{"id":275073,"date":"2022-11-15T00:01:00","date_gmt":"2022-11-14T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275073"},"modified":"2024-02-19T07:51:51","modified_gmt":"2024-02-19T06:51:51","slug":"windows-server-2012-r2-sophos-user-authentifizierung-mittels-heartbeat-auf-rds-servern-abgeschaltet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/15\/windows-server-2012-r2-sophos-user-authentifizierung-mittels-heartbeat-auf-rds-servern-abgeschaltet\/","title":{"rendered":"Windows Server 2012 R2: Sophos User-Authentifizierung mittels Heartbeat auf RDS-Servern abgeschaltet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurzer Hinweis f\u00fcr Administratoren, die Windows Server 2012 R2 einsetzen und sich auf die Sophos User-Authentifizierung per Sophos Security Heartbeats verlassen. Sophos hat ein Update verteilt, welches die Funktion auf Windows Server 2012 R2 stillschweigend au\u00dfer Kraft setzt. Ein Blog-Leser hat mich diesbez\u00fcglich informiert, und ich bringe es im Blog, da dies vielleicht einige andere Nutzer interessiert bzw. tangiert.<\/p>\n

<\/p>\n

\"\"Blog-Leser Matthias R. hat mich gestern per E-Mail kontaktiert, um mich \u00fcber eine recht unsch\u00f6ne Erfahrung mit Sophos zu informieren. Matthias schrieb mir dazu, dass es um die Authentifizierung von Terminalserver-Benutzern unter Windows Server 2012 R2 gehe. Hierzu gab es urspr\u00fcnglich von Sophos einen dedizierten Client, den SATC (Sophos<\/i> Authentication for Thin Client), der diese Aufgabe \u00fcbernahm.<\/p>\n

Das war eine Software, die auf den RDS-Server installiert wurde und die User authentifiziert. Da diese Software aber nie so wirklich funktionierte, so Matthias, habe Sophos die Entscheidung getroffen diese Software zugunsten des in der Endpoint Protection implementierten Heartbeats abzul\u00f6sen.<\/p>\n

Laut diesem Sophos-Dokument<\/a> ist Security Heartbeat ist eine Funktion, mit der Endger\u00e4te und Firewalls ihren Integrit\u00e4tsstatus miteinander austauschen k\u00f6nnen. F\u00fcr die Authentifizierung ist hier also die Endpoint Protection von Sophos zust\u00e4ndig, der mit der Firewall kommuniziert.<\/p>\n

Sophos Heartbeats per Update deaktiviert<\/h2>\n

Die oben erw\u00e4hnte L\u00f6sung mit Heartbeat habe auch eine Zeit lang funktioniert, schreibt Matthias. Aber nun hat Sophos nach seiner Aussage den Support f\u00fcr Server 2012 R2 ohne vorherige Ank\u00fcndigung einfach stillschweigend beendet. Laut Matthias hat ein Update, welches im Hintergrund silent installiert wurde, den Support f\u00fcr Heartbeats entfernt. Matthias schreibt dazu:<\/p>\n

Ab sofort greifen also eine Vielzahl unserer Firewall-Regeln nicht, welche auf Gruppen- oder Userebene implementiert wurden. Hei\u00dft, dass die Marketing-Abteilung pl\u00f6tzlich nicht mehr zur Adobe Cloud kommunizieren, spezielle User kein FTP mehr machen k\u00f6nnen. Oder noch schlimmer dass User, denen der Internetzugriff g\u00e4nzlich gesperrt wurde, auf einmal wieder surfen k\u00f6nnen.<\/p>\n

Damit einher greifen eine Vielzahl unserer Content-Filter nicht mehr und und und. Viele Bausteine unseres Security-Konzepts greifen also seit Monaten nicht mehr, weil der Hersteller Features stillschweigend ohne jede Kommunikation zum Endkunden abgeschaltet hat.<\/p><\/blockquote>\n

Was Matthias besonders unangenehm aufgefallen ist, ist der katastrophale Sophos-Support, der f\u00fcr die Kl\u00e4rung des Sachverhalts wohl Monate ben\u00f6tigte. Es vergingen Wochen, ehe sich ein Sophos-Techniker erbarmt sich des Problems anzunehmen. Bei so einem wichtigen Thema ein Unding.<\/p>\n

