Configurazione dell'agente di registrazione di Windows¶
Configurazioni tramite chiavi di registro¶
Alcune impostazioni globali sono disponibili nelle chiavi del registro per influenzare il funzionamento dell'agente di registrazione sia quando viene utilizzato con le applicazioni che nell'accesso diretto.
1 2 3 | |
DisconnectOnError-
Definisce il comportamento dell'agente di registrazione quando il registratore di sessione è chiuso. Se il valore
0è specificato (comportamento predefinito), allora quando il registratore è chiuso, la sessione dell'utente sarà chiusa. Se il valore1è specificato, allora la sessione dell'utente sarà disconnessa quando il registratore è chiuso. SessionEndTimeout-
Definizione del tempo (in secondi) per chiudere la sessione utente prima che venga eseguita una chiusura forzata della sessione. Per impostazione predefinita, questo parametro è impostato su 10 secondi.
Configurazione per il funzionamento con applicazioni RDP e RDP HTML5¶
In questa modalità di funzionamento, gli scambi tra il Mediation Controller, il Edge Gateway e l'agente di registrazione sono i seguenti:
sequenceDiagram
autonumber
participant MED as Mediation Controller
participant GW as Edge Gateway
participant AGENT as RDP Server<br/>Recording Agent
MED->>+GW: Sending login information to <br/>the RDP server with login information <br/>for the recording agent
GW->>AGENT: Initializing the RDP connection
GW->>-AGENT: Sending login information to the <br/>Edge Gateway recording service
AGENT->>+GW: Connecting to the recording service
GW->>-AGENT: Sending network filtering information
Note over AGENT: Applying network <br/>restrictions to the user
loop Continuous session recording
AGENT->>+GW: Continuous sending of video recording <br/>+ session events
Note over GW: Continuous addition