9
Proxyserver im LAN für Nutzung von Office 365 und Windows 10
Hallo zusammen,
wir habe im LAN einen Proxy (Squid auf Debian) für einzelne Anwendungen (z.B. Zugriff auf Virenscanner-Updatserver) laufen. Ich würde das gerne erweitern und unsere PCs und Server besser schützen indem ich den gesamten Zugriff auf das Internet nur noch über den Proxyserver (mit entsprechender Filterung) zulasse. Ist das heute in einem "normalen" Windowssystem überhaupt möglich bzw. administrierbar? Mir geht es um die Zieladressen für
sowie um die Konfiguration der Windows-PC selbst.
Anleitungen für Windows Updates mit squid gibt es zu Hauf, aber irgendwie sind die alle nicht aktuell.
Bei Azure und Office365 ist es auch recht ausschweifend, die Zieladressen zu erhalten. Man findet zwar Seiten wie https://docs.microsoft.com/en-us/microsoft-365/enterprise/managing-offic ..., aber da wird ja gefühlt das halbe Internet freigegeben.
Also: Hat jemand ein Proxy-System am Laufen, das Windows und Office365 nicht beschränkt, aber den Rest verbiete? Und ist das ohne ständiges Nacharbeiten administrierbar?
Grüße
lcer
wir habe im LAN einen Proxy (Squid auf Debian) für einzelne Anwendungen (z.B. Zugriff auf Virenscanner-Updatserver) laufen. Ich würde das gerne erweitern und unsere PCs und Server besser schützen indem ich den gesamten Zugriff auf das Internet nur noch über den Proxyserver (mit entsprechender Filterung) zulasse. Ist das heute in einem "normalen" Windowssystem überhaupt möglich bzw. administrierbar? Mir geht es um die Zieladressen für
- Windows Updates
- Azure AD Synchronisation
- Office 365 Zugriff
sowie um die Konfiguration der Windows-PC selbst.
Anleitungen für Windows Updates mit squid gibt es zu Hauf, aber irgendwie sind die alle nicht aktuell.
Bei Azure und Office365 ist es auch recht ausschweifend, die Zieladressen zu erhalten. Man findet zwar Seiten wie https://docs.microsoft.com/en-us/microsoft-365/enterprise/managing-offic ..., aber da wird ja gefühlt das halbe Internet freigegeben.
Also: Hat jemand ein Proxy-System am Laufen, das Windows und Office365 nicht beschränkt, aber den Rest verbiete? Und ist das ohne ständiges Nacharbeiten administrierbar?
Grüße
lcer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 2727993111
Url: https://administrator.de/contentid/2727993111
Ausgedruckt am: 23.04.2024 um 19:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
so ist es, meine Whitelists enthalten ca. 80 Einträge für obigen "Mist". Sind aber auch alle von 2015, da musste ich bisher nichts anpassen.
VG
Bei Azure und Office365 ist es auch recht ausschweifend, die Zieladressen zu erhalten. Man findet zwar Seiten wie https://docs.microsoft.com/en-us/microsoft-365/enterprise/managing-offic ..., aber da wird ja gefühlt das halbe Internet freigegeben.
so ist es, meine Whitelists enthalten ca. 80 Einträge für obigen "Mist". Sind aber auch alle von 2015, da musste ich bisher nichts anpassen.
VG
Proxy PAC usw wird weiterhin unterstützt. Transparenter Proxy oder NAT-Regeln können dir auch helfen.
Moin @lcer00
Im Ernst: Das hängt davon ab, welche Dienste du von Office365/Microsoft 365 nutzt und wie restriktiv du bist. Hängt eben auch von den Personalressourcen ab. Du kannst mit der Liste ein ganzes Team jeden Tag beschäftigen.
1) Ist über Proxy möglich.
2) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
3) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
Gruß,
Dani
Und ist das ohne ständiges Nacharbeiten administrierbar?
Ich musste erst mal in Keller zum Lachen... Proxy weg, Allow all Rule auf der Firewall. Im Ernst: Das hängt davon ab, welche Dienste du von Office365/Microsoft 365 nutzt und wie restriktiv du bist. Hängt eben auch von den Personalressourcen ab. Du kannst mit der Liste ein ganzes Team jeden Tag beschäftigen.
Mir geht es um die Zieladressen für
Windows Updates
Azure AD Synchronisation
Office 365 Zugriff
Bei uns ist der Status der Dienste aktuell wie folgt:Windows Updates
Azure AD Synchronisation
Office 365 Zugriff
1) Ist über Proxy möglich.
2) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
3) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
Gruß,
Dani
Hallo
1) Ist über Proxy möglich.
2) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
3) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
Das bedeutet aber, dass Ihr dem Proxy eigentlich kaum eine sicherheitsrelevante Rolle zuordnet.
Grüße
lcer
Zitat von @Dani:
Moin @lcer00
Danke, gelöst! Moin @lcer00
Und ist das ohne ständiges Nacharbeiten administrierbar?
Ich musste erst mal in Keller zum Lachen... Proxy weg, Allow all Rule auf der Firewall. Mir geht es um die Zieladressen für
Windows Updates
Azure AD Synchronisation
Office 365 Zugriff
Bei uns ist der Status der Dienste aktuell wie folgt:Windows Updates
Azure AD Synchronisation
Office 365 Zugriff
1) Ist über Proxy möglich.
2) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
3) Läuft am Proxy vorbei. Wird über Application Control der Firewall eingeschränkt.
Wird über Application Control der Firewall eingeschränkt.
Das ist auch mein Plan B. Was nehmt Ihr da? Windows-Bordmittel (währe sehr mühsam für das Einschränken der Zieladressen) oder Drittanbieter?Grüße
lcer
Hallo,
Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
Grüße
lcer
Zitat von @colinardo:
Servus,
MS stellt doch über den Webserice die aktuellen URLS und IPs für die Services als JSON oder CSV bereit, kleines Skript dahinter und das erledigt dann das Pflegen.
Das habe ich schon. Für die Firewall aktualisiere ich darüber die Aliase, allerdings nur für einzelne Server, quasi halbherzig testweise. (Sorry, hatte ich unterschlagen ...)Servus,
MS stellt doch über den Webserice die aktuellen URLS und IPs für die Services als JSON oder CSV bereit, kleines Skript dahinter und das erledigt dann das Pflegen.
Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
Grüße
lcer
Zitat von @lcer00:
Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
Teste doch Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
.
Hallo,
Grüße
lcer
Zitat von @colinardo:
.
Ja, mache ich. Aber es würde keinen Sinn machen etwas zu teste, von dem hier sowieso alle aus Erfahrung abraten. Deshalb die Frage.Zitat von @lcer00:
Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
Teste doch Die Frage ist, ob das "im Allgemeinen" zuverlässig funktioniert, so dass man das tatsächlich so im Produktionsbetrieb machen kann.
.Grüße
lcer
Es ist ja nicht so, dass davon abgeraten wird, sondern es bestehen Zweifel, dass der Aufwand wirklich mehr Sicherheit bringt.
Squid auf Debian sagt eigentlich auch nichts über die Sicherheit aus.
Squid auf Debian sagt eigentlich auch nichts über die Sicherheit aus.
