SATC mit Sophos Server Protection einrichten

Sophos Authentication for Thin client (SATC) mit Sophos Server Protection ermöglicht es der Sophos Firewall, Benutzer zu authentifizieren, die auf einen Server oder einen Remote-Desktop zugreifen.

Einführung

SATC ist in Sophos Server Protection in Sophos Central enthalten. Es ist Bestandteil des Sophos Central Server Core Agent und mit jeder Server Protection-Lizenz in Sophos Central verfügbar. SATC wird unter Windows Server 2016 und höher unterstützt.

Die Sophos Firewall unterstützt die eigenständige SATC-Komponente nicht mehr.

Um die SATC-Authentifizierung mit Sophos Server Protection auf Windows Remote Desktop Services zu implementieren, müssen Sie das Windows Server-Installationsprogramm auf dem Remotedesktop-Sitzungshost installieren. Anschließend müssen Sie SATC über die Registrierung des Hosts an folgendem Speicherort konfigurieren:

HKLM\Software\Sophos\Sophos Network Threat Protection\Application 

Sie können folgende Optionen konfigurieren:

reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SatcExcludedUsers /t REG_MULTI_SZ /d "SYSTEM\0administrator" 

SATC auf einem Windows-Server über die Registrierung einrichten

Um SATC mit Serverschutz einzurichten, gehen Sie wie folgt vor:

1. Melden Sie sich bei Sophos Central an.
2. Gehe zu Geräte schützen.

3. Unter Serverschutz, laden Sie die Windows Server-Installationsprogramm und installieren Sie es auf Ihrem Windows-Remotedesktopserver. Weitere Informationen finden Sie unter Sophos Server Protection.

   Notiz

   Die auf Sophos Central angezeigten Installationsprogramme hängen von Ihren Lizenzen ab.

4. Deaktivieren Sie den Manipulationsschutz zum Schutz des Servers. Weitere Informationen finden Sie unter Sophos Endpoint: So deaktivieren Sie den Manipulationsschutz.

   Tipp

   Notieren Sie sich die aktuellen Einstellungen, bevor Sie den Manipulationsschutz deaktivieren. Diese müssen Sie wiederherstellen, sobald SATC aktiviert ist.

5. Öffnen Sie auf dem Server eine Befehlszeilenkonsole.

6. Führen Sie die folgenden Befehle aus, um SATC zu aktivieren:

   1. reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SendSatcEvents /t REG_DWORD /d 1
   2. reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SatcDestinationAddr /t REG_SZ /d FIREWALL-IP
   3. reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SatcDestinationPort /t REG_DWORD /d FIREWALL-PORT

   Ersetzen Sie beim Eingeben der obigen Befehle FIREWALL-IP, Und FIREWALL-PORT, mit der IP-Adresse der Sophos Firewall und dem Port (Standard: 6060), über den SATC kommuniziert.

7. Schalten Sie den Manipulationsschutz wieder ein.

8. Starten Sie den Windows-Remotedesktopserver neu.

Fügen Sie die IP-Adresse des Windows-Remotedesktopservers zur Sophos-Firewall hinzu.

Damit SATC Benutzer authentifizieren kann, müssen Sie die IP-Adressen Ihrer Windows-Remote-Desktop-Server auf der Sophos Firewall angeben.

1. Öffnen Sie die Befehlszeilenkonsole der Sophos Firewall und wählen Sie die Option 4. Gerätekonsole.

2. Geben Sie den folgenden Befehl ein, um die IP-Adresse des Windows-Remotedesktopservers hinzuzufügen und ersetzen Sie dabei . <Terminal server IP address> mit der IP-Adresse Ihres Windows-Remotedesktopservers:

   system auth thin-client add citrix-ip <Terminal server IP address> 

   

   Notiz

   Die Sophos Firewall unterstützt bis zu 192 Server. Sobald dieses Limit erreicht ist, erscheint die folgende Fehlermeldung:

   Maximum Thinclient limit reached. Maximum supported Thinclients are 192. 

   Notiz

   Sobald Sie die IP-Adresse des Windows-Remotedesktopservers zur Sophos Firewall hinzugefügt haben, funktioniert für diese IP-Adresse ausschließlich SATC als Authentifizierungsmethode. Keine andere Authentifizierungsmethode, einschließlich einer clientlosen Benutzerdefinition, ist für diese IP-Adresse möglich.

Fügen Sie einen Active Directory-Server hinzu.

Zuerst fügen Sie einen Active Directory-Server hinzu, der eine Suchanfrage enthält.

Um diese Aufgabe zu erledigen, benötigen Sie folgende Informationen:

• Domainname
• NetBIOS-Domäne
• Active Directory-Serverkennwort

Überprüfen Sie die Eigenschaften des Active Directory-Servers. Unter Microsoft Windows finden Sie diese beispielsweise in den Windows-Verwaltungstools.

Suchanfragen basieren auf dem Domainnamen (DN). In diesem Beispiel lautet der Domainname: sophos.comDie Suchanfrage lautet also: dc=sophos,dc=com.

1. Gehe zu Authentifizierung > Server und klicken Hinzufügen.

2. Legen Sie die Einstellungen fest.

   Nachfolgend finden Sie Beispieleinstellungen:

   Option	Wert
   Servertyp	Active Directory
   Servername	Mein_AD_Server
   Server-IP/Domäne	192.168.1.100
   NetBIOS-Domäne	Sophos
   ADS-Benutzername	Administrator
   Passwort	<AD server password> Verwenden Sie das auf dem Active Directory-Server konfigurierte Kennwort.
   Domainname	sophos.com
   Suchanfragen	dc=sophos,dc=com

3. Klicken Testverbindung um die Benutzerdaten zu überprüfen und die Verbindung zum Server zu prüfen.

   Notiz

   Wenn sowohl eine synchronisierte Benutzer-ID als auch STAS konfiguriert sind, verwendet der Authentifizierungsserver den Mechanismus, über den er zuerst die Anmeldeanfrage empfängt.

4. Klicken Speichern.

Active Directory-Gruppen importieren

Importieren Sie Active Directory-Gruppen in die Firewall und legen Sie Richtlinien für diese fest.

1. Gehe zu Authentifizierung > Server und klicken Sie auf Importieren .

   

2. Klicken Sie im Importgruppen-Assistenten auf Start.

3. Wählen Sie den Basis-DN für die Gruppen aus.

   

4. Wählen Sie die zu importierenden AD-Gruppen aus.

   

5. Wählen Sie gemeinsame Richtlinien für die Gruppen aus.

   

6. Auswahl prüfen.

7. Ergebnisse anzeigen.
8. Gehe zu Authentifizierung > Gruppen und überprüfen Sie die kürzlich importierten Gruppen.

Primäre Authentifizierungsmethode festlegen

Um zuerst den Active Directory-Server abzufragen, legen Sie ihn als primäre Authentifizierungsmethode fest. Wenn sich Benutzer zum ersten Mal an der Firewall anmelden, werden sie automatisch der angegebenen Standardgruppe hinzugefügt.

1. Gehe zu Authentifizierung > Dienstleistungen.
2. In der Liste der Authentifizierungsserver unter Firewall-Authentifizierungsmethoden, wählen Sie My_AD_Server aus.

3. Verschieben Sie den Server an die erste Position in der Liste der ausgewählten Server.

   

4. Klicken Anwenden.

Gehe zu Authentifizierung > Gruppen und überprüfen Sie die importierten Gruppen.

Zugriff erlauben

Gewähren Sie der Sophos Firewall Zugriff auf die Zone des Windows-Remotedesktopservers für die Clientauthentifizierung. Fügen Sie eine Firewallregel hinzu, um den Datenverkehr des Servers zuzulassen. In diesem Beispiel befindet sich der Windows-Remotedesktopserver in der LAN-Zone.

1. Um den Zugriff auf die Zone des Windows-Remotedesktopservers zu ermöglichen, gehen Sie wie folgt vor:

   1. Gehe zu Verwaltung > Gerätezugriff.

   2. Unter Kunden: Wählen Sie die Zone des Windows-Remotedesktopservers aus.

      Hier ein Beispiel:

      

2. Erlauben Sie den Zugriff auf den Serverdatenverkehr:

   1. Gehe zu Regeln und Richtlinien > Firewall-Regeln, klicken Firewall-Regel hinzufügen: und dann Neue Firewall-Regel.
   2. Unter Quellzonen, wählen UND.

   3. Unter Zielzonen, wählen VAN: Hier ein Beispiel:

      

   4. Wählen Bekannte Benutzer abgleichen.

   5. Unter Benutzer oder Gruppen: Wählen Sie die Benutzer und Gruppen aus, denen Sie Zugriff gewähren möchten.

      Hier ein Beispiel:

      

3. Um die Benutzer anzuzeigen, die sich am Windows-Remotedesktopserver angemeldet haben, gehen Sie zu Aktuelle Aktivitäten > Live-Nutzer.

   Die Benutzer werden mit folgenden Details aufgelistet:

   • Kundentyp: Thin client

   • IP-Adresse: Die IP-Adresse des Windows-Remotedesktopservers mit einer eindeutigen Sitzungs-ID für jeden Benutzer.

     Hier ein Beispiel: