Saltar a contenido

Configurando el agente de grabación de Windows

Configuraciones mediante claves de registro

Algunas configuraciones globales están disponibles en las claves de registro para afectar el funcionamiento del agente de registro tanto cuando se utiliza con aplicaciones como en acceso directo.

1
2
3
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\IpdivaSafe]
"DisconnectOnError"=dword:00000000
"SessionEndTimeout"=dword:0000000a
DisconnectOnError

Define el comportamiento del agente de grabación cuando el registrador de sesión está cerrado. Si se especifica el valor 0 (comportamiento predeterminado), entonces cuando el registrador está cerrado, la sesión del usuario será cerrada. Si se especifica el valor 1, entonces la sesión del usuario será desconectada cuando el registrador está cerrado.

SessionEndTimeout

Definición del tiempo (en segundos) para cerrar la sesión del usuario antes de que se ejecute un cierre forzado de la sesión. Por defecto, este parámetro está establecido en 10 segundos.

Configuración para el funcionamiento con aplicaciones RDP y HTML5 RDP

En este modo de funcionamiento, los intercambios entre el Mediation Controller, el Edge Gateway y el agente de registro son los siguientes:

sequenceDiagram
    autonumber
    participant MED as Mediation Controller
    participant GW as Edge Gateway
    participant AGENT as RDP Server<br/>Recording Agent

    MED->>+GW: Sending login information to <br/>the RDP server with login information <br/>for the recording agent
    GW->>AGENT: Initializing the RDP connection
    GW->>-AGENT: Sending login information to the <br/>Edge Gateway recording service
    AGENT->>+GW: Connecting to the recording service
    GW->>-AGENT: Sending network filtering information
    Note over AGENT: Applying network <br/>restrictions to the user
    loop Continuous session recording
        AGENT->>+GW: Continuous sending of video recording <br/>+ session events
        Note over GW: Continuous addition of video recording <br/>to the temporary storage directory
        GW->>-MED: Sending of received session events
        Note over MED: Recording of events <br/>in the organization's database
    end 
    break Fin de session
        AGENT->>GW: Sending information that <br/>the user has ended their RDP session
        Note over GW: The video recording is moved <br/>to the archive directory
        GW->>MED: Indication of the end of the user's session
        Note over MED: The user's session switches <br/>from live streaming to the archive
    end
Hold "Ctrl" to enable pan & zoom
  1. El Mediation Controller proporciona el Edge Gateway También incluye la información de conexión que tiene para conectarse al servicio de grabación (FQDN del servidor RDP de destino). Edge Gateway).
  2. El Edge Gateway Inicializa la conexión con el servidor RDP.
  3. El Edge Gateway Envía la información de conexión de su servicio de registro al agente de registro.
  4. El agente de registro inicializa la conexión con el servicio de registro.
  5. Una vez que el agente está conectado, el servicio de grabación devuelve la lista de restricciones de flujo de red que se aplicarán a la sesión. Una vez recibidas, el agente de grabación las aplica a la sesión del usuario.
  6. El agente de grabación carga continuamente la grabación de video de la sesión del usuario y todos los eventos de la sesión (por ejemplo, pulsaciones de teclas o lanzamientos de programas) al servicio de grabación en tiempo real. El servicio de grabación almacena la grabación de video en un directorio temporal.
  7. El servicio de grabación informa al Mediation Controller, que luego los registra en la base de datos de la organización.
  8. Cuando la sesión RDP del usuario termina, el agente de grabación informa la información al servicio de grabación. El servicio de grabación luego mueve el video grabado al directorio de archivo de grabación del usuario.
  9. El servicio de grabación informa al usuario de la finalización de la sesión. Mediation ControllerPor lo tanto, la sesión ya no es visible en la transmisión en vivo del Centro de Control, sino que cambia a los Archivos.

Con esta secuencia, es esencial que el agente de registro reciba la información de conexión correcta para el servicio de registro Edge Gateway. Esta información se encuentra en la configuración Edge Gateway en el campo FDQN:

En este campo, introduzca un nombre de DNS que los servidores RDP puedan resolver.

Importante

El certificado asignado al servicio de grabación Careserver debe cubrir el nombre especificado en el campo FQDN. De lo contrario, el agente de grabación considerará que la conexión no es segura y no activará la grabación de sesión.

