GPO Microsoft Security Compliance Computer - Sophos UTM Proxy

[drzoidberg 0]

Ich versuch mal meine Frage unter Security, vielleicht hatte dieses Problem schon jemand:

 

Situation: Netzwerk, AD Server 2008R2, Windows 7 Client, als Proxy-Server Sophos UTM 9

 

Habe als Basis-GPO für meine Standardcomputer (Win7) die Microsoft Security Compliance Richtlinie 1.0 für Computer genommen (also die aktuelle Richtlinie für Win7SP1 aus dem MS Security Compliance Manager). Darin sind über 200 Einstellungen. Ob man dies in der Praxis (ca. 400 PCs) Sinn macht wäre eine Zwischenfrage, habe dies schon 2 Jahre so im Einsatz, bisher eigentlich keine Probleme.

 

Neu ist nun als Proxy-Server die UTM9 von Sophos. Funktioniert soweit ganz gut (es wird grundsätzlich über Citrix gearbeitet), nur bei lokalen PCs mit der besagten Security-Richtlinie von MS funktioniert der Proxy-Server nicht. Es erscheint immer im IE nach 2-3min "Sanduhr" die Meldung "Seite kann nicht angezeigt werden", nimmt man die GPO von MS weg bzw. schiebt man den Client in eine OU ohne diese GPO von MS funktioniert der Client und man kommt beim Öffnen des IE sofort über den Sophos-Proxy ins Internet.

 

Da ich gerne die Gpo von MS behalten möchte (es sei den es sprechen Argumente dagegen) habe ich nun die Möglichkeit über 200 Einstellungen einzeln durchzuprobieren und zu hoffen das es nur eine Einstellung ist und ich diese finde...oder das Problem hatte schon jemand (evtl. ähnlich) und kann mir sagen an welcher Einstellung es liegt????

 

 

 

 

 

 

 

 

[agmblp4eh4e 10]

Hast du die GPO auch angepasst und den Proxy eingetragen ? weil nur der export durch den SCM beinhaltet ja nur gewisse standardempfehlungen von MS und gewisse sachen müssen auf die bedürfnisse der firma angepasst werden.

[drzoidberg 0]

Hallo,

 

habe jetzt mühevoll einzelne Einstellungen geändert und immer wieder versucht! Habe die "fehlerhafte" Einstellung (in Zusammenarbeit mit Sophos-Webproxy) gefunden:

 

Computerkonfig -> Richtlinien -> Win-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsrichtlinien:

 

Punkt "Netzwerksicherheit: Minimale Sitzungsicherheit für NTLM-SSP-basierte Clients)" steht Standardmäßig auf "128Bit-Verschlüsselung erfordern", mit SCM-Vorgabe von MS ist zusätzlich bei dieser Einstellung "NTLMv2-Sitzungsicherheit erfordern" angehackt. Diesen zweiten Haken habe ich wieder wegenommen -> Sophos Webproxy funktioniert!

 

Es kann durchaus sein, dass man diesbzgl. auch eine Einstellung bei der Sophos-UTM machen könnte, aber so funktoiert es auf jeden Fall!!

[heuchler 17]

Interessant wäre es ob diese Einstellung an sich Probleme bereitet (weil NTLMv2 nicht unterstütztz), oder ob das Problem lediglich durch die AD SSO Einstellung initiiert wird.
Hast Du mal während dessen ins Log geschaut (gut, man hat wohl andere Probleme wenn der Proxy nichts durchlässt ;) )
Ich teste die Einstellung mal bei uns - weiß nur nicht ob ich heute dazu komme...