Installieren und verwenden des Aufzeichnungsagenten für Windows¶
-
Installation
Installieren und Bereitstellen des Windows-Agent.
-
Konfiguration
Konfigurieren Sie den Windows-Agent für die Aufzeichnung so, dass er mit RDP-Anwendungen und/oder direkten Zugriffen auf HTML5 RDP arbeitet.
Der Windows-Agent wird von cyberelements.io / cyberelements Cleanroom verwendet, um neue Funktionen für RDP-Sitzungen hinzuzufügen:
- Fähigkeit, TCP- und UDP-Streams zu filtern, die vom Benutzer zugänglich sind
- Einrichtung zur Auslösung der Session-Aufzeichnung für jeden Benutzer, der sich mit dem Server verbindet, ohne über das Benutzerportal oder den Desktop-Client zu gehen (
direct access-Funktion)
Darüber hinaus werden während der Benutzersitzungen weitere Ereignisse erfasst:
- Fensteröffnung
- Schließung des Fensters
- Start des Programms
- Schließung des Programms
- Zwischenruhe
- Nutzeraktivität
Voraussetzungen¶
Klientenkompatibilität
Um herauszufinden, ob der Agent mit verschiedenen Microsoft Windows-Betriebssystemen kompatibel ist, verweisen Sie auf die Kompatibilitätsmatrix.
Der Aufzeichnungsagent erfordert einige Voraussetzungen, um richtig zu funktionieren. Einige davon sind nur für agentbasierte Aufzeichnungsfunktionalität für RDP- und HTML5-RDP-Anwendungen gedacht, während andere den direkten agentbasierten Zugriff betreffen.
Allgemeine Voraussetzungen¶
Der Aufzeichnungsagent sendet die Benutzer-Sitzungsaufzeichnung zurück an cyberelements.io und cyberelements Cleanroom, indem er sich mit dem Edge Gateway am Port TCP 8443 verbindet.
Um die Aufzeichnung sicher an den Edge Gateway zurückzusenden, stellt der Aufzeichnungsagent eine sichere Verbindung mit diesem unter Verwendung von TLS her. TLS setzt auf die Verwendung von Zertifikaten, und die folgenden Einschränkungen müssen validiert werden, damit die Verbindung als zuverlässig und sicher angesehen wird:
- Das Serverzertifikat, in diesem Fall Edge Gateway, darf nicht abgelaufen sein (höchstes Gültigkeitsdatum).
-
Das Serverzertifikat, in diesem Fall das Edge Gateway, muß von einer Zertifizierungsstelle ausgestellt werden, die von der Maschine, auf der Aufzeichnungsmittel installiert ist, als vertrauenswürdig anerkannt wird.
Zusätzliche Informationen
Der Server, auf dem der Registrierungsagent installiert ist, muss mindestens die Root-Zertifizierungsstelle (CA) des Registrierungsserverzertifikats in seinem lokalen Speicher vertrauenswürdiger Zertifizierungsstellen haben.
Es ist daher notwendig,
- Erhalten Sie die Wurzel-CA des Zertifikats vom Aufzeichnungsdienst auf Edge Gateway.
- Laden Sie diese CA auf den Server hoch, auf dem der Aufzeichnungsagent installiert ist.
- Installieren Sie die CA im Zertifikatsspeicher "Trusted Root Certification Authorities" auf dem lokalen Rechner.
Beispiel mit PowerShell
Sie können ein Zertifikat leicht in
.cerFormat über PowerShell.
Zum Abschluss des Vorgangs öffnen Sie ein PowerShell-Terminal als Maschinenadministrator und führen Sie den folgenden Befehl aus:Ersetzen Sie1Import-Certificate -FilePath "<PAHT_TO_CERT>" -CertStoreLocation "Cert:\LocalMachine\Root"<PATH_TO_CERT>durch den Pfad zur Zertifikatsdatei.Beispiel mit PowerShell für das Systancia-Zertifikat ohne Senden von Dateien
Dieses Beispiel beinhaltet die Installation der Systancia-Root-CA, die standardmäßig auf cyberelements.io oder für cyberelements CleanroomClients verwendet wird, die von Systancia bereitgestellte Zertifikate verwenden.
Es ist auch möglich, das Zertifikat zu importieren, ohne die Datei an die Maschine zu senden/herunterzuladen, auf der Aufzeichnungsmittel installiert ist.
Zum Abschluss des Vorgangs öffnen Sie ein PowerShell-Terminal als Maschinenadministrator und führen Sie die folgenden Befehle aus:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
# Systancia Root certificate $base64Cert = "MIIFIDCCBAigAwIBAgIBADANBgkqhkiG9w0BAQUFADCBjTELMAkGA1UEBhMCRlIx FDASBgNVBAoTC0lQZGl2YSBSb290MR0wGwYDVQQLExRJUGRpdmEgU2VjdXJpdHkg RGVwdDEqMCgGA1UEAxMhSVBkaXZhIFJvb3QgQ2VydGlmaWNhdGUgQXV0aG9yaXR5 MR0wGwYJKoZIhvcNAQkBFg5wa2lAaXBkaXZhLmNvbTAeFw0wNTA4MjIxNTAwMzla Fw0zMDA4MjIxNTAwMzlaMIGNMQswCQYDVQQGEwJGUjEUMBIGA1UEChMLSVBkaXZh IFJvb3QxHTAbBgNVBAsTFElQZGl2YSBTZWN1cml0eSBEZXB0MSowKAYDVQQDEyFJ UGRpdmEgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkxHTAbBgkqhkiG9w0BCQEW DnBraUBpcGRpdmEuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA ua59tx+RkIPZbGaSwkV0w5fuPBpY3sbLTk/eR2uN7j9zMu0pq38LfibCVsNGlifh GfT5CEbrNL7KvlEVY/It1QluYxNgknlcBP1roJG/xHNcUNmbvCFYLy9N3Nd0J/gC Vd8tdB4exqyKEoNuqX18rLpSJJOUZdQCeGdF9r+w6vmHdRMeVS44qIiBPv9Bxzgf GXBxAlSqfuDDJ3eZEMsWF/kJrbm4Uhav2ACl5qjHgSSTKMoGoEWOJNkB7Mq/khxc TnixIpM2s1rpEfhIetPo4BHsyKv7wqWrS6ouwu5AbzT5t3UqaN77CLqcZJGQ3vC0 IGKBuEcwigd7W6qkX1/XMwIDAQABo4IBhzCCAYMwDwYDVR0TAQH/BAUwAwEB/zAd BgNVHQ4EFgQU+lu7XBGohR2DKD+D+abZEODRHjkwgboGA1UdIwSBsjCBr4AU+lu7 XBGohR2DKD+D+abZEODRHjmhgZOkgZAwgY0xCzAJBgNVBAYTAkZSMRQwEgYDVQQK EwtJUGRpdmEgUm9vdDEdMBsGA1UECxMUSVBkaXZhIFNlY3VyaXR5IERlcHQxKjAo BgNVBAMTIUlQZGl2YSBSb290IENlcnRpZmljYXRlIEF1dGhvcml0eTEdMBsGCSqG SIb3DQEJARYOcGtpQGlwZGl2YS5jb22CAQAwCwYDVR0PBAQDAgEGMBkGA1UdEQQS MBCBDnBraUBpcGRpdmEuY29tMBkGA1UdEgQSMBCBDnBraUBpcGRpdmEuY29tMBEG CWCGSAGG+EIBAQQEAwIABzA+BglghkgBhvhCAQ0EMRYvSVBkaXZhIFJvb3QgQ2Vy dGlmaWNhdGlvbiBBdXRob3JpdHkgQ2VydGlmaWNhdGUwDQYJKoZIhvcNAQEFBQAD ggEBACaAgBQK7TATXieb9OdKm+l7/GpePo8f2bRKnkqeRS+HXBKYkvqVJdbJnhJm YPOdmhr9ATzt+488tQREAGzqPCp5eiVExPgvomNeG77X57KqbgCA1F7zGJqjP1FL 771FIWvFXp80ReM/zhcM+MY3sa5LADgOEl5NhoMNHT8AhLKwZ81j5nuwxyG9ICCN 5GjwgsnK/agmum4+RKeybIWuC/JTsSnu5OImXsmrlUiakp2l+VsZ1rRRNRNUlSbg Q3T8kj5ajB0lv2I0kj4fN9wDxzdHEn7nEAmv0t6Y5Te0g/VK3VWhuqeLStaahgip hmOVxbu5Ijfug5/3Eemep34NsYk=" # Convert the certificate and store it in memory $certBytes = [Convert]::FromBase64String($base64Cert) # Create a certificate object $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $cert.Import($certBytes) # Open the trusted root certificate store on the local machine and add the Systancia root certificate $store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine") $store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite) $store.Add($cert) $store.Close()Um diese Methode mit einer anderen Zertifizierungsstelle zu verwenden, ändern Sie bitte den Wert der Variablen
base64Certin das Zertifikat mit Basis-64-Codierung Ihrer Wahl. -
Das Serverzertifikat, in diesem Fall das Edge Gateway, nicht widerrufen werden darf.
- Die Maschine, auf der Aufzeichnungsagent installiert ist, muss in der Lage sein, den Server, in diesem Fall den Edge Gateway, mit einem DNS-Namen oder einer IP-Adresse zu kontaktieren, der durch das Serverzertifikat über seinen Common Name (CN) abgedeckt ist.
Besondere Voraussetzungen für RDP-Anwendungen mit Agenten, die auf einer MacOS- oder Ubuntu-Benutzerarbeitsstation verwendet werden¶
Warnung
Die folgenden Voraussetzungen sind nur erforderlich, wenn der Benutzer eine RDP-Anwendung mit einem Agenten startet und seine Arbeitsstation nicht Windows (macOS oder Ubuntu) ist.
Wenn cyberelements.io oder cyberelements Cleanroom Benutzer über ausschließlich Windows laufende Arbeitsplätze verfügen oder, wenn nicht, ausschließlich HTML5-RDP-Anwendungen verwenden, können die folgenden Voraussetzungen ignoriert werden.
Die folgenden Registrierungsschlüssel sind auf dem Zielserver erforderlich, auf dem der Aufzeichnungsagent eingesetzt wird.
Zunächst wird die Liste der autorisierten Startprogramme mit der ersten Taste deaktiviert (Microsoft-Dokument). Standardmäßig erlaubt ein Windows-Computer nur explorer.exe als Startprogramm.
1 2 | |
Wenn es sich bei der Maschine nicht um einen RDS-Server handelt, wird immer empfohlen, den folgenden Registrierungsschlüssel anzuwenden, damit der Aufzeichnungsagent als Startprogramm geöffnet werden kann:
1 2 | |
Besondere Anforderungen für den direkten Zugang¶
Direktzugriff
Mit der Funktion "Direkter Zugriff" können Sie eine Aufzeichnung der Benutzersitzung für den RDP- oder Konsolenzugriff (physische Verbindung mit dem Computer oder über den Konsolenmodus des Hypervisors) auslösen, die nicht direkt über cyberelements.io oder cyberelements Cleanroom erfolgt.
Wenn der Benutzer Zugriff auf den Server hat, wird seine Sitzung aufgezeichnet. Ist dies nicht der Fall, wird die Verbindung standardmäßig abgebrochen.
Damit der Registrierungsagent im Direktzugriff funktioniert, ist ein x509-Zertifikat erforderlich, das folgende Anforderungen erfüllen muss:
- Die Bescheinigung muss noch gültig sein (die Gültigkeitsdauer ist noch nicht abgelaufen).
- Das Zertifikat muss vom Typ (Feld für die Verwendung fortgeschrittener Schlüssel)
authentification du client(OID: 1.3.6.1.5.5.7.3.2) sein. - Die Bescheinigung darf nicht widerrufen werden.
- Die Einschränkungen aufgrund von OpenSSL-Sicherheitsstufe 2 implizieren, dass
- Der Zertifikat muss einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Chiffern haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen.
- Die Zertifikatssignatur darf nicht MD5 oder SHA-1 sein (SHA-512 ist bevorzugt).
- Der Aufzeichnungsserver wird die
Common Name(CN) Feld zur Identifizierung des Zertifikats und damit des Geräts, an dem eine direkte Erfassung ausgelöst wird.
-8<-- [Ende: Einführung]¶
Verwendung des Aufzeichnungsagenten mit RDP- und HTML5-RDP-Anwendungen¶
Einführung des Aufzeichnungsmittels¶
Wenn der Registrierungsagent korrekt installiert und konfiguriert ist, wird die Verwendung des Agents auf der Ebene der bevorzugten RDP- oder HTML5-RDP-Anwendung ermöglicht:
Drei Parameter sind an dem Mechanismus beteiligt:
Without agent mode- Diese Option muss nicht aktiviert sein, damit der Aufzeichnungsmittel funktioniert.
Disconnect session if the recorder is not working- Dies aktiviert oder deaktiviert eine Sicherheitsfunktion, wenn die Session-Aufzeichnung aus verschiedenen Gründen fehlschlägt. Wenn die Aufzeichnung nicht durchgeführt werden kann, wird die RDP- oder HTML5-RDP-Sitzung des Benutzers beendet. Wir empfehlen, diese Einstellung zu aktivieren, um Benutzerverbindungen ohne Aufzeichnung zu verhindern (z. B. im Falle einer Fehlfunktion des Aufzeichnungsagenten).
Time before disconnection- Wenn die vorherige Option aktiviert ist, können Sie die Zeit vor der Trennung in Sekunden einstellen. Die Standard-Einstellung beträgt 30 Sekunden, kann aber reduziert werden, um die Reaktionsfähigkeit zu erhöhen, oder erhöht werden, wenn beispielsweise bekannt ist, dass die Benutzer-Sitzungen lang sind.
Limitierung der seitlichen Bewegung¶
Die Begrenzung der seitlichen Bewegung ist eine Funktion, die Netzwerkverbindungen für die Benutzersitzung einschränkt. Diese Funktion blockiert standardmäßig den gesamten TCP/UDP-Datenverkehr innerhalb der Benutzersitzung, aber Administratoren können verschiedene Zugriffsflüsse öffnen.
Die Einschränkungen werden in der access policy konfiguriert und können daher je nach Benutzer variieren und für einen einzelnen Benutzer unterschiedliche Einstellungen haben (durch Multiplikation der ihnen zugewiesenen Zugriffsrichtlinien).
Sobald eine RDP- oder HTML5-RDP-Anwendung mit Agent in einer Zugriffsrichtlinie autorisiert ist, wird die Registerkarte Network connections verfügbar. Von dort aus ist es möglich, das Filtern zu aktivieren und autorisierte Netzwerke für den Benutzer anzugeben: 
Info
Einige Änderungen dieser Einstellungen werden nur dann auf Benutzer angewendet, wenn sie die jeweilige RDP- oder HTML5-RDP-Anwendung verwenden.
Konfigurieren von direkten Zugriffs-Aufzeichnungen mit Agent¶
Server für den direkten Zugriff mit Agent bereitstellen¶
Um einen Server zu deklarieren, der im Direktzugriff mit Agent-Modus arbeiten muss, müssen Sie zuerst das Machines management-Modul öffnen:
Dann klicken Sie auf die Schaltfläche , um einen neuen Server hinzuzufügen. Ein neues Fenster wird angezeigt, um den neuen Server zu konfigurieren: 
Name- Name der Maschine, wie er in der cyberelements.io-Konsole oder cyberelements Cleanroom angezeigt wird.
Notification text- Benachrichtigungsnachricht, die Benutzer bei der Verbindung mit dem Server erhalten.
Record sessions as videos- Aktiviert oder deaktiviert die Videoaufnahme der Sitzung. Wenn deaktiviert, werden nur Sitzungsereignisse erfasst und aufgezeichnet.
Check video integriyt at playback- Bei der Erstellung des Videorachivs wird ein Hash (SHA-256) der Videodatei berechnet und gespeichert. Wenn Administratoren das Archiv anzeigen, überprüfen sie, ob der Hash nicht geändert wurde. Wenn er geändert wurde, wird dem Administrator eine Warnmeldung gesendet, da es wahrscheinlich Änderungen an der Videoraufnahme geben wird (z. B. Ersatz oder Schnittsequenzen).
Allow manual removal of archives- Ermöglicht oder verweigert Administratoren die Möglichkeit, Videoachiv zu löschen.
Info
Die generierten Archive behalten die Einstellungen, die zum Zeitpunkt der Aufzeichnung in Kraft waren. Delete archives automatically- Einrichtung einer automatischen Löschung von Archiven nach Überschreitung einer bestimmten Anzahl von Tagen.
Info
Die generierten Archive behalten die Einstellungen, die zum Zeitpunkt der Aufzeichnung in Kraft waren. Use agent mode- Option, die aktiviert sein muss, damit der Server über den direkten Zugriffsmethoden mit einem aktiven Agenten verfügt.
Host (CN of the certificate)- Angabe der KN der Bescheinigung, die der Registrierungsbeauftragte zur Authentifizierung bei der Edge GatewayDies entspricht der Einstellungen für die Maschinenzertifikate.
Use no agent- Wenn ein Parameter für die gewünschte Betriebsart nicht nützlich ist, kann er nicht ausgewählt werden.
Konfiguration von direkten Zugriffsrechten mit einem Agenten¶
Die Konfiguration von direkten Zugriffsrechten mit einem Agenten ist ähnlich wie die Konfiguration von Zugriffsrichtlinien für Anwendungen. Neue Rechte werden deklariert und bestehende Rechte werden über Configurations d'enregistrement direct geändert:
Sie können eine neue Konfiguration hinzufügen, indem Sie auf die Schaltfläche klicken.
Die verschiedenen Einstellungs-Tabs ähneln denen für die Zugriffsrichtlinien der Anwendung, mit Ausnahme der Gruppen-Tab, mit der Sie eine Gruppe manuell hinzufügen können: 
Nach dem Klick auf die manuelle Hinzufügungsknopf wird ein neues Fenster erscheinen, um den Namen der Gruppe und ihre Domäne abzurufen: 
Tipp
Diese Funktion ist besonders nützlich, wenn Sie eine lokale Gruppe oder eine Gruppe in einer anderen OU hinzufügen möchten als die in den LDAP-Domänenkonfigurationen festgelegte.
Die anderen Tabs sind:
Sites: die Konfiguration an einer oder mehreren Standorten lokalisieren und dem Aufzeichnungsagent damit ermöglichen, sich mit einer oder mehreren an die autorisierten Standorte angeschlossenen Edge-Gateways zu verbinden.Machines: hinzufügen von RDP-Servern, die in dem vorherigen Kapitel angegeben wurden.Alerts: Verknüpfung von Warnungen mit der Konfiguration.Network connections: Beschränkung der seitlichen Bewegungen der Benutzer während ihrer Sitzungen mit einer Funktionalität, die mit der seitlichen Bewegungsbeschränkung von RDP- und HTML5-RDP-Anwendungen identisch ist.
Agent-Logs für die Aufzeichnung¶
Einrichtung von Protokollen über die Aufzeichnungsagentur¶
Warning
Die Aktivierung von Protokollen erfordert den Neustart des Aufzeichnungsagentendienstes, der alle aktuell auf dem Server laufenden Sitzungsaufzeichnungen stoppt.
Je nach Einstellung des LogOffOnFailure-Tasten wird der Benutzer entweder ausgeloggt oder eingeloggt bleiben.
Um die Protokollierung für den Aufzeichnungsagent zu aktivieren, müssen Sie die folgenden Schritte ausführen:
-
Erstellen Sie ein Verzeichnis mit dem Namen
Logim Verzeichnis für die Agentinstallation (Standard:C:\Program Files (x86)\Systancia\Safefür cyberelements Cleanroom undC:\Program Files (x86)\Systancia\cyberelementsfür cyberelements.io). -
Der
CleanroomAgent-Dienst wird beispielsweise mit dem folgenden PowerShell-Administratorbefehl neu gestartet:1Restart-Service -Name 'CleanroomAgent'
Jedes Mal, wenn der Dienst des Aufzeichnungsagenten gestartet wird, wird in dem im Schritt 1 erstellten Verzeichnis Log eine neue Protokolldatei erzeugt.
Inhalt der Protokolle des Aufzeichnungsmittels¶
Die vom Aufzeichnungsagent erzeugten Protokolle sehen so aus:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 | |
Initialisierung des Registriermittels (Zeilen 1-21)
Wenn der Aufzeichnungsagent initialisiert wird (Zeilen 1-18), werden verschiedene Informationen über das System protokolliert.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | |
Zeile 19 gibt die Anzahl der Edge Gateways an, die in der gateways.xmlDatei für den Betrieb im direkten Modus vorkommen.
19 | |
Zeile 20 zeigt ein Problem beim Laden von Schlüsseln in einem nicht vorhandenen Verzeichnis an. Dies ist eine alte Funktion, die den gesamten Betrieb des Agenten nicht beeinträchtigt. Dieses Fehlerprotokoll kann daher ignoriert werden.
20 | |
Zeile 21 beschreibt die Aktion, die ausführbare CareInit.exe in System32 zu kopieren, um Fälle abzudecken, in denen eine RDP-Anwendung mit Agent von einem MacOS- oder Ubuntu-Gerät aus gestartet wird.
In diesem Zustand verlangt die Verbindung zum Server, CareInit.exe als Startprogramm auszuführen.
21 | |
Verbindung einer HTML5-RDP- oder RDP-Anwendung mit einem Agenten (Zeilen 22-39)
Wenn eine neue RDP-Sitzung erkannt wird, werden die folgenden Protokolle geschrieben, um die Erkennung einer neuen RDP-Sitzung anzuzeigen und den Benutzernamen zu erfassen, der sich angemeldet hat:
22 23 24 25 | |
In den obigen Protokollen ist es der cyberelements_user Benutzer, der über RDP verbunden ist.
Wenn eine HTML5-RDP- oder RDP-Anwendung mit einem Agent gestartet wird, wird ein spezifischer virtueller RDP-Kanal erstellt, um die Edge Gateway-Verbindungsadresse und das eindeutige Passwort für die Verbindung zum Edge Gateway-Aufzeichnungsdienst an den Aufzeichnungsagent zu senden.
Das deutet auf zwei Dinge hin:
- Der Aufzeichnungsagent hat festgestellt, dass dies eine RDP-Verbindung von initiiert ist InternetElemente Cleanroom oder Internetelements.io, so dass die Sitzung nicht als direkter Zugriff behandelt werden sollte.
- Die Aufzeichnungsstelle konnte die Adresse des Edge Gateway an die sie die Videoaufnahmen und die Ereignisse senden muss.
Diese Information entspricht den Zeilen 27-29, in denen im Beispiel der Aufzeichnungsagent die Verbindungsadresse für die Edge Gateway (my-edge-gateway.domain.local) und ein einmaliges Passwort (K5efPBwVM2cIU0LaYQucZp0FV19nRIE5f5VYoBZz6EqlZOxNGM) abruft:
29 30 31 | |
Als nächstes kommen die Protokolle über die Anwendung der Regeln für die Netzfilterung, die in einem anderen Informationsbereich weiter unten auf der Seite beschrieben werden.
Ein Log gibt an, wann der Aufzeichnungsagent die Verbindung mit dem Edge Gateway initiiert und welches eindeutige Passwort er zur Authentifizierung verwendet.
35 | |
Schließlich wird der Datenaufzeichnungsagent, wenn der Benutzer eine Trennung einleitet, die Aufzeichnung erfassen, um die Aufzeichnung zu beenden und alle Regeln für die Netzwerkfilterung zu entfernen.
36 37 38 39 | |
Direkte RDP-Zugangsverbindung (Linien 40-61)
Wenn eine neue RDP-Sitzung erkannt wird, werden die folgenden Protokolle geschrieben, um die Erkennung einer neuen RDP-Sitzung anzuzeigen und den Benutzernamen zu erfassen, der sich angemeldet hat:
40 41 42 43 | |
In den obigen Protokollen ist es der cyberelements_user Benutzer, der über RDP verbunden ist.
Während einer Live-RDP-Verbindung wird der spezifische RDP-Virtualkanal für die Ausführung von RDP- oder HTML5-RDP-Anwendungen mit einem Agent nicht verwendet. Der Aufzeichnungsagent schließt daher, dass die offene Sitzung eine Direktzugriffssitzung ist.
44 | |
Aufgrund der Erkennung des direkten Zugriffs protokolliert der Aufzeichnungsagent die verschiedenen Benutzergruppen des gerade angeschlossenen Benutzers:
46 | |
Tip
Mit diesen Informationen können Sie die Gründe für die Nichtauslösung von direkten Zugriffs- Vertrag über direkten Zugang nicht eine der Benutzergruppen autorisiert oder der angegebene Domainname der Kurzbezeichnung (netBIOS-Name) oder der vollständigen Bezeichnung entsprechen muss.
Der Aufzeichnungsagent gibt an, mit welchen Edge-Gateways er sich verbinden kann, um die Session-Aufzeichnung des Benutzers hochzuladen.
Als Erinnerung: Dies sind die Edge-Gateways, die Teil der gateways.xml Datei sind, die während der Konfiguration des Aufzeichnungsagenten {target="_blank"} konfiguriert wurde.
47 | |
Nächstes ist das Client-Zertifikat, das der Aufzeichnungsagent zur Authentifizierung mit dem Aufzeichnungsdienst verwendet.
Standardmäßig sucht der Erfassungsagent nach einem Zertifikat, das den Namen des RDP-Servers in seiner CN enthält, es sei denn, der MachineName-Schlüssel wurde definiert.
Der Registrierungsbeauftragte gibt dann die ausgewählte Bescheinigung und die Informationen über die Bescheinigungsbehörde an, die sie erstellt hat.
48 49 50 51 | |
Im obigen Beispiel suchte der Erfassungsbeauftragte nach einer Bescheinigung mit my-rds-server und fand eine mit der KN my-rds-server.domain.local, die für die Zertifizierungsstelle SUB-CA ausgestellt wurde.
Als nächstes kommen die Protokolle über die Anwendung der Regeln für die Netzfilterung, die in einem anderen Informationsbereich weiter unten auf der Seite beschrieben werden.
Ein Log gibt an, wann der Aufzeichnungsagent die Verbindung mit dem Edge Gateway initiiert und welches eindeutige Passwort er zur Authentifizierung verwendet.
57 | |
Schließlich wird der Datenaufzeichnungsagent, wenn der Benutzer eine Trennung einleitet, die Aufzeichnung erfassen, um die Aufzeichnung zu beenden und alle Regeln für die Netzwerkfilterung zu entfernen.
58 59 60 61 | |
Anwendung von Regeln für die Netzfilterung (Zeilen 31 und 53-56)
Für jede von dem Logging-Agent erkannte Sitzung wird dieser feststellen, ob es notwendig ist, die Netzwerkfilterregeln auf die Benutzersitzung anzuwenden.
Wenn keine Regeln für die Netzfilterung angewendet werden müssen, gibt der Erfassungsagent Filter not enabled an.
31 | |
Wenn Netzfilterregeln angewendet werden müssen, erscheint die Meldung Net filter enabled.
Nach dieser Aktivierungszeile des Filters wird jeweils ein Filter pro Zeile angegeben:
53 54 55 56 | |
Als Erinnerung: Wenn die Netzwerkfilterung aktiviert ist, ist das Standardverhalten, den gesamten TCP/UDP-Datenverkehr zu blockieren. Daher sind die angegebenen Filter der einzige TCP/UDP-Datenverkehr, der für Programme autorisiert ist, die im Kontext des Benutzers laufen.
Im obigen Beispiel sind Verbindungen zu TCP 10.10.1.42:443 und UDP 10.10.20.1:53 erlaubt. Zusätzlich zu diesen beiden vom Administrator autorisierten Strömen ist auch der Verbindungsstrom zum Aufzeichnungsdienst geöffnet, damit die Sitzungsaufzeichnung vom dafür verantwortlichen Programm zurückgesendet werden kann.
Tip
Wenn für den Benutzer keine Ströme autorisiert sind, können nur die Linien, die anzeigen, daß das Filtern aktiv ist und daß der Aufzeichnungsvorgang mit dem Benutzer in Kontakt treten kann, die Edge Gateway Aufzeichnungsdienst angezeigt wird.
Verbindung zum Aufzeichnungsdienst fehlgeschlagen
Viele Probleme können dazu führen, dass der Aufzeichnungsagent keine Verbindung zum Aufzeichnungsdienst auf Edge Gateway herstellen kann.
Der erste ist ein Netzwerkflussblock. In diesem Fall schreibt der Aufzeichnungsdienst, wenn er versucht, eine Verbindung zum Aufzeichnungsdienst herzustellen, ähnliche Protokolle wie diese:
1 2 3 4 | |
In diesem Beispiel zeigt Zeile 1 an, dass der Fluss nicht eingeleitet werden konnte, während Zeile 3 die Edge Gateway Die Anzahl der betroffenen Personen und der Verbindungsstörung (siehe auch Nummer 242 für diese Art von Problem am Ende der Zeile 3).
Das zweite Problem, das auftreten kann, ist die Unfähigkeit des Aufzeichnungsagenten und damit des RDP-Servers, den Namen des Edge Gateway:
1 2 3 | |
In diesem Beispiel bestätigt Zeile 1 das DNS-Lösungsproblem mit dem Namen des Edge Gateway.
Die zweite Zeile gibt den Verbindungsfehler und den Namen des Edge Gateway an. Beachten Sie, dass die Zeile mit der Zahl 232 endet, wenn eine DNS-Auflösungsfehler vorliegt.
Das dritte Problem, das auftreten kann, ist eine Verbindung zu einem Dienst, der kein Aufzeichnungsdienst ist, z. B. ein Webserver, der auf Port 8443 hört.
In diesem Fall werden folgende Logdateien ermittelt:
1 2 3 | |
Zeile 1 zeigt einen Fehler bei den ausgetauschten Daten an, Zeile 2 bestätigt das Verbindungsproblem und gibt am Ende der Zeile den Fehler 140 an.
Kein direkter Zugriffskontrakt erlaubt die Auslösung einer direkten Session-Aufzeichnung.
Während des direkten Zugriffs müssen nicht alle Benutzer angemeldet sein.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | |
Die erhaltenen Protokolle beginnen wie alle direkten Sitzungen, die vom Aufzeichnungsagent erfasst werden. Edge Gateway Der Registrierungsdienst gibt dem Registrierungsagenten die Information zurück, dass der Nutzer, der sich angeschlossen hat, nicht registriert wird.
Der Aufzeichnungsagent gibt daher an, dass die Benutzersitzung nicht aufgezeichnet werden muss (Zeile 14 des obigen Beispiels).
Zeile 7 enthält eine Liste aller Gruppen, die vom Erfassungsagent für den Benutzer abgerufen wurden, der eine Verbindung hergestellt hat.
Diese Informationen ermöglichen es Ihnen, die Gründe zu ermitteln, warum Direktzugriffsaufzeichnungen nicht ausgelöst werden: Vertrag über direkten Zugang nicht eine der Benutzergruppen autorisiert oder der angegebene Domainname der Kurzbezeichnung (netBIOS-Name) oder der vollständigen Bezeichnung entsprechen muss.