Konfigurieren Sie die transparente Authentifizierung mit STAS
Clientloses SSO erfolgt über die Sophos Transparent Authentication Suite (STAS). Sie können STAS in eine Umgebung mit einem einzelnen Active Directory-Server integrieren.
Sie können STAS herunterladen von Authentifizierung > Client-Downloads. STAS 2.5 und höher unterstützt Windows Server 2008R2, 2012R2, 2016 und 2019.
Wir gehen davon aus, dass STAS 2.5 und höher auf Windows Server 2022 funktionieren werden, dies muss jedoch noch getestet werden.
Unterstützte Bereitstellungsmodi:
- STAS auf einem Domänencontroller
- STAS 2.5 und höher auf einem Mitgliedsserver
Ziele
Wenn Sie diese Einheit abgeschlossen haben, wissen Sie, wie Sie Folgendes tun:
- Installieren Sie STAS und konfigurieren Sie einen Agenten und einen Collector.
- Integrieren Sie STAS in die Firewall.
- Überprüfen Sie Live-Benutzer.
Konfigurieren des STAS-Benutzers
Konfigurieren Sie das Benutzerkonto, mit dem STAS installiert und konfiguriert wird. Es muss kein Administratorkonto sein, Sie müssen jedoch die Berechtigungen für das Konto auf dem Domänencontroller und allen Endpunktcomputern konfigurieren.
Berechtigungen auf dem Domänencontroller
Um die Berechtigungen des STAS-Benutzers auf dem Domänencontroller zu konfigurieren, gehen Sie wie folgt vor:
- Öffnen Sie das Eingabeaufforderung und geben Sie ein
dsa.msc
öffnen Active Directory-Benutzer und -Computer. - Klicken Sie mit der rechten Maustaste auf den STAS-Benutzer und klicken Sie auf Eigenschaften.
- Klicken Mitglied von und klicken Sie auf Hinzufügen.
- Fügen Sie den Benutzer hinzu zum Domänenbenutzer Und Ereignisprotokollleser Gruppen.
-
Klicken OK wenn Sie fertig sind.
-
Offen Datei-Explorer.
- Gehe zu
C:\Program Files (x86)\Sophos\
- Klicken Sie mit der rechten Maustaste
Sophos Transparent Authentication Suite
und klicken Sie auf Eigenschaften. - Klicken Sicherheit.
- Gewähren Sie dem STAS-Benutzer Lese- und Schreibberechtigungen.
-
Klicken OK
Berechtigungen auf allen Endpoint-Computern
Um die Berechtigungen des STAS-Benutzers auf allen Endpoint-Computern zu konfigurieren, gehen Sie wie folgt vor:
Tipp
Sie können diese Einstellungen in einem GPO veröffentlichen. Die Änderungen an der WMI-Steuerung erfordern ein PowerShell- oder Anmeldeskript als Teil des GPO.
- Öffnen Sie das Eingabeaufforderung und geben Sie ein
lusrmgr.msc
öffnen Lokale Benutzer und Gruppen. - Klicken Sie mit der rechten Maustaste Remotedesktopbenutzer und klicken Sie auf Eigenschaften.
- Klicken Hinzufügen.
-
Fügen Sie den STAS-Benutzer hinzu und klicken Sie auf OK.
-
Klicken Sie mit der rechten Maustaste Distributed COM-Benutzer und klicken Sie auf Eigenschaften.
- Klicken Hinzufügen.
-
Fügen Sie den STAS-Benutzer hinzu und klicken Sie auf OK.
-
Öffnen Sie das Eingabeaufforderung und geben Sie ein
wmimgmt.msc
. - Klicken Sie mit der rechten Maustaste WMI-Steuerung (lokal) und klicken Sie auf Eigenschaften.
- Klicken Sicherheit.
- Expandieren Wurzelauf CIMV2und klicken Sie auf Sicherheit.
- Wählen Sie den STAS-Benutzer aus und stellen Sie sicher, dass er über die Berechtigungen „Methoden ausführen“ und „Remote aktivieren“ verfügt.
-
Klicken OK.
Konfigurieren der Systemsicherheit
Konfigurieren Sie Überwachungsrichtlinien, weisen Sie Benutzerrechte zu und ändern Sie Firewall-Einstellungen.
- Klicken Sie unter Windows auf das Start und gehen Sie zu Windows-Verwaltungstools > Lokale Sicherheitsrichtlinie.
- Gehe zu Lokale Richtlinien > Überwachungsrichtlinie und öffnen Kontoanmeldeereignisse überwachen.
-
Wählen Sie die Erfolg Und Versagen Optionen und klicken Sie auf OK.
-
Gehe zu Lokale Richtlinien > Zuweisung von Benutzerrechten und öffnen Anmelden als Dienst.
- Wenn der administrative Benutzer, der STAS installiert und ausführt, nicht aufgeführt ist, klicken Sie auf Benutzer oder Gruppe hinzufügen, fügen Sie den Benutzer hinzu und klicken Sie auf OK.
-
Konfigurieren Sie die Windows-Firewall und Firewalls von Drittanbietern, um die Kommunikation über die folgenden Ports zuzulassen:
- AD-Server: Eingehendes UDP 6677, Ausgehendes UDP 6060, Ausgehendes TCP 135 und 445 (bei Verwendung der Workstation-Polling-Methode WMI oder des Registry-Lesezugriffs), Ausgehendes ICMP (bei Verwendung von Logoff Detection Ping), Eingehendes/Ausgehendes UDP 50001 (Collector-Test), Eingehendes/Ausgehendes TCP 27015 (Konfigurationssynchronisierung).
- Arbeitsstation(en): Eingehendes TCP 135 und 445 (bei Verwendung der Arbeitsstationsabfragemethode WMI oder des Lesezugriffs auf die Registrierung), eingehendes ICMP (bei Verwendung des Pings zur Abmeldeerkennung).
Notiz
RPC-, RPC-Locator-, DCOM- und WMI-Dienste sollten auf Arbeitsstationen für den WMI-/Registrierungslesezugriff aktiviert sein.
Installieren Sie STAS
Laden Sie STAS herunter und installieren Sie es auf dem Domänencontroller oder Mitgliedsserver.
- Gehen Sie in der Firewall zu Authentifizierung > Client-Downloads und herunterladen Sophos Transparent Authentication Suite (STAS).
- Verschieben Sie das Installationsprogramm auf den Domänencontroller oder Mitgliedsserver.
-
Starten Sie das Installationsprogramm und klicken Sie auf Nächste.
-
Folgen Sie dem Setup-Assistenten, um den Speicherort und weitere Optionen festzulegen. Klicken Sie anschließend auf Installieren.
-
Wählen SSO-Suite und klicken Sie auf Nächste.
-
Geben Sie die Administratoranmeldeinformationen ein und klicken Sie auf Nächste.
- Klicken Beenden.
STAS konfigurieren
Konfigurieren Sie einen Collector, einen Agenten und allgemeine Einstellungen.
Notiz
Verwenden Sie für hier nicht aufgeführte Einstellungen den Standardwert.
-
Starten Sie STAS auf dem Server, klicken Sie auf das Allgemein und legen Sie die folgenden Einstellungen fest.
Option Wert NetBIOS-Name NetBIOS-Name der Domäne, die Sie überwachen möchten Vollqualifizierter Domänenname FQDN der Domäne, die Sie überwachen möchten Notiz
In STAS muss der NetBIOS-Name in Großbuchstaben angegeben werden.
-
Klicken Sie auf das STA-Agent und legen Sie die folgenden Einstellungen fest.
Option Wert Domänencontroller-IP Die IP-Adresse des Domänencontrollers. Lassen Sie dieses Feld leer, wenn Sie STAS auf einem Domänencontroller installieren. Festlegen der zu überwachenden Netzwerke Die Netzwerke, die Sie überwachen möchten. Verwenden Sie die CIDR-Notation. -
Klicken Sie auf das STA-Sammler und legen Sie die folgenden Einstellungen fest.
Option Wert Sophos-Geräte IP-Adressen von Sophos Firewall-Appliances im Netzwerk Workstation-Polling-Methode Wählen WMI (Standard) oder Lesezugriff auf die Registrierung -
Klicken Anwenden.
- Klicken Start um den STAS-Dienst zu starten.
Integrieren Sie STAS in die Firewall
Aktivieren Sie STAS auf der Firewall und fügen Sie einen neuen Collector hinzu. Öffnen Sie anschließend STAS auf dem Server und prüfen Sie, ob die IP-Adresse der Firewall angezeigt wird. Erstellen Sie abschließend eine Firewall-Regel, um den Datenverkehr basierend auf der Benutzeridentität zu steuern.
Bevor Sie STAS integrieren, gehen Sie zu Authentifizierung > Leistungen und wählen Sie Ihren AD-Server als primäre Authentifizierungsmethode aus.
- Gehen Sie in der Firewall zu Authentifizierung > STAS.
-
Einschalten Aktivieren Sie die Sophos Transparent Authentication Suite und klicken Sie auf STAS aktivieren.
-
Klicken Neuen Sammler hinzufügen und legen Sie die folgenden Einstellungen fest.
Option Wert Collector-IP IP-Adresse Ihres Collectors -
Klicken Speichern. Die Firewall versucht, STAS auf dem Server über UDP 6060 zu kontaktieren.
-
Starten Sie STAS auf dem Server und klicken Sie auf das Allgemein Registerkarte. Die IP-Adresse der Firewall sollte in der Liste der Sophos-Appliances angezeigt werden. Dies zeigt an, dass STAS mit der Firewall verbunden ist.
-
Gehe zu Regeln und Richtlinien > Firewall-Regeln.
- Wählen IPv4 Protokoll.
-
Klicken Firewall hinzufügen Regel, wählen Sie Neue Firewall-Regelund erstellen Sie eine Firewall-Regel. Stellen Sie sicher, dass Sie die Benutzereinstellungen angeben.
-
Gehe zu Verwaltung > Gerätezugriff.
-
Unter Authentifizierungsdienste > Kundendas Kontrollkästchen für die gewünschte Zone.
-
Klicken Anwenden.
Live-Benutzer überprüfen
Sobald sich Benutzer erfolgreich bei der Domäne authentifiziert haben, können Sie sie sowohl auf STAS als auch auf der Firewall als Live-Benutzer anzeigen.
-
Gehen Sie auf STAS zu Fortschrittlich und wählen Sie Live-Benutzer anzeigen.
-
Gehen Sie in der Firewall zu Aktuelle Aktivitäten > Live-Benutzer.
Wenn einige oder alle STAS-Benutzer nicht unter Live-Benutzer erscheinen, siehe STAS.
Weitere Ressourcen