Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=authentication-STAS-transparent

Konfigurieren Sie die transparente Authentifizierung mit STAS.

Clientloses SSO wird in Form der Sophos Transparent Authentication Suite (STAS) realisiert. STAS lässt sich in einer Umgebung mit einem einzigen Active Directory-Server integrieren.

Sie können STAS herunterladen von Authentifizierung > Client-Downloads.

Unterstützte Windows-Server

STAS 2.5 und höher unterstützt die folgenden Windows-Server:

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2008 R2

Unterstützte Bereitstellungsmodi

STAS 2.5 und höher unterstützt die folgenden Bereitstellungsmodi:

  • STAS auf einem Domänencontroller
  • STAS 2.5 und höher auf einem Mitgliedsserver

Ziele

Nach Abschluss dieser Lerneinheit werden Sie Folgendes können:

  • Installieren Sie STAS und konfigurieren Sie einen Agenten und einen Collector.
  • STAS in die Firewall integrieren.
  • Aktive Benutzer verifizieren.

Konfigurieren Sie den STAS-Benutzer

Konfigurieren Sie das Benutzerkonto, das STAS installiert und konfiguriert. Es muss kein Administratorkonto sein, aber Sie müssen die Berechtigungen für das Konto auf dem Domänencontroller und allen Endpunktcomputern konfigurieren.

Berechtigungen auf dem Domänencontroller

Um die Berechtigungen des STAS-Benutzers auf dem Domänencontroller zu konfigurieren, gehen Sie wie folgt vor:

  1. Öffne die Eingabeaufforderung und eintreten dsa.msc zum Öffnen Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf den STAS-Benutzer und klicken Sie auf Eigenschaften.
  3. Klicken Mitglied von und klicken Hinzufügen.
  4. Füge den Benutzer der folgenden Gruppe hinzu: Domänenbenutzer Und Ereignisprotokollleser Gruppen.

  5. Klicken OK wenn fertig.

    STAS user properties showing group membership.

  6. Offen Datei-Explorer.

  7. Gehe zu C:\Program Files (x86)\Sophos\
  8. Rechtsklick Sophos Transparent Authentication Suite und klicken Eigenschaften.
  9. Klicken Sicherheit.
  10. Dem STAS-Benutzer Lese- und Schreibberechtigungen erteilen.

  11. Klicken OK

    STAS Folder properties showing permissions.

Berechtigungen auf allen Endpunktcomputern

Um die Berechtigungen des STAS-Benutzers auf allen Endpunktcomputern zu konfigurieren, gehen Sie wie folgt vor:

Tipp

Diese Einstellungen können Sie über eine Gruppenrichtlinie verteilen. Die Änderungen an der WMI-Steuerung erfordern ein PowerShell- oder Anmeldeskript als Teil der Gruppenrichtlinie.

  1. Öffne die Eingabeaufforderung und eintreten lusrmgr.msc zum Öffnen Lokale Benutzer und Gruppen.
  2. Rechtsklick Remote-Desktop-Benutzer und klicken Eigenschaften.
  3. Klicken Hinzufügen.

  4. Fügen Sie den STAS-Benutzer hinzu und klicken Sie auf OK.

    Remote Desktop Users group properties showing members.

  5. Rechtsklick Verteilte COM-Benutzer und klicken Eigenschaften.

  6. Klicken Hinzufügen.

  7. Fügen Sie den STAS-Benutzer hinzu und klicken Sie auf OK.

    Distributed COM Users group properties showing members.

  8. Öffne die Eingabeaufforderung und eintreten wmimgmt.msc.

  9. Rechtsklick WMI-Steuerung (lokal) und klicken Eigenschaften.
  10. Klicken Sicherheit.
  11. Expandieren Wurzel, klicken CIMV2: und klicken Sie Sicherheit.
  12. Wählen Sie den STAS-Benutzer aus und stellen Sie sicher, dass er über die Berechtigungen „Methoden ausführen“ und „Remote aktivieren“ verfügt.

  13. Klicken OK.

    WMI management window showing security permissions.

Systemsicherheit konfigurieren

Konfigurieren Sie Überwachungsrichtlinien, weisen Sie Benutzerrechte zu und ändern Sie Firewall-Einstellungen.

  1. Unter Windows klicken Sie auf die Start Schaltfläche und gehen Sie zu Windows-Verwaltungstools > Lokale Sicherheitsrichtlinie.
  2. Gehe zu Lokale Richtlinien > Prüfungsrichtlinie und öffnen Protokollierung der Kontoanmeldungsereignisse.

  3. Wählen Sie die Erfolg Und Versagen Optionen und Klick OK.

    Windows local security setting.

  4. Gehe zu Lokale Richtlinien > Abtretung von Nutzerrechten und öffnen Als Dienst anmelden.

  5. Falls der Administrator, der STAS installiert und ausführt, nicht aufgeführt ist, klicken Sie auf Benutzer oder Gruppe hinzufügen: Fügen Sie den Benutzer hinzu und klicken Sie auf OK.

  6. Konfigurieren Sie die Windows-Firewall und Firewalls von Drittanbietern so, dass die Kommunikation über die folgenden Ports zugelassen wird:

    • AD-Server: Eingehender UDP-Port 6677, Ausgehender UDP-Port 6060, Ausgehender TCP-Port 135 und 445 (bei Verwendung der Workstation-Polling-Methode WMI oder Registry-Lesezugriff), Ausgehender ICMP-Port (bei Verwendung des Logoff-Detection-Pings), Eingehender/Ausgehender UDP-Port 50001 (Collector-Test), Eingehender/Ausgehender TCP-Port 27015 (Konfigurationssynchronisierung).
    • Workstation(en): Eingehende TCP 135 & 445 (bei Verwendung der Workstation-Polling-Methode WMI oder Registry Read Access), eingehende ICMP (bei Verwendung von Logoff Detection Ping).

    Notiz

    Die Dienste RPC, RPC Locator, DCOM und WMI sollten auf den Workstations für den WMI/Registry-Lesezugriff aktiviert sein.

Installieren Sie STAS

Laden Sie STAS herunter und installieren Sie es auf dem Domänencontroller oder Mitgliedsserver.

  1. Gehen Sie auf der Firewall zu Authentifizierung > Client-Downloads und herunterladen Sophos Transparent Authentication Suite (STAS).
  2. Verschieben Sie das Installationsprogramm auf den Domänencontroller oder Mitgliedsserver.

  3. Starten Sie das Installationsprogramm und klicken Sie auf Nächste.

    STAS setup assistant.

  4. Folgen Sie dem Einrichtungsassistenten, um den Standort und weitere Optionen festzulegen. Klicken Sie anschließend auf Installieren.

  5. Wählen SSO-Suite und klicken Nächste.

    SSO Suite installs all Sophos SSO Suite components on this machine.

  6. Geben Sie die Administratoranmeldeinformationen ein und klicken Sie auf Nächste.

  7. Klicken Beenden.

STAS konfigurieren

Konfigurieren Sie einen Collector, einen Agenten und allgemeine Einstellungen.

Notiz

Für hier nicht aufgeführte Einstellungen verwenden Sie den Standardwert.

  1. Starten Sie auf dem Server STAS und klicken Sie auf die Schaltfläche Allgemein Klicken Sie auf die Registerkarte und geben Sie die folgenden Einstellungen an.

    Option Wert
    NetBIOS-Name NetBIOS-Name der Domäne, die Sie überwachen möchten
    Vollständig qualifizierter Domainname FQDN der Domäne, die Sie überwachen möchten

    Notiz

    In STAS muss der NetBIOS-Name in Großbuchstaben geschrieben werden.

  2. Klicken Sie auf STA-Agent Klicken Sie auf die Registerkarte und geben Sie die folgenden Einstellungen an.

    Option Wert
    Domänencontroller-IP Die IP-Adresse des Domänencontrollers. Lassen Sie dieses Feld leer, wenn Sie STAS auf einem Domänencontroller installieren.
    Geben Sie die zu überwachenden Netzwerke an. Die Netzwerke, die Sie überwachen möchten. Verwenden Sie die CIDR-Notation.

    Specify the domain controller and networks to be monitored.

  3. Klicken Sie auf STA-Kollektor Klicken Sie auf die Registerkarte und geben Sie die folgenden Einstellungen an.

    Option Wert
    Sophos-Geräte IP-Adressen von Sophos Firewall-Appliances im Netzwerk
    Workstation-Abfragemethode Wählen WMI (Standardeinstellung) oder Lesezugriff auf die Registrierung

    Specify the IP address and WMI.

  4. Klicken Anwenden.

  5. Klicken Start um den STAS-Dienst zu starten.

STAS in die Firewall integrieren

Aktivieren Sie STAS auf der Firewall und fügen Sie einen neuen Collector hinzu. Öffnen Sie anschließend STAS auf dem Server und prüfen Sie, ob die IP-Adresse der Firewall angezeigt wird. Erstellen Sie abschließend eine Firewall-Regel, um den Datenverkehr anhand der Benutzeridentität zu steuern.

Bevor Sie STAS integrieren, gehen Sie zu Authentifizierung > Dienstleistungen und wählen Sie Ihren AD-Server als primäre Authentifizierungsmethode aus.

AD server as primary authentication server.

  1. Gehen Sie auf der Firewall zu Authentifizierung > STAS.

  2. Einschalten Aktivieren Sie die Sophos Transparent Authentication Suite und klicken STAS aktivieren.

    Turn on STAS.

  3. Klicken Neuen Sammler hinzufügen und geben Sie die folgenden Einstellungen an.

    Option Wert
    Collector IP IP-Adresse Ihres Sammlers

  4. Klicken Speichern: Die Firewall versucht, STAS auf dem Server über UDP 6060 zu kontaktieren.

  5. Starten Sie auf dem Server STAS und klicken Sie auf die Schaltfläche Allgemein Öffnen Sie die Registerkarte. In der Liste der Sophos-Geräte sollte die IP-Adresse der Firewall angezeigt werden. Dies zeigt an, dass STAS mit der Firewall verbunden ist.

    Firewall's IP address on STAS.

  6. Gehe zu Regeln und Richtlinien > Firewall-Regeln.

  7. Wählen IPv4 Protokoll.

  8. Klicken Firewall hinzufügen Regel auswählen Neue Firewall-Regel: Erstellen Sie eine Firewall-Regel. Achten Sie darauf, die Benutzereinstellungen anzugeben.

    Select the user in firewall rule.

  9. Gehe zu Verwaltung > Gerätezugriff.

  10. Unter Authentifizierungsdienste > Kunden: Wählen Sie das Kontrollkästchen für die gewünschte Zone aus.

    Select client authentication zone.

  11. Klicken Anwenden.

Überprüfen Sie die Live-Benutzer

Sobald sich Benutzer erfolgreich an der Domäne authentifiziert haben, können Sie sie sowohl auf STAS als auch auf der Firewall als aktive Benutzer anzeigen.

  1. Gehen Sie auf STAS zu Fortschrittlich und auswählen Live-Nutzer anzeigen.

    Show live users.

    Live users.

  2. Gehen Sie in der Firewall zu Aktuelle Aktivitäten > Live-Nutzer.

    Live users in current activities.

    Falls einige oder alle STAS-Benutzer nicht unter „Live-Benutzer“ angezeigt werden, siehe STAS.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen