[English]Kurze Rundumfrage an die Leserschaft des Blogs. Mir liegt eine Meldung vor, dass der Defender for Endpoint Fehlfunktionen im URL-Filtering aufweist. Es wäre in diesem Kontext von Interesse, ob es weitere Betroffene gibt oder ob der Leser ein Einzelfall ist. Tangiert sind Unternehmen, wo Defender for Endpoint in Verbindung mit Windows 11 22H2 sowie Microsoft 365 zum Einsatz kommt.
Anzeige
Kurze Einordnung
Der Microsoft Defender für Endpunkt ist eine Endpunkt-Sicherheitsplattform für Unternehmen, die Unternehmensnetzwerken dabei helfen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und auf diese zu reagieren. Von Microsoft stehen verschiedene Pläne für Abonnements zur Verfügung.
Eine der Funktionen des Defender for Endpoint ermöglicht die Filterung von Webinhalten als Teil der Webschutzfunktionen. Administratoren können mit der Webinhaltsfilterung den Zugriff auf Websites anhand ihrer Inhaltskategorien verfolgen und regulieren. Viele dieser Websites (selbst wenn sie nicht bösartig sind) können aufgrund von Compliance-Vorschriften, Bandbreitennutzung oder anderen Bedenken problematisch sein. Über Richtlinien lässt sich der Zugriff auf eine Kategorie blockieren. Dies verhindert, dass Benutzer innerhalb bestimmter Gerätegruppen auf URLs zugreifen können, die mit dieser Kategorie verbunden sind.
Für jede Kategorie, die nicht blockiert ist, werden die URLs automatisch überprüft. Benutzer können ohne Unterbrechung auf die URLs zugreifen, und Administratoren sammeln Zugriffsstatistiken, um eine individuellere Richtlinienentscheidung zu treffen. Die Benutzer erhalten eine Blockierungsbenachrichtigung, wenn ein Element auf der angezeigten Seite eine blockierte Ressource aufruft.
Probleme beim URL-Filter
Ein Blog-Leser hat mich vor einigen Stunden per Mail kontaktiert und mich darüber informiert, dass er Probleme mit dem URL-Filter des Defender for Endpoint festgestellt hat. Der Leser schrieb:
Ich bin fleißiger Leser Ihres Blogs, danke für die immer top aufbereiteten Themen.
Vielleicht ist dieses Thema auch für andere ein Thema?
Seit heute Morgen [GB: 15. August 2023] funktioniert das URL-Filtering vom Defender for Endpoint nicht mehr. Wir arbeiten mit Windows 11 Enterprise 22H2 und nutzen Microsoft 365 E5.
Die Einstellungen im Admincenter von Microsoft 365 sind korrekt und wurden sicherheitshalber nochmals kontrolliert.
Dieses Problem gab es schon kurz am vergangenen Freitagnachmittag (11. August), aber nach zwei Stunden funktionierte die URL-Filterung wieder von alleine.
Wir haben auch bereits am Freitag ein Ticket im Admincenter von Microsoft 365 eingereicht, aber bisher keine Rückmeldung erhalten. Es scheint wohl ein Problem beim Ticketsystem zu geben, da nicht einmal aufscheint, dass ein Mitarbeiter dem Ticket zugewiesen wurde. Daher habe ich heute noch weitere Tickets eingereicht.
Meine Recherchen im Web haben keine Treffer ergeben.
Daher gebe ich die Frage an die Leserschaft weiter, ob jemand in diesem Kontext ebenfalls Probleme mit der URL-Filterung festgestellt hat.
Defender als Angreifer
Ich habe es nicht thematisiert – aber im April 2023 wurde eine Sicherheitslücke im Defender gefixt. Forscher konnten demonstrieren, wie sich diese Sicherheitslücke nutzen lässt, um den Defender in ein Angriffstool zu verwandeln. Eine modifizierte Signaturdatei ermöglichte allerlei Operationen wie das Löschen von Systemdateien. Sicherheitsforscher der Firma SafeBreach Labs haben die Details auf der diesjährigen Black-Hat-Konferenz erläutert. heise hat das Thema in diesem Artikel aufbereitet.
2015
Das Problem mit dem Defender WCF ist mir bereits letzte Woche bei routinemäßigen checks aufgefallen. Dies betrifft den Edge Browser, als auch third-Party Browser Ich habe darauf hin alle Richtlinien in Intune überprüft. Die Network Protection im Defender Antivirus Profil ist aktiv. Das Profil ist bei meinen Clients erfolgreich zugewiesen. Ebenso habe ich die Richtlinien im Security Center überprüft.
Als Test habe ich eine neue Filter Kategorie angelegt und einer Testgruppe zugewiesen.
Auch hier wieder kein Erfolg.
Getestet habe ich über die blocking Category Weapons mit der Website des Waffenherstellers Heckler&Koch.
Diese Website habe ich vor ein paar Monaten schon immer zum Testen hergenommen. Diese wird nun nicht mehr blockiert.
Ich habe darauf hin den MDE Analyzer ausgeführt. Ein Screenshot ist im Anhang. Auch hier steht die Network Protection auf block mode.
In diesem Beitrag habe andere Benutzer ähnliche Probleme. Es scheint also ein allgemeines Problem vorzuliegen. Web content filtering and indicator aren't working on third party browser
Danke für die Ergänzung – den Link hatte ich bei der Suche nicht gefunden.
Wie bitte?
Heckler&Koch werden bei euch gesperrt?
Geht's noch?
Das ist ja wohl eher politisch willkürlich begründet als das von dort eine Gefahr ausgeht?
Morgen sperrt ihr dann noch z.B. "Sony" oder "Nvidia" weil ja ganz klar "Gaming" und "Musik" (das die auch Chips bauen interessiert nicht), von Kollateralschäden durch false Positive ganz zu schweigen.
Kann man ja ggf. freischalten? Sonst gibt's nichts zutun?
Welcher User würde bei so einem schlechten Betriebsklima der Angst und Überwachung einen evtl. False Positive melden? (Den er Zuhause hätte nach surfen müssen…)
Wer mag da arbeiten?
Die erste Garde?
ich dachte zuerst an Sarkasmus, leider liest sich das dann doch wie ein erstgemeinter Kommenar von jemanden, der in keinem Unternehmen arbeitet.
Da mag man arbeiten, da sich die IT-Kollegen um alles kümmern. Surfen kann man Zuhause! ;)
Also Sony steht auf meiner Sperrliste ganz oben, da sie bereits zum 2. Mal (der erste Fall war Quad9) mit Unterstützung des LG Hamburg erfolgreich das DNS des Internet korrumpiert haben: https://www.heise.de/news/Nach-Hamburger-Urteil-Uberspace-nimmt-Youtube-DL-Seite-aus-dem-Web-9242594.html
Abgesehen davon, dass sie früher mit verfälschten Audio-CDs vorsätzlich Windows-Rootkits verbreitet haben (als angeblichen Kopierschutz).
Was ist denn das genaue Problem (konnte ich jetzt im Artikel und der Leserzuschrift nicht exakt erkennen):
– URL-Filter filtert gar nicht mehr?
– URL-Filter blockt zuviel?
"funktioniert nicht" ist immer so eine Aussage, wo ich die User bitte, diese doch etwas zu präzisieren ;-)
Stimmt, sorry ;)
Folgend eine genauere Erklärung:
Es gibt drei Stufen, die ich in den vergangenen Tagen feststellen "durfte" und diese verschiedenen Stufen variieren:
1) Funktioniert wie gewünscht, so wie am vergangenen Freitagvormittag, Sonntag und Montag. Es wird sofort die Meldung angezeigt: "Dieser Inhalt wird von Ihrem IT-Administrator blockiert".
2) Am vergangenen Freitagnachmittag (11. August) funktionierte der URL-Filter vom Defender überhaupt nicht, also es wurde keine URL geblockt, die hätte geblockt werden müssen. Seit gestern werden zu 95 % überhaupt keine URLs geblockt, die restlichen 5 % siehe Option 3.
3) Es funktioniert nur teilweise, also innerhalb der gleichen Stunde funktioniert der URL-Filter überhaupt nicht oder nicht wie gewohnt / teilweise.
Wenn der URL-Filter nur teilweise funktioniert, dann wird eine URL nicht sofort geblockt, sondern nach ein paar Sekunden wird die Meldung "ERR_CONNECTION_RESET" angezeigt, also die Website ist nicht erreichbar. Dann ein paar Sekunden später wird die entsprechende URL teilweise geladen.
Ein lokales bzw. internes Netzwerkproblem schließe ich für "ERR_CONNECTION_RESET" aus, da ich über verschiedene Internet-Verbindungen getestet habe.
Inhaltskontrolle beim Surfen in der Firma?
Das bedeutet doch heut zutage das die HTTPS-Verschlüsselung mit falschen Root-Zertifikaten gebrochen werden muss und das die Leitung der Firma keine Führungs Qualitäten hat, und kein Vertrauen zu seinen Mitarbeitern.
Das Problem wurde doch schon vor zig Jahren bei Webwasher diskutiert und der Einsatz in Deutschland verboten. Nicht nur wegen der vielen false Positives, der angeblich hochwertig manuell kategorisieren Sites, auch wegen der enormen Vergrößerung der Angriffsfläche (was wir ja neulich gesehen haben) und:
Es reichte für diese "Qualitätsfilter" z.B. das Wort "Hack" aus, damit eine Website gesperrt wurde… Sehr frustrierend für den User, der auf der Suche nach Informationen war. Der User wird sich nicht gemeldet haben. In so einem Umfeld hält man lieber die Klappe.
Insofern ist es doch gut das dieser kriminelle Müll nicht mehr funktioniert.
Doppelt
Es wird keine Verbindung aufgebrochen, sondern rein nur die URL kontrolliert, ob sie als mit schädlichen Inhalten klassifiziert ist.
Es gab bisher noch nie eine Beanstandung bzw. mussten URLs manuell freigeschaltet werden, weil die Kategorien das Arbeiten nicht beeinträchtigen, sondern dies in unseren Augen nur eine zusätzliche Sicherheit mit wenig Aufwand darstellt.
Mit TLS 1.3 sollte eh mit dieser Möglichkeit Schluss sein, wie es scheint.
Das mit dem Ticketsystem ist ganz normal, die Foren sind voll davon oder auch meine eigene Erfahrung: wenn überhaupt Mal etwas kommt, bekommt man eine Antwort zu einer ganz anderen Frage, die man gar nicht gestellt hat…also komplett unnötig.
Seit einer Weile bekommt man aber einfach gar nichts mehr und wartet ein paar Wochen, weil sich die Probleme dann meistens wie von selbst geregelt haben und der Support entschuldigt sich dann, dass sie sonst nicht so lang brauchen würden um Tickets zu beantworten (die Foren jedenfalls sagen etwas Anderes) Ist aber meistens eh die bessere Lösung, weil der Support nicht zur Fehlerbehebung beiträgt, im Gegenteil sogar noch Zeit verschwendet, die man anders einsetzen kann.
Ein Update zum Thema: Heute habe ich einen Anruf vom Support-Mitarbeiter von Microsoft erhalten. Er hat sich das Thema per Videocall angeschaut und gesagt, dass dies nun schon öfters gemeldet wurde, er dies mit dem Vorgesetzten bespricht und dann wird vermutlich ein globales Ticket erstellt.
Der Rückruf war aber nicht für mein Ticket von Freitag, 11. August, sondern für ein weiteres Ticket vom 15. August, immer zum gleichen Problem.