Windows Server 2012 R2: Sophos User-Authentifizierung mittels Heartbeat auf RDS-Servern abgeschaltet

Sicherheit (Pexels, allgemeine Nutzung)[English]Kurzer Hinweis für Administratoren, die Windows Server 2012 R2 einsetzen und sich auf die Sophos User-Authentifizierung per Sophos Security Heartbeats verlassen. Sophos hat ein Update verteilt, welches die Funktion auf Windows Server 2012 R2 stillschweigend außer Kraft setzt. Ein Blog-Leser hat mich diesbezüglich informiert, und ich bringe es im Blog, da dies vielleicht einige andere Nutzer interessiert bzw. tangiert.


Anzeige

Blog-Leser Matthias R. hat mich gestern per E-Mail kontaktiert, um mich über eine recht unschöne Erfahrung mit Sophos zu informieren. Matthias schrieb mir dazu, dass es um die Authentifizierung von Terminalserver-Benutzern unter Windows Server 2012 R2 gehe. Hierzu gab es ursprünglich von Sophos einen dedizierten Client, den SATC (Sophos Authentication for Thin Client), der diese Aufgabe übernahm.

Das war eine Software, die auf den RDS-Server installiert wurde und die User authentifiziert. Da diese Software aber nie so wirklich funktionierte, so Matthias, habe Sophos die Entscheidung getroffen diese Software zugunsten des in der Endpoint Protection implementierten Heartbeats abzulösen.

Laut diesem Sophos-Dokument ist Security Heartbeat ist eine Funktion, mit der Endgeräte und Firewalls ihren Integritätsstatus miteinander austauschen können. Für die Authentifizierung ist hier also die Endpoint Protection von Sophos zuständig, der mit der Firewall kommuniziert.

Sophos Heartbeats per Update deaktiviert

Die oben erwähnte Lösung mit Heartbeat habe auch eine Zeit lang funktioniert, schreibt Matthias. Aber nun hat Sophos nach seiner Aussage den Support für Server 2012 R2 ohne vorherige Ankündigung einfach stillschweigend beendet. Laut Matthias hat ein Update, welches im Hintergrund silent installiert wurde, den Support für Heartbeats entfernt. Matthias schreibt dazu:

Ab sofort greifen also eine Vielzahl unserer Firewall-Regeln nicht, welche auf Gruppen- oder Userebene implementiert wurden. Heißt, dass die Marketing-Abteilung plötzlich nicht mehr zur Adobe Cloud kommunizieren, spezielle User kein FTP mehr machen können. Oder noch schlimmer dass User, denen der Internetzugriff gänzlich gesperrt wurde, auf einmal wieder surfen können.

Damit einher greifen eine Vielzahl unserer Content-Filter nicht mehr und und und. Viele Bausteine unseres Security-Konzepts greifen also seit Monaten nicht mehr, weil der Hersteller Features stillschweigend ohne jede Kommunikation zum Endkunden abgeschaltet hat.

Was Matthias besonders unangenehm aufgefallen ist, ist der katastrophale Sophos-Support, der für die Klärung des Sachverhalts wohl Monate benötigte. Es vergingen Wochen, ehe sich ein Sophos-Techniker erbarmt sich des Problems anzunehmen. Bei so einem wichtigen Thema ein Unding.

Windows Server 2012 R2 in einem Jahr EOL

Matthias ist klar, dass Windows Server 2012 R2 EOL ist und nur noch Extended Support erhält. Trotzdem erhält das Microsoft Produkt noch fast 1 Jahr Sicherheitsupdates, und es ist somit legitim dieses Produkt weiter einzusetzen. Trotzdem kann Sophos seiner Meinung nach nicht einfach stillschweigend ein Feature entfernen, welches für Terminalserver lebensnotwendig ist und wodurch das Sicherheitskonzept in Schieflage gerät.

Kundensupport von Sophos unterirdisch

Matthias hat seine Erfahrungen und dem unterirdischen Kunden-Support des Herstellers Sophos in seiner Mail sehr konkret beschrieben: Sophos habe mit mehreren Supportlern dieses Phänomen inspiziert. Matthias hat haben locker 10 Stunden mit seinen Dienstleister und zusammen mit einem Sophos Techniker analysiert, Logdateien gezogen, Testserver installiert etc. Das Ganze zog sich über mehrere Monate.

Am Ende des Tages kam die Info, dass das By-Design nicht mehr funktioniere und das Sophos dieses Feature auch für Windows Server 2012 R2 nicht mehr implementieren wird. Die Begründung lautet: Weil der Mainstream-Support für Windows Server 2012 R2 ja abgelaufen sei. Die Erfahrung von Matthias dazu lautet:


Anzeige

Der Hersteller Sophos schaltet also ein für Terminalserver elementares Feature ab, ohne den Endkunden, geschweige denn seine eigenen Supporter, darüber zu informieren. Denn selbst die Sophos Techniker und Supporter waren nicht informiert und haben analysiert, debugged, Logdateien inspiziert etc. weil sie dachten es handele sich um einen Fehler.

Jetzt, erst nach mehreren Monaten kam dann die Information, dass das technisch so gewollt sei und und dass man sich entschieden hat die User-Authentifizierung auf Windows Server 2012 R2 nicht mehr über den Heartbeat zu supporten.

