Konfiguration des Windows-Agent für die Aufzeichnung

Der Windows-Agent wird von cyberelements.io / cyberelements Cleanroom verwendet, um neue Funktionen für RDP-Sitzungen hinzuzufügen:

• Fähigkeit, TCP- und UDP-Streams zu filtern, die vom Benutzer zugänglich sind
• Einrichtung zur Auslösung der Session-Aufzeichnung für jeden Benutzer, der sich mit dem Server verbindet, ohne über das Benutzerportal oder den Desktop-Client zu gehen (direct access-Funktion)

Darüber hinaus werden während der Benutzersitzungen weitere Ereignisse erfasst:

• Fensteröffnung
• Schließung des Fensters
• Start des Programms
• Schließung des Programms
• Zwischenruhe
• Nutzeraktivität

Voraussetzungen

Klientenkompatibilität

Um herauszufinden, ob der Agent mit verschiedenen Microsoft Windows-Betriebssystemen kompatibel ist, verweisen Sie auf die Kompatibilitätsmatrix.

Der Aufzeichnungsagent erfordert einige Voraussetzungen, um richtig zu funktionieren. Einige davon sind nur für agentbasierte Aufzeichnungsfunktionalität für RDP- und HTML5-RDP-Anwendungen gedacht, während andere den direkten agentbasierten Zugriff betreffen.

Allgemeine Voraussetzungen

Der Aufzeichnungsagent sendet die Benutzer-Sitzungsaufzeichnung zurück an cyberelements.io und cyberelements Cleanroom, indem er sich mit dem Edge Gateway am Port TCP 8443 verbindet.

Um die Aufzeichnung sicher an den Edge Gateway zurückzusenden, stellt der Aufzeichnungsagent eine sichere Verbindung mit diesem unter Verwendung von TLS her. TLS setzt auf die Verwendung von Zertifikaten, und die folgenden Einschränkungen müssen validiert werden, damit die Verbindung als zuverlässig und sicher angesehen wird:

• Das Serverzertifikat, in diesem Fall Edge Gateway, darf nicht abgelaufen sein (höchstes Gültigkeitsdatum).

• Das Serverzertifikat, in diesem Fall das Edge Gateway, muß von einer Zertifizierungsstelle ausgestellt werden, die von der Maschine, auf der Aufzeichnungsmittel installiert ist, als vertrauenswürdig anerkannt wird.

  Zusätzliche Informationen

  Der Server, auf dem der Registrierungsagent installiert ist, muss mindestens die Root-Zertifizierungsstelle (CA) des Registrierungsserverzertifikats in seinem lokalen Speicher vertrauenswürdiger Zertifizierungsstellen haben.

  Es ist daher notwendig,

  1. Erhalten Sie die Wurzel-CA des Zertifikats vom Aufzeichnungsdienst auf Edge Gateway.
  2. Laden Sie diese CA auf den Server hoch, auf dem der Aufzeichnungsagent installiert ist.
  3. Installieren Sie die CA im Zertifikatsspeicher "Trusted Root Certification Authorities" auf dem lokalen Rechner.

  Beispiel mit PowerShell

  Sie können ein Zertifikat leicht in .cer Format über PowerShell.
  Zum Abschluss des Vorgangs öffnen Sie ein PowerShell-Terminal als Maschinenadministrator und führen Sie den folgenden Befehl aus:

  Import-Certificate -FilePath "<PAHT_TO_CERT>" -CertStoreLocation "Cert:\LocalMachine\Root"
  

  Ersetzen Sie <PATH_TO_CERT> durch den Pfad zur Zertifikatsdatei.

  Beispiel mit PowerShell für das Systancia-Zertifikat ohne Senden von Dateien

  Dieses Beispiel beinhaltet die Installation der Systancia-Root-CA, die standardmäßig auf cyberelements.io oder für cyberelements CleanroomClients verwendet wird, die von Systancia bereitgestellte Zertifikate verwenden.