Configuración para el funcionamiento de acceso directo

En este modo de funcionamiento, los intercambios entre el Mediation Controller, el Edge Gateway y el agente de registro son los siguientes:

sequenceDiagram
    autonumber
    participant MED as Mediation Controller
    participant GW as Edge Gateway
    participant AGENT as RDP Server<br/>Recording Agent

    Note over AGENT: Detection of a new <br/>session to be recorded
    AGENT->>+GW: Connecting to the recording service
    GW->>-MED: Indication of a new connection <br/>with direct access for user X
    alt If user X is authorized  
        MED->>+GW: Send information that user X <br/>is authorized to connect and send <br/>the list of network filters to apply
        GW->>-AGENT: Send network filtering information <br/>and connection authorization <br/>for user X
        Note over AGENT: Application of network <br/>restrictions to user X
        loop Continuous session recording
            AGENT->>+GW: Continuous sending of video recording <br/>+ session events
            Note over GW: Continuous addition of video recording <br/>to the temporary storage directory
            GW->>-MED: Sending of received session events
            Note over MED: Recording of events <br/>in the organization's database
        end 
        break End of session
            AGENT->>GW: Sending information that <br/>user X has ended their RDP session
            Note over GW: The video recording is moved <br/>to the archive directory.
            GW->>MED: Indication of the end of the user's session
            Note over MED: The user's session switches <br/>from live streaming to the archive
        end
    else If user X is not authorized
        MED->>+GW: Send information that user <br/>X is not authorized to log in
        GW->>-AGENT: Send notification of <br/>user X's login denial
        Note over AGENT: Log out user X
    end
Hold "Ctrl" to enable pan & zoom
  1. El agente de registro detecta una nueva sesión, que inicia una conexión con el servicio de registro de un Edge Gateway.
  2. El Edge Gateway Envía la información de conexión (nombre de usuario y CN del certificado utilizado por el agente de registro) al Mediation ControllerEl Mediation Controller responderá de dos maneras diferentes dependiendo de la configuración de los derechos de acceso.
  3. Si el usuario está autorizado para conectarse al servidor, el Mediation Controller Los informes de vuelta a la Edge Gateway el posible acceso de este usuario y la lista de filtros de red que se aplicará.
  4. El Edge Gateway devuelve esta información al agente de grabación. Una vez recibida, el agente de grabación aplica los filtros de red a la sesión del usuario.
  5. El agente de grabación carga continuamente la grabación de video de la sesión del usuario y todos los eventos de la sesión (por ejemplo, pulsaciones de teclas o lanzamientos de programas) al servicio de grabación en tiempo real. El servicio de grabación almacena la grabación de video en un directorio temporal.
  6. El servicio de grabación informa al Mediation Controller, que luego los registra en la base de datos de la organización.
  7. Cuando la sesión RDP del usuario termina, el agente de grabación informa la información al servicio de grabación. El servicio de grabación luego mueve el video grabado al directorio de archivo de grabación del usuario.
  8. El servicio de grabación informa al usuario de la finalización de la sesión. Mediation ControllerPor lo tanto, la sesión ya no es visible en la transmisión en vivo del Centro de Control, sino que cambia a los Archivos.
  9. Si el usuario no está autorizado para conectarse al servidor, el Mediation Controller informa el acceso no autorizado para ese usuario a la Edge Gateway.
  10. El Edge Gateway Envía la información al agente de grabación, que desconecta la sesión del usuario.

Clases de registro

Independientemente de cómo se instale, el agente de registro tiene todos los componentes necesarios para todos sus modos de funcionamiento previstos.

1
2
3
4
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\IpdivaSafe]
"MachineName"="my-rdp-server.domain.local"
"LogOffOnFailure"=dword:00000001
"RecordedSessions"="none"
MachineName

Nombre del certificado que el agente de registro utilizará para conectarse al servicio de registro de un Edge Gateway. Por defecto, y si no está definido, el agente intentará utilizar un certificado con el nombre de la máquina.

LogOffOnFailure

Indicación del comportamiento del agente cuando no puede conectarse a un Edge Gateway o si el usuario no está autorizado para conectarse a la máquina. Si 0, no se producirá ninguna desconexión, mientras que con 1 el usuario se desconectará (comportamiento predeterminado).

RecordedSessions

Definición de los tipos de sesiones limitados por el registro:

  • none: no se realizará ningún registro de acceso directo (configuración predeterminada).
  • remote: cualquier acceso RDP a la máquina activará una grabación.
  • all: El acceso RDP y el acceso a la consola (acceso físico a la máquina o desde el modo de consola del hipervisor) activarán la grabación.

¿Qué valores clave se requieren para el acceso directo?

El único valor clave requerido para habilitar el mecanismo de acceso directo es RecordedSessions con un valor de remote o all. Tenga en cuenta que, dependiendo del entorno, también puede requerirse el valor de la clave MachineName.

Certificado de la máquina

El agente de registro intentará utilizar un certificado para la autenticación con el servicio de registro. Este certificado debe haber sido instalado en los certificados personales de la computadora.

El agente utilizará el certificado cuyo nombre corresponda al valor clave MachineName (véase capítulo anterior ) y, si no está definido, intentará utilizar un certificado con el nombre de la máquina.

Declaración de las puertas de enlace de borde con las que el agente puede ponerse en contacto

El agente de grabación utiliza información local para determinar la lista de servidores Edge Gateway a los que debe comunicarse para cargar grabaciones de sesiones de usuario.

Para modificar la lista de servidores Edge Gateway que pueden ser contactados, primero debe detener el servicio CleanroomAgent.

¡Advertencia! ¡No hay más!

La detención del servicio CleanroomAgent hace que la grabación de las sesiones actuales en el servidor termine, y no se grabarán las nuevas sesiones abiertas en el servidor.

El servicio puede ser detenido a través de PowerShell (se requieren derechos de administrador):

1
Stop-Service CleanroomAgent

Después de detener el servicio, modifique o cree el siguiente archivo [RECORDING_AGENT_DIR]\gateways.xml [RECORDING_AGENT_DIR] donde se encuentra el directorio de instalación del agente de registro. Con el directorio de instalación predeterminado, el archivo debe estar presente o creado en esta ubicación:

  • cibernéticoLos elementos. C:\Program Files (x86)\Systancia\cyberelements\gateways.xml
  • ciberelementos Cleanroom: C:\Program Files (x86)\Systancia\Safe\gateways.xml

Este archivo XML consta de una etiqueta gateways y tantas etiquetas element como puedas contactar con las puertas de enlace de borde.

Ejemplo

Si el agente de registro necesita ponerse en contacto con un Edge Gateway con su FQDN edge-gateway-1.domain.local, el archivo XML sería el siguiente:

1
2
3
4
<?xml version="1.0"?>
<gateways>
    <element>edge-gateway-1.domain.local</element>
</gateways>

Pero si hubiera dos puertas de enlace de borde para contactar, edge-gateway-1.domain.local y edge-gateway-2.domain.local, el archivo sería el siguiente:

1
2
3
4
5
<?xml version="1.0"?>
<gateways>
    <element>edge-gateway-1.domain.local</element>
    <element>edge-gateway-2.domain.local</element>
</gateways>

Después de modificar correctamente el archivo gateways.xml, reinicie el servicio CleanroomAgent:

1
Start-Service CleanroomAgent

Configuración del servicio de registro para autenticar certificados de una PKI de terceros

Por defecto, el servicio de registro sólo considera válidos los certificados emitidos por el PKI de Systancia. Para utilizar certificados de otra Autoridad de Certificación (CA), debe seguir los pasos para añadir una CA al directorio específico Edge Gateway {target="_blank"}.

Una vez que los certificados CA están en la ubicación correcta, todo lo que queda es reiniciar el servicio de grabación, nuevamente como superusuario root:

¡Advertencia! ¡No hay más!

El reinicio de este servicio detendrá las sesiones actuales y terminará casi todas ellas. Sólo ejecute el siguiente comando cuando no haya sesiones de usuario que pasen por Edge Gateway para no afectar a los usuarios.

1
systemctl restart ipdivacarerecord

Después de reiniciar el servicio de grabación, puede comprobar que las nuevas CA se han tenido en cuenta correctamente consultando los registros del servicio:

1
journalctl -xeu ipdivacarerecord -g loadCaDir -S today

Los registros obtenidos indicarán al final de la línea los nombres de los archivos de certificado que hayan sido cargados por el servicio de registro.

Ejemplo

Después de añadir dos CA llamados MY-CA-ROOT.pem y MY-INTERMEDIATE-CA.pemLos registros obtenidos tendrán este aspecto (el principio del registro ha sido truncado, pero contiene, entre otras cosas, la fecha y el nombre de la máquina):

1
2
3
4
TRACE tls.TLS.Context.loadCaDir load ca file: MY-CA-ROOT.pem
TRACE tls.TLS.Context.loadCaDir load ca file: MY-INTERMEDIATE-CA.pem
TRACE tls.TLS.Context.loadCaDir load ca file: oldIPdiva_-928617624.pem
TRACE tls.TLS.Context.loadCaDir load ca file: newIPdiva_1957857431.pem