Windows Server 2012 R2 in einem Jahr EOL<\/h2>\n

Matthias ist klar, dass Windows Server 2012 R2 EOL ist und nur noch Extended Support erh\u00e4lt. Trotzdem erh\u00e4lt das Microsoft Produkt noch fast 1 Jahr Sicherheitsupdates, und es ist somit legitim dieses Produkt weiter einzusetzen. Trotzdem kann Sophos seiner Meinung nach nicht einfach stillschweigend ein Feature entfernen, welches f\u00fcr Terminalserver lebensnotwendig ist und wodurch das Sicherheitskonzept in Schieflage ger\u00e4t.<\/p>\n

Kundensupport von Sophos unterirdisch<\/h2>\n

Matthias hat seine Erfahrungen und dem unterirdischen Kunden-Support des Herstellers Sophos in seiner Mail sehr konkret beschrieben: Sophos habe mit mehreren Supportlern dieses Ph\u00e4nomen inspiziert. Matthias hat haben locker 10 Stunden mit seinen Dienstleister und zusammen mit einem Sophos Techniker analysiert, Logdateien gezogen, Testserver installiert etc. Das Ganze zog sich \u00fcber mehrere Monate.<\/p>\n

Am Ende des Tages kam die Info, dass das By-Design nicht mehr funktioniere und das Sophos dieses Feature auch f\u00fcr Windows Server 2012 R2 nicht mehr implementieren wird. Die Begr\u00fcndung lautet: Weil der Mainstream-Support f\u00fcr Windows Server 2012 R2 ja abgelaufen sei. Die Erfahrung von Matthias dazu lautet:<\/p>\n

Der Hersteller Sophos schaltet also ein f\u00fcr Terminalserver elementares Feature ab, ohne den Endkunden, geschweige denn seine eigenen Supporter, dar\u00fcber zu informieren. Denn selbst die Sophos Techniker und Supporter waren nicht informiert und haben analysiert, debugged, Logdateien inspiziert etc. weil sie dachten es handele sich um einen Fehler.<\/p><\/blockquote>\n

Jetzt, erst nach mehreren Monaten kam dann die Information, dass das technisch so gewollt sei und und dass man sich entschieden hat die User-Authentifizierung auf Windows Server 2012 R2 nicht mehr \u00fcber den Heartbeat zu supporten.<\/p>\n

SSL Offloading f\u00fcr Sophos XGS Firewalls nutzlos<\/h2>\n

Zus\u00e4tzlich merkt Matthias an, dass in seinem Unternehmen letztes Jahr 2 neue Sophos XGS Firewalls f\u00fcr teuer Geld gekauft wurden. Hintergrund ist, dass nur diese neue Generation das SSL-Offloading supportet. Das soll laut Sophos einen deutlichen Mehrgewinn bei der Performance in der SSL-Inspektion bieten. Der Benutzer merkt dazu an:<\/p>\n

Da wir jetzt aufgrund des nicht mehr supporteten Szenarios auf einen Work-Around umschwenken m\u00fcssen, k\u00f6nnen wir dieses angepriesene Killer-Feature im \u00dcbrigen nicht mehr nutzen, sprich von der Investition der neuen Hardware haben wir aktuell \u00fcberhaupt keinen Vorteil.<\/p><\/blockquote>\n

Vielleicht ist diese Information f\u00fcr andere Nutzer in diesem Umfeld von Interesse – jedenfalls danke an Matthias f\u00fcr den Hinweis. Dass der Support von Sophos nicht musterg\u00fcltig ist, habe ich bereits in anderen Blog-Beitr\u00e4gen aufgezeigt – ich erinnere an den Beitrag Sophos patzt bei Malware-Samples, Support-Kontaktm\u00f6glichkeiten miserabel<\/a> von September 2021.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurzer Hinweis f\u00fcr Administratoren, die Windows Server 2012 R2 einsetzen und sich auf die Sophos User-Authentifizierung per Sophos Security Heartbeats verlassen. Sophos hat ein Update verteilt, welches die Funktion auf Windows Server 2012 R2 stillschweigend au\u00dfer Kraft setzt. Ein Blog-Leser … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-275073","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275073"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275073\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275073"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}