SSL Offloading für Sophos XGS Firewalls nutzlos

Zusätzlich merkt Matthias an, dass in seinem Unternehmen letztes Jahr 2 neue Sophos XGS Firewalls für teuer Geld gekauft wurden. Hintergrund ist, dass nur diese neue Generation das SSL-Offloading supportet. Das soll laut Sophos einen deutlichen Mehrgewinn bei der Performance in der SSL-Inspektion bieten. Der Benutzer merkt dazu an:

Da wir jetzt aufgrund des nicht mehr supporteten Szenarios auf einen Work-Around umschwenken müssen, können wir dieses angepriesene Killer-Feature im Übrigen nicht mehr nutzen, sprich von der Investition der neuen Hardware haben wir aktuell überhaupt keinen Vorteil.

Vielleicht ist diese Information für andere Nutzer in diesem Umfeld von Interesse – jedenfalls danke an Matthias für den Hinweis. Dass der Support von Sophos nicht mustergültig ist, habe ich bereits in anderen Blog-Beiträgen aufgezeigt – ich erinnere an den Beitrag Sophos patzt bei Malware-Samples, Support-Kontaktmöglichkeiten miserabel von September 2021.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Windows Server 2012 R2: Sophos User-Authentifizierung mittels Heartbeat auf RDS-Servern abgeschaltet

  1. Fritz sagt:

    Mich bestätig das in zwei Dingen:
    Seit diversen Management-Umstrukturierungen, die zeitlich etwa mit dem Brexit zusammenfielen ist alles an Support unterirdisch.
    Die Antivirus-Lösung haben wir inzwischen ersetzt, Die XGS, Sandstorm, InterceptX, die Cloudlösungen und die 2FA haben wir nie genutzt und auch die UTM-Lizensen werden nicht verlängert, sobald die 3 Jahre um sind.
    Sicher schmerzt der Wechsel, aber zu bleiben schmerzt mehr.

  2. Lurker sagt:

    Die Aussage das SSL-Offloading bzw. SSL-Inspektion nur durch die neue Generation der Sophos XGS supported wird, ist schlicht falsch. Auch die vorherige Generation (Sophos XG) unterstützt diese Funktion. Wie es um die UTM steht weiß ich nicht, würde mich aber wundern wenn das anders wäre.

    Es gibt zwischen dem Security Heartbeat und der SSL-Inspektion keinen Zusammenhang, beide Funktionen stehen für sich. Aufgrund der gelieferten Informationen geht nicht klar hervor weshalb die SSL-Inspektion aktuell nicht mehr genutzt werden kann.

    Das der Security Heartbeat unter Windows Server 2012 R2 scheinbar nicht mehr funktioniert, ist in der Tat ärgerlich.

    • Matthias sagt:

      Bei der XGS wurde das SSL Offloading auf eine s.g. NPU ausgelagert. Dies verspricht einen massiven Performancegewinn in der SSL-Inspection. Und dieses SSL Offloading mittels NPU unterstützt nur die XGS und NICHT die XG. Von daher ist die Aussage schon korrekt. Somit kann das Killerfeature SSL Offloading mittels NPU, wofür die XGS gekauft wurde, nicht genutzt werden, da als Work-Around der implizite Proxy genutzt werden muss, für den das NPU-Offloading nicht genutzt werden kann.

      https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/GettingStarted/Architecture/index.html

      • Daniel sagt:

        Im Artikel steht SSL Offloading wird nur unterstützt von der XGS. Da muss ich Lurker Recht geben, dass die Aussage falsch ist.
        Das Offloading wird von beiden Genarationen unterstützt. Neu dazu gekommen ist die NPU – das ist richtig. Diese sorgt für eine schnellere Abhandlung. Auf der XG-Serie wird die NPU auf dem vorhandenen Prozessor emuliert. Funktionsumfang: identisch. Leistungsumfang: je nach Nutzung ein Plus für die XGS.

        Mit dem Support habe ich auch negative Erfahrungen gemacht. Aber er ist besser geworden. Das kann ich von meiner Seite bestätigen, als auch von anderen IT-Kollegen mit denen ich in Kontakt stehe. Da scheint sich Sophos etwas mehr Mühe zu geben. Meine Erfahrung: Sei freundlich zum Support, dann ist er auch freundlich zu dir und unterstützt schneller und besser. Leicht haben die Kollegen es sicherlich auch nicht Tag für Tag.

        Das Sophos die Funktion einstellt ist natürlich ärgerlich. Zumal es auch keine Ankündigung gegeben haben soll. Das ist nicht die feine Art.
        Allerdings kann ich Sophos auch verstehen, dass das OS nicht mehr supported wird. Es handelt sich um ein Betriebssystem welches jetzt über 9 Jahre alt ist. Die IT ist in den letzten Jahren sehr schnell wachsend. Das man hier auch in der selbst verwalteten IT mitwachsen muss, muss einem klar sein. Seit Erscheinen von 2012R2 sind auch schon drei neue Versionen erschienen. IT ist kosten- und arbeitsintentiv. Das ist so, aber muss es einem auch wert seit mit den ständigen Sicherheitsbedrohungen. Meine Meinung.
        Ob man hier bei anderen Herstellern anders verfährt, kann ich mir fast nicht vorstellen. Außer, dass es evtl eine Ankündigung gibt…

Schreibe einen Kommentar zu Lurker Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.