.05.2022 um 10:59:13 Uhr
Goto Top
Moin @lcer00
Und ist das ohne ständiges Nacharbeiten administrierbar?
Ich musste erst mal in Keller zum Lachen... Proxy weg, Allow all Rule auf der Firewall. ;-) face-wink

Im Ernst: Das hängt davon ab, welche Dienste du von Office365/Microsoft 365 nutzt und wie restriktiv du bist. Hängt eben auch von den Personalressourcen ab. Du kannst mit der Liste ein ganzes Team jeden Tag beschäftigen.

Mir geht es um die Zieladressen für
Windows Updates
Azure AD Synchronisation
Office 365 Zugriff
Bei uns ist der Status der Dienste aktuell wie folgt:
1) Ist über Proxy möglich.
2) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
3) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.


Gruß,
Dani
Mitglied: lcer00
lcer00 09.05.2022 um 11:16:15 Uhr
Goto Top
Hallo
Zitat von @Dani:

Moin @lcer00
Und ist das ohne ständiges Nacharbeiten administrierbar?
Ich musste erst mal in Keller zum Lachen... Proxy weg, Allow all Rule auf der Firewall. ;-) face-wink
Danke, gelöst! :) face-smile
Mir geht es um die Zieladressen für
Windows Updates
Azure AD Synchronisation
Office 365 Zugriff
Bei uns ist der Status der Dienste aktuell wie folgt:
1) Ist über Proxy möglich.
2) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
3) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
Das bedeutet aber, dass Ihr dem Proxy eigentlich kaum eine sicherheitsrelevante Rolle zuordnet.
Wird über Application Control der Firewall eingeschränkt.
Das ist auch mein Plan B. Was nehmt Ihr da? Windows-Bordmittel (währe sehr mühsam für das Einschränken der Zieladressen) oder Drittanbieter?

Grüße

lcer
Mitglied: colinardo
colinardo 09.05.2022 aktualisiert um 12:05:52 Uhr
Goto Top
Servus,
MS stellt doch über den Webserice die aktuellen URLS und IPs für die Services als JSON oder CSV bereit, kleines Skript dahinter und das erledigt dann das Pflegen.

Grüße Uwe
Mitglied: lcer00
lcer00 09.05.2022 um 12:16:57 Uhr
Goto Top
Hallo,
Zitat von @colinardo:

Servus,
MS stellt doch über den Webserice die aktuellen URLS und IPs für die Services als JSON oder CSV bereit, kleines Skript dahinter und das erledigt dann das Pflegen.
Das habe ich schon. Für die Firewall aktualisiere ich darüber die Aliase, allerdings nur für einzelne Server, quasi halbherzig testweise. (Sorry, hatte ich unterschlagen ...)

Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.

Grüße

lcer
Mitglied: colinardo
colinardo 09.05.2022 um 12:18:44 Uhr
Goto Top
Zitat von @lcer00:
Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
Teste doch :-) face-smile.
Mitglied: lcer00
lcer00 09.05.2022 um 12:28:59 Uhr
Goto Top
Hallo,
Zitat von @colinardo:

Zitat von @lcer00:
Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
Teste doch :-) face-smile.
Ja, mache ich. Aber es würde keinen Sinn machen etwas zu teste, von dem hier sowieso alle aus Erfahrung abraten. Deshalb die Frage.

Grüße

lcer
Mitglied: unbelanglos
unbelanglos 09.05.2022 um 13:22:38 Uhr
Goto Top
Es ist ja nicht so, dass davon abgeraten wird, sondern es bestehen Zweifel, dass der Aufwand wirklich mehr Sicherheit bringt.

Squid auf Debian sagt eigentlich auch nichts über die Sicherheit aus.