  Es ist auch möglich, das Zertifikat zu importieren, ohne die Datei an die Maschine zu senden/herunterzuladen, auf der Aufzeichnungsmittel installiert ist.
  Zum Abschluss des Vorgangs öffnen Sie ein PowerShell-Terminal als Maschinenadministrator und führen Sie die folgenden Befehle aus:

  # Systancia Root certificate
  $base64Cert = "MIIFIDCCBAigAwIBAgIBADANBgkqhkiG9w0BAQUFADCBjTELMAkGA1UEBhMCRlIx
  FDASBgNVBAoTC0lQZGl2YSBSb290MR0wGwYDVQQLExRJUGRpdmEgU2VjdXJpdHkg
  RGVwdDEqMCgGA1UEAxMhSVBkaXZhIFJvb3QgQ2VydGlmaWNhdGUgQXV0aG9yaXR5
  MR0wGwYJKoZIhvcNAQkBFg5wa2lAaXBkaXZhLmNvbTAeFw0wNTA4MjIxNTAwMzla
  Fw0zMDA4MjIxNTAwMzlaMIGNMQswCQYDVQQGEwJGUjEUMBIGA1UEChMLSVBkaXZh
  IFJvb3QxHTAbBgNVBAsTFElQZGl2YSBTZWN1cml0eSBEZXB0MSowKAYDVQQDEyFJ
  UGRpdmEgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkxHTAbBgkqhkiG9w0BCQEW
  DnBraUBpcGRpdmEuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
  ua59tx+RkIPZbGaSwkV0w5fuPBpY3sbLTk/eR2uN7j9zMu0pq38LfibCVsNGlifh
  GfT5CEbrNL7KvlEVY/It1QluYxNgknlcBP1roJG/xHNcUNmbvCFYLy9N3Nd0J/gC
  Vd8tdB4exqyKEoNuqX18rLpSJJOUZdQCeGdF9r+w6vmHdRMeVS44qIiBPv9Bxzgf
  GXBxAlSqfuDDJ3eZEMsWF/kJrbm4Uhav2ACl5qjHgSSTKMoGoEWOJNkB7Mq/khxc
  TnixIpM2s1rpEfhIetPo4BHsyKv7wqWrS6ouwu5AbzT5t3UqaN77CLqcZJGQ3vC0
  IGKBuEcwigd7W6qkX1/XMwIDAQABo4IBhzCCAYMwDwYDVR0TAQH/BAUwAwEB/zAd
  BgNVHQ4EFgQU+lu7XBGohR2DKD+D+abZEODRHjkwgboGA1UdIwSBsjCBr4AU+lu7
  XBGohR2DKD+D+abZEODRHjmhgZOkgZAwgY0xCzAJBgNVBAYTAkZSMRQwEgYDVQQK
  EwtJUGRpdmEgUm9vdDEdMBsGA1UECxMUSVBkaXZhIFNlY3VyaXR5IERlcHQxKjAo
  BgNVBAMTIUlQZGl2YSBSb290IENlcnRpZmljYXRlIEF1dGhvcml0eTEdMBsGCSqG
  SIb3DQEJARYOcGtpQGlwZGl2YS5jb22CAQAwCwYDVR0PBAQDAgEGMBkGA1UdEQQS
  MBCBDnBraUBpcGRpdmEuY29tMBkGA1UdEgQSMBCBDnBraUBpcGRpdmEuY29tMBEG
  CWCGSAGG+EIBAQQEAwIABzA+BglghkgBhvhCAQ0EMRYvSVBkaXZhIFJvb3QgQ2Vy
  dGlmaWNhdGlvbiBBdXRob3JpdHkgQ2VydGlmaWNhdGUwDQYJKoZIhvcNAQEFBQAD
  ggEBACaAgBQK7TATXieb9OdKm+l7/GpePo8f2bRKnkqeRS+HXBKYkvqVJdbJnhJm
  YPOdmhr9ATzt+488tQREAGzqPCp5eiVExPgvomNeG77X57KqbgCA1F7zGJqjP1FL
  771FIWvFXp80ReM/zhcM+MY3sa5LADgOEl5NhoMNHT8AhLKwZ81j5nuwxyG9ICCN
  5GjwgsnK/agmum4+RKeybIWuC/JTsSnu5OImXsmrlUiakp2l+VsZ1rRRNRNUlSbg
  Q3T8kj5ajB0lv2I0kj4fN9wDxzdHEn7nEAmv0t6Y5Te0g/VK3VWhuqeLStaahgip
  hmOVxbu5Ijfug5/3Eemep34NsYk="
  
  # Convert the certificate and store it in memory
  $certBytes = [Convert]::FromBase64String($base64Cert)
  
  # Create a certificate object
  $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
  $cert.Import($certBytes)
  
  # Open the trusted root certificate store on the local machine and add the Systancia root certificate
  $store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine")
  $store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
  $store.Add($cert)
  $store.Close()
  

  Um diese Methode mit einer anderen Zertifizierungsstelle zu verwenden, ändern Sie bitte den Wert der Variablen base64Cert in das Zertifikat mit Basis-64-Codierung Ihrer Wahl.

• Das Serverzertifikat, in diesem Fall das Edge Gateway, nicht widerrufen werden darf.

• Die Maschine, auf der Aufzeichnungsagent installiert ist, muss in der Lage sein, den Server, in diesem Fall den Edge Gateway, mit einem DNS-Namen oder einer IP-Adresse zu kontaktieren, der durch das Serverzertifikat über seinen Common Name (CN) abgedeckt ist.

Besondere Voraussetzungen für RDP-Anwendungen mit Agenten, die auf einer MacOS- oder Ubuntu-Benutzerarbeitsstation verwendet werden

Warnung

Die folgenden Voraussetzungen sind nur erforderlich, wenn der Benutzer eine RDP-Anwendung mit einem Agenten startet und seine Arbeitsstation nicht Windows (macOS oder Ubuntu) ist.

Wenn cyberelements.io oder cyberelements Cleanroom Benutzer über ausschließlich Windows laufende Arbeitsplätze verfügen oder, wenn nicht, ausschließlich HTML5-RDP-Anwendungen verwenden, können die folgenden Voraussetzungen ignoriert werden.

Die folgenden Registrierungsschlüssel sind auf dem Zielserver erforderlich, auf dem der Aufzeichnungsagent eingesetzt wird.

Zunächst wird die Liste der autorisierten Startprogramme mit der ersten Taste deaktiviert (Microsoft-Dokument). Standardmäßig erlaubt ein Windows-Computer nur explorer.exe als Startprogramm.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList]
"fDisabledAllowList"=dword:00000001

Wenn es sich bei der Maschine nicht um einen RDS-Server handelt, wird immer empfohlen, den folgenden Registrierungsschlüssel anzuwenden, damit der Aufzeichnungsagent als Startprogramm geöffnet werden kann:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"HonorLegacySettings"=dword:00000001

Besondere Anforderungen für den direkten Zugang

Direktzugriff

Mit der Funktion "Direkter Zugriff" können Sie eine Aufzeichnung der Benutzersitzung für den RDP- oder Konsolenzugriff (physische Verbindung mit dem Computer oder über den Konsolenmodus des Hypervisors) auslösen, die nicht direkt über cyberelements.io oder cyberelements Cleanroom erfolgt.

Wenn der Benutzer Zugriff auf den Server hat, wird seine Sitzung aufgezeichnet. Ist dies nicht der Fall, wird die Verbindung standardmäßig abgebrochen.

Damit der Registrierungsagent im Direktzugriff funktioniert, ist ein x509-Zertifikat erforderlich, das folgende Anforderungen erfüllen muss:

• Die Bescheinigung muss noch gültig sein (die Gültigkeitsdauer ist noch nicht abgelaufen).
• Das Zertifikat muss vom Typ (Feld für die Verwendung fortgeschrittener Schlüssel) authentification du client (OID: 1.3.6.1.5.5.7.3.2) sein.
• Die Bescheinigung darf nicht widerrufen werden.
• Die Einschränkungen aufgrund von OpenSSL-Sicherheitsstufe 2 implizieren, dass
  • Der Zertifikat muss einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Chiffern haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen.
  • Die Zertifikatssignatur darf nicht MD5 oder SHA-1 sein (SHA-512 ist bevorzugt).
• Der Aufzeichnungsserver wird die Common Name (CN) Feld zur Identifizierung des Zertifikats und damit des Geräts, an dem eine direkte Erfassung ausgelöst wird.

-8<-- [Ende: Einführung]

Konfigurationen über Registrierungsschlüssel

Einige globale Einstellungen sind in Registrierungsschlüsseln verfügbar, um den Betrieb des Aufzeichnungsagenten sowohl bei der Verwendung mit Anwendungen als auch beim direkten Zugriff zu beeinflussen.

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\IpdivaSafe]
"DisconnectOnError"=dword:00000000
"SessionEndTimeout"=dword:0000000a

DisconnectOnError

Definiert das Verhalten des Aufzeichnungsagenten, wenn der Session-Recorder geschlossen ist. Wenn der Wert 0 angegeben ist (Standardverhalten), wird die Benutzer-Session geschlossen, wenn der Recorder geschlossen ist. Wenn der Wert 1 angegeben ist, wird die Benutzer-Session getrennt, wenn der Recorder geschlossen ist.

SessionEndTimeout

Definition der Zeit (in Sekunden) für das Schließen der Benutzersitzung, bevor eine erzwungene Sitzungsabschaltung durchgeführt wird. Standardmäßig ist dieser Parameter auf 10 Sekunden festgelegt.

Konfiguration für den Betrieb mit RDP-Anwendungen und HTML5-RDP-Anwendungen

In diesem Betriebsmodus erfolgt der Austausch zwischen Mediation Controller, Edge Gateway und dem Aufzeichnungsmittel wie folgt:

sequenceDiagram
    autonumber
    participant MED as Mediation Controller
    participant GW as Edge Gateway
    participant AGENT as RDP Server<br/>Recording Agent

    MED->>+GW: Sending login information to <br/>the RDP server with login information <br/>for the recording agent
    GW->>AGENT: Initializing the RDP connection
    GW->>-AGENT: Sending login information to the <br/>Edge Gateway recording service
    AGENT->>+GW: Connecting to the recording service
    GW->>-AGENT: Sending network filtering information
    Note over AGENT: Applying network <br/>restrictions to the user
    loop Continuous session recording
        AGENT->>+GW: Continuous sending of video recording <br/>+ session events
        Note over GW: Continuous addition of video recording <br/>to the temporary storage directory
        GW->>-MED: Sending of received session events
        Note over MED: Recording of events <br/>in the organization's database
    end 
    break Fin de session
        AGENT->>GW: Sending information that <br/>the user has ended their RDP session
        Note over GW: The video recording is moved <br/>to the archive directory
        GW->>MED: Indication of the end of the user's session
        Note over MED: The user's session switches <br/>from live streaming to the archive
    end

Hold "Ctrl" to enable pan & zoom

1. Die Mediation Controller die Edge Gateway Die Datenbank enthält die Verbindungsdaten des Ziel-RDP-Servers und die Verbindungsdaten, die für die Verbindung zum Aufzeichnungsdienst (FQDN des Edge Gateway).
2. Der Edge Gateway initialisiert die Verbindung zum RDP-Server.
3. Die Edge Gateway die Verbindungsdaten für seinen Aufzeichnungsdienst an den Aufzeichnungsagenten übermittelt.
4. Der Aufzeichnungsagent initialisiert die Verbindung mit dem Aufzeichnungsdienst.
5. Sobald der Agent angeschlossen ist, gibt der Aufzeichnungsdienst die Liste der Netzwerkflussbeschränkungen zurück, die auf die Sitzung angewendet werden sollen.
6. Der Aufzeichnungsagent lädt die Videoaufzeichnung der Benutzersitzung und aller Sitzungsereignisse (z. B. Tastendruck oder Programmstart) kontinuierlich in Echtzeit in den Aufzeichnungsdienst hoch. Der Aufzeichnungsdienst speichert die Videoaufzeichnung in einem temporären Verzeichnis.
7. Der Aufzeichnungsdienst meldet die verschiedenen Sitzungsereignisse an die Mediation Controller, die sie dann in der Datenbank der Organisation speichert.
8. Wenn die RDP-Sitzung des Benutzers endet, meldet der Aufzeichnungsagent die Informationen an den Aufzeichnungsdienst. Der Aufzeichnungsdienst verschiebt dann das aufgezeichnete Video in das Benutzerarchiv.
9. Der Aufzeichnungsdienst meldet das Ende der Benutzer­ Mediation ControllerDie Sitzung ist daher nicht mehr im Live-Streaming des Kontrollzentrums sichtbar, sondern wechselt in die Archive.

Bei dieser Sequenz ist es unerlässlich, daß der Aufzeichnungsagent die richtigen Verbindungsdaten für die Edge Gateway Diese Informationen sind in der Edge Gateway Einstellungen in der FDQN Feld:

In diesem Feld ist ein DNS-Name einzugeben, den die RDP-Server auflösen können.

Wichtig

Das dem Careserver-Aufzeichnungsdienst zugewiesene Zertifikat muss den im FQDN-Feld angegebenen Namen enthalten.

Konfiguration für den Betrieb mit direktem Zugang

In diesem Betriebsmodus erfolgt der Austausch zwischen Mediation Controller, Edge Gateway und dem Aufzeichnungsmittel wie folgt:

sequenceDiagram
    autonumber
    participant MED as Mediation Controller
    participant GW as Edge Gateway
    participant AGENT as RDP Server<br/>Recording Agent

    Note over AGENT: Detection of a new <br/>session to be recorded
    AGENT->>+GW: Connecting to the recording service
    GW->>-MED: Indication of a new connection <br/>with direct access for user X
    alt If user X is authorized  
        MED->>+GW: Send information that user X <br/>is authorized to connect and send <br/>the list of network filters to apply
        GW->>-AGENT: Send network filtering information <br/>and connection authorization <br/>for user X
        Note over AGENT: Application of network <br/>restrictions to user X
        loop Continuous session recording
            AGENT->>+GW: Continuous sending of video recording <br/>+ session events
            Note over GW: Continuous addition of video recording <br/>to the temporary storage directory
            GW->>-MED: Sending of received session events
            Note over MED: Recording of events <br/>in the organization's database
        end 
        break End of session
            AGENT->>GW: Sending information that <br/>user X has ended their RDP session
            Note over GW: The video recording is moved <br/>to the archive directory.
            GW->>MED: Indication of the end of the user's session
            Note over MED: The user's session switches <br/>from live streaming to the archive
        end
    else If user X is not authorized
        MED->>+GW: Send information that user <br/>X is not authorized to log in
        GW->>-AGENT: Send notification of <br/>user X's login denial
        Note over AGENT: Log out user X
    end

Hold "Ctrl" to enable pan & zoom

1. Eine neue Sitzung wird vom Aufzeichnungsagent erkannt, der eine Verbindung zum Aufzeichnungsdienst eines Edge Gateway herstellt.
2. Der Edge Gateway sendet die Verbindungsdaten (Benutzername und CN des vom Aufzeichnungsagenten verwendeten Zertifikats) an den Mediation Controller. Der Mediation Controller antwortet je nach Einstellung der Zugriffsrechte auf zwei verschiedene Arten.
3. Wenn der Benutzer berechtigt ist, eine Verbindung zum Server herzustellen, meldet der Mediation Controller dem Edge Gateway den möglichen Zugriff für diesen Benutzer und die Liste der anzuwendenden Netzwerkfilter.
4. Der Edge Gateway gibt diese Information an den Aufzeichnungsagent zurück. Sobald er sie erhalten hat, wendet der Aufzeichnungsagent die Netzwerkfilter auf die Benutzersitzung an.
5. Der Aufzeichnungsagent lädt die Videoaufzeichnung der Benutzersitzung und aller Sitzungsereignisse (z. B. Tastendruck oder Programmstart) kontinuierlich in Echtzeit in den Aufzeichnungsdienst hoch. Der Aufzeichnungsdienst speichert die Videoaufzeichnung in einem temporären Verzeichnis.
6. Der Aufzeichnungsdienst meldet die verschiedenen Sitzungsereignisse an die Mediation Controller, die sie dann in der Datenbank der Organisation speichert.
7. Wenn die RDP-Sitzung des Benutzers endet, meldet der Aufzeichnungsagent die Informationen an den Aufzeichnungsdienst. Der Aufzeichnungsdienst verschiebt dann das aufgezeichnete Video in das Benutzerarchiv.
8. Der Aufzeichnungsdienst meldet das Ende der Benutzer­ Mediation ControllerDie Sitzung ist daher nicht mehr im Live-Streaming des Kontrollzentrums sichtbar, sondern wechselt in die Archive.
9. Wenn der Benutzer nicht berechtigt ist, eine Verbindung zum Server herzustellen, meldet der Mediation Controller den unbefugten Zugriff für diesen Benutzer an den Edge Gateway.
10. Die Edge Gateway leitet die Information an den Aufzeichnungsagent weiter, der die Benutzer-Session trennt.

Registerschlüssel

Unabhängig von der Art und Weise, wie der Registrierungsagent installiert ist, verfügt er über alle Komponenten, die für alle vorgesehenen Betriebsarten erforderlich sind. Um im Direktzugriff zu arbeiten, liest er daher die folgenden Registrierungsschlüssel, um seine Konfiguration zu bestimmen:

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\IpdivaSafe]
"MachineName"="my-rdp-server.domain.local"
"LogOffOnFailure"=dword:00000001
"RecordedSessions"="none"

MachineName

Name des Zertifikats, mit dem der Aufzeichnungsagent eine Verbindung zum Aufzeichnungsdienst eines Edge Gateway herstellt. Standardmäßig und wenn nicht definiert, versucht der Agent, ein Zertifikat mit dem Namen des Geräts zu verwenden.

LogOffOnFailure

Angabe des Verhaltens des Agenten, wenn er keine Verbindung zu einem Edge Gateway herstellen kann oder wenn der Benutzer nicht zur Verbindung mit der Maschine berechtigt ist. Bei 0 tritt keine Trennung auf, während bei 1 der Benutzer getrennt wird (Standardverhalten).

RecordedSessions

Definition der Sitzungsarten, die durch die Aufzeichnung eingeschränkt sind:

- `none`: keine direkten Zugriffs-Aufzeichnungen werden durchgeführt (Standard-Einstellung).
- `remote`: Jeder RDP-Zugang zur Maschine löst eine Aufzeichnung aus.
- `all`: Der RDP-Zugang und der Konsolenzugriff (physischer Zugriff auf die Maschine oder aus dem Hypervisor-Konsolenmodus) lösen die Aufzeichnung aus.

Welche Schlüsselwerte sind für den direkten Zugriff erforderlich?

Der einzige Schlüsselwert, der für die Aktivierung des Mechanismus des direkten Zugangs erforderlich ist, ist RecordedSessions mit einem Wert von remote oder all. Die Umwelt kann MachineName Schlüsselwert kann ebenfalls erforderlich sein.

Zertifikat für die Maschine

Der Aufzeichnungsagent wird versuchen, ein Zertifikat zur Authentifizierung mit dem Aufzeichnungsdienst zu verwenden. Dieses Zertifikat muss in den persönlichen Zertifikaten des Computers installiert sein.

Der Agent wird das Zertifikat verwenden, dessen Name dem Schlüsselwert MachineName entspricht (siehe voriges Kapitel ), und wenn es nicht definiert ist, wird er versuchen, ein Zertifikat mit dem Namen der Maschine zu verwenden.

Erklärung der Edge-Gateways, mit denen der Agent Kontakt aufnehmen kann

Der Aufzeichnungsagent verwendet lokale Informationen, um die Liste der Edge Gateway-Server zu ermitteln, die kontaktiert werden müssen, um die Aufzeichnungen der Benutzersitzung hochzuladen.

Um die Liste der Edge Gateway-Server zu ändern, die kontaktiert werden können, müssen Sie zuerst den CleanroomAgent-Dienst beenden.

Warnung!

Durch das Stoppen des CleanroomAgent-Dienstes wird die Aufzeichnung der aktuellen Sitzungen auf dem Server beendet, und alle neuen Sitzungen, die auf dem Server geöffnet werden, werden nicht aufgezeichnet.

Der Dienst kann mit PowerShell gestoppt werden (Administratorrechte erforderlich):

Stop-Service CleanroomAgent

Nach dem Einstellen des Dienstes wird die folgende [RECORDING_AGENT_DIR]\gateways.xml Datei [RECORDING_AGENT_DIR] geändert oder erstellt, in der sich das Installationsverzeichnis des Aufzeichnungsagenten befindet. Bei dem Standardinstallationsverzeichnis muss die Datei an diesem Ort vorhanden sein oder erstellt werden:

• cyberelements.io: C:\Program Files (x86)\Systancia\cyberelements\gateways.xml
• cyberElemente Cleanroom: C:\Program Files (x86)\Systancia\Safe\gateways.xml

Diese XML-Datei besteht aus einem gateways-Tag und so vielen element-Tags, wie es Edge-Gateways gibt, die kontaktiert werden können.

Beispiel

Wenn der Erfassungsbeauftragte einen Edge Gateway mit seiner FQDN edge-gateway-1.domain.local kontaktieren muss, ist die XML-Datei wie folgt:

<?xml version="1.0"?>
<gateways>
    <element>edge-gateway-1.domain.local</element>
</gateways>

Wenn es jedoch zwei Edge Gateways zu kontaktieren gäbe, edge-gateway-1.domain.local und edge-gateway-2.domain.local, wäre die Datei wie folgt:

<?xml version="1.0"?>
<gateways>
    <element>edge-gateway-1.domain.local</element>
    <element>edge-gateway-2.domain.local</element>
</gateways>

Nach der korrekten Änderung der gateways.xml-Datei startet der CleanroomAgent-Dienst erneut:

Start-Service CleanroomAgent

Konfiguration des Aufzeichnungsdienstes zur Authentifizierung von Zertifikaten eines PKI eines Drittanbieters

Standardmäßig betrachtet der Aufzeichnungsdienst nur Zertifikate, die von der Systancia PKI ausgestellt wurden, als gültig. Um Zertifikate einer anderen Zertifizierungsstelle (CA) zu verwenden, müssen Sie die Schritte für hinzufügen einer CA zum Edge Gateway spezifischen Verzeichnis ausführen.

Sobald die CA-Zertifikate an der richtigen Stelle sind, bleibt nur noch die Aufzeichnung des Dienstes neu zu starten, wieder als Superuser root:

Warnung!

Der Neustart dieses Dienstes wird die aktuellen Sitzungen stoppen und fast alle beenden. Führen Sie den folgenden Befehl nur aus, wenn keine Benutzer-Sitzungen durch die Edge Gateway gehen, um Benutzer nicht zu beeinträchtigen.

systemctl restart ipdivacarerecord

Nach dem Neustart des Aufzeichnungsdienstes können Sie durch Abfrage der Dienstprotokolle überprüfen, ob die neuen CA richtig berücksichtigt wurden:

journalctl -xeu ipdivacarerecord -g loadCaDir -S today

Die erhaltenen Logs enthalten am Ende der Zeile die Namen der Zertifikatsdateien, die vom Aufzeichnungsdienst geladen wurden.

Beispiel

Nach der Zugabe von zwei CA mit den Namen MY-CA-ROOT.pem und MY-INTERMEDIATE-CA.pemDie erhaltenen Protokolle sehen so aus (der Anfang des Protokolls ist abgeschnitten, enthält aber unter anderem das Datum und den Namen der Maschine):

TRACE tls.TLS.Context.loadCaDir load ca file: MY-CA-ROOT.pem
TRACE tls.TLS.Context.loadCaDir load ca file: MY-INTERMEDIATE-CA.pem
TRACE tls.TLS.Context.loadCaDir load ca file: oldIPdiva_-928617624.pem
TRACE tls.TLS.Context.loadCaDir load ca file: newIPdiva_1957857431.pem