Zur Startseite gehen
0,00 €*

Konfigurieren Sie die transparente Authentifizierung mit STAS

Clientloses SSO erfolgt über die Sophos Transparent Authentication Suite (STAS). Sie können STAS in eine Umgebung mit einem einzelnen Active Directory-Server integrieren.

Sie können STAS herunterladen von Authentifizierung > Client-Downloads. STAS 2.5 und höher unterstützt Windows Server 2008R2, 2012R2, 2016 und 2019.

Wir gehen davon aus, dass STAS 2.5 und höher auf Windows Server 2022 funktionieren werden, dies muss jedoch noch getestet werden.

Unterstützte Bereitstellungsmodi:

  • STAS auf einem Domänencontroller
  • STAS 2.5 und höher auf einem Mitgliedsserver

Ziele

Wenn Sie diese Einheit abgeschlossen haben, wissen Sie, wie Sie Folgendes tun:

  • Installieren Sie STAS und konfigurieren Sie einen Agenten und einen Collector.
  • Integrieren Sie STAS in die Firewall.
  • Überprüfen Sie Live-Benutzer.

Konfigurieren des STAS-Benutzers

Konfigurieren Sie das Benutzerkonto, mit dem STAS installiert und konfiguriert wird. Es muss kein Administratorkonto sein, Sie müssen jedoch die Berechtigungen für das Konto auf dem Domänencontroller und allen Endpunktcomputern konfigurieren.

Berechtigungen auf dem Domänencontroller

Um die Berechtigungen des STAS-Benutzers auf dem Domänencontroller zu konfigurieren, gehen Sie wie folgt vor:

  1. Öffnen Sie das Eingabeaufforderung und geben Sie ein dsa.msc öffnen Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf den STAS-Benutzer und klicken Sie auf Eigenschaften.
  3. Klicken Mitglied von und klicken Sie auf Hinzufügen.
  4. Fügen Sie den Benutzer hinzu zum Domänenbenutzer Und Ereignisprotokollleser Gruppen.

  5. Klicken OK wenn Sie fertig sind.

    STAS user properties showing group membership.

  6. Offen Datei-Explorer.

  7. Gehe zu C:\Program Files (x86)\Sophos\
  8. Klicken Sie mit der rechten Maustaste Sophos Transparent Authentication Suite und klicken Sie auf Eigenschaften.
  9. Klicken Sicherheit.
  10. Gewähren Sie dem STAS-Benutzer Lese- und Schreibberechtigungen.

  11. Klicken OK

    STAS Folder properties showing permissions.

Berechtigungen auf allen Endpoint-Computern

Um die Berechtigungen des STAS-Benutzers auf allen Endpoint-Computern zu konfigurieren, gehen Sie wie folgt vor:

Tipp

Sie können diese Einstellungen in einem GPO veröffentlichen. Die Änderungen an der WMI-Steuerung erfordern ein PowerShell- oder Anmeldeskript als Teil des GPO.

  1. Öffnen Sie das Eingabeaufforderung und geben Sie ein lusrmgr.msc öffnen Lokale Benutzer und Gruppen.
  2. Klicken Sie mit der rechten Maustaste Remotedesktopbenutzer und klicken Sie auf Eigenschaften.
  3. Klicken Hinzufügen.

  4. Fügen Sie den STAS-Benutzer hinzu und klicken Sie auf OK.

    Remote Desktop Users group properties showing members.

  5. Klicken Sie mit der rechten Maustaste Distributed COM-Benutzer und klicken Sie auf Eigenschaften.

  6. Klicken Hinzufügen.

  7. Fügen Sie den STAS-Benutzer hinzu und klicken Sie auf OK.

    Distributed COM Users group properties showing members.

  8. Öffnen Sie das Eingabeaufforderung und geben Sie ein wmimgmt.msc.

  9. Klicken Sie mit der rechten Maustaste WMI-Steuerung (lokal) und klicken Sie auf Eigenschaften.
  10. Klicken Sicherheit.
  11. Expandieren Wurzelauf CIMV2und klicken Sie auf Sicherheit.
  12. Wählen Sie den STAS-Benutzer aus und stellen Sie sicher, dass er über die Berechtigungen „Methoden ausführen“ und „Remote aktivieren“ verfügt.

  13. Klicken OK.

    WMI management window showing security permissions.

Konfigurieren der Systemsicherheit

Konfigurieren Sie Überwachungsrichtlinien, weisen Sie Benutzerrechte zu und ändern Sie Firewall-Einstellungen.

  1. Klicken Sie unter Windows auf das Start und gehen Sie zu Windows-Verwaltungstools > Lokale Sicherheitsrichtlinie.
  2. Gehe zu Lokale Richtlinien > Überwachungsrichtlinie und öffnen Kontoanmeldeereignisse überwachen.

  3. Wählen Sie die Erfolg Und Versagen Optionen und klicken Sie auf OK.

    Windows local security setting.

  4. Gehe zu Lokale Richtlinien > Zuweisung von Benutzerrechten und öffnen Anmelden als Dienst.

  5. Wenn der administrative Benutzer, der STAS installiert und ausführt, nicht aufgeführt ist, klicken Sie auf Benutzer oder Gruppe hinzufügen, fügen Sie den Benutzer hinzu und klicken Sie auf OK.

  6. Konfigurieren Sie die Windows-Firewall und Firewalls von Drittanbietern, um die Kommunikation über die folgenden Ports zuzulassen:

    • AD-Server: Eingehendes UDP 6677, Ausgehendes UDP 6060, Ausgehendes TCP 135 und 445 (bei Verwendung der Workstation-Polling-Methode WMI oder des Registry-Lesezugriffs), Ausgehendes ICMP (bei Verwendung von Logoff Detection Ping), Eingehendes/Ausgehendes UDP 50001 (Collector-Test), Eingehendes/Ausgehendes TCP 27015 (Konfigurationssynchronisierung).
    • Arbeitsstation(en): Eingehendes TCP 135 und 445 (bei Verwendung der Arbeitsstationsabfragemethode WMI oder des Lesezugriffs auf die Registrierung), eingehendes ICMP (bei Verwendung des Pings zur Abmeldeerkennung).

    Notiz

    RPC-, RPC-Locator-, DCOM- und WMI-Dienste sollten auf Arbeitsstationen für den WMI-/Registrierungslesezugriff aktiviert sein.

Installieren Sie STAS

Laden Sie STAS herunter und installieren Sie es auf dem Domänencontroller oder Mitgliedsserver.

  1. Gehen Sie in der Firewall zu Authentifizierung > Client-Downloads und herunterladen Sophos Transparent Authentication Suite (STAS).
  2. Verschieben Sie das Installationsprogramm auf den Domänencontroller oder Mitgliedsserver.

  3. Starten Sie das Installationsprogramm und klicken Sie auf Nächste.

    STAS setup assistant.

  4. Folgen Sie dem Setup-Assistenten, um den Speicherort und weitere Optionen festzulegen. Klicken Sie anschließend auf Installieren.

  5. Wählen SSO-Suite und klicken Sie auf Nächste.

    SSO Suite installs all Sophos SSO Suite components on this machine.

  6. Geben Sie die Administratoranmeldeinformationen ein und klicken Sie auf Nächste.

  7. Klicken Beenden.

STAS konfigurieren

Konfigurieren Sie einen Collector, einen Agenten und allgemeine Einstellungen.

Notiz

Verwenden Sie für hier nicht aufgeführte Einstellungen den Standardwert.

  1. Starten Sie STAS auf dem Server, klicken Sie auf das Allgemein und legen Sie die folgenden Einstellungen fest.

    Option Wert
    NetBIOS-Name NetBIOS-Name der Domäne, die Sie überwachen möchten
    Vollqualifizierter Domänenname FQDN der Domäne, die Sie überwachen möchten

    Notiz

    In STAS muss der NetBIOS-Name in Großbuchstaben angegeben werden.

  2. Klicken Sie auf das STA-Agent und legen Sie die folgenden Einstellungen fest.

    Option Wert
    Domänencontroller-IP Die IP-Adresse des Domänencontrollers. Lassen Sie dieses Feld leer, wenn Sie STAS auf einem Domänencontroller installieren.
    Festlegen der zu überwachenden Netzwerke Die Netzwerke, die Sie überwachen möchten. Verwenden Sie die CIDR-Notation.

    Specify the domain controller and networks to be monitored.

  3. Klicken Sie auf das STA-Sammler und legen Sie die folgenden Einstellungen fest.

    Option Wert
    Sophos-Geräte IP-Adressen von Sophos Firewall-Appliances im Netzwerk
    Workstation-Polling-Methode Wählen WMI (Standard) oder Lesezugriff auf die Registrierung

    Specify the IP address and WMI.

  4. Klicken Anwenden.

  5. Klicken Start um den STAS-Dienst zu starten.

Integrieren Sie STAS in die Firewall

Aktivieren Sie STAS auf der Firewall und fügen Sie einen neuen Collector hinzu. Öffnen Sie anschließend STAS auf dem Server und prüfen Sie, ob die IP-Adresse der Firewall angezeigt wird. Erstellen Sie abschließend eine Firewall-Regel, um den Datenverkehr basierend auf der Benutzeridentität zu steuern.

Bevor Sie STAS integrieren, gehen Sie zu Authentifizierung > Leistungen und wählen Sie Ihren AD-Server als primäre Authentifizierungsmethode aus.

AD server as primary authentication server.

  1. Gehen Sie in der Firewall zu Authentifizierung > STAS.

  2. Einschalten Aktivieren Sie die Sophos Transparent Authentication Suite und klicken Sie auf STAS aktivieren.

    Turn on STAS.

  3. Klicken Neuen Sammler hinzufügen und legen Sie die folgenden Einstellungen fest.

    Option Wert
    Collector-IP IP-Adresse Ihres Collectors

  4. Klicken Speichern. Die Firewall versucht, STAS auf dem Server über UDP 6060 zu kontaktieren.

  5. Starten Sie STAS auf dem Server und klicken Sie auf das Allgemein Registerkarte. Die IP-Adresse der Firewall sollte in der Liste der Sophos-Appliances angezeigt werden. Dies zeigt an, dass STAS mit der Firewall verbunden ist.

    Firewall's IP address on STAS.

  6. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

  7. Wählen IPv4 Protokoll.

  8. Klicken Firewall hinzufügen Regel, wählen Sie Neue Firewall-Regelund erstellen Sie eine Firewall-Regel. Stellen Sie sicher, dass Sie die Benutzereinstellungen angeben.

    Select the user in firewall rule.

  9. Gehe zu Verwaltung > Gerätezugriff.

  10. Unter Authentifizierungsdienste > Kundendas Kontrollkästchen für die gewünschte Zone.

    Select client authentication zone.

  11. Klicken Anwenden.

Live-Benutzer überprüfen

Sobald sich Benutzer erfolgreich bei der Domäne authentifiziert haben, können Sie sie sowohl auf STAS als auch auf der Firewall als Live-Benutzer anzeigen.

  1. Gehen Sie auf STAS zu Fortschrittlich und wählen Sie Live-Benutzer anzeigen.

    Show live users.

    Live users.

  2. Gehen Sie in der Firewall zu Aktuelle Aktivitäten > Live-Benutzer.

    Live users in current activities.

    Wenn einige oder alle STAS-Benutzer nicht unter Live-Benutzer erscheinen, siehe STAS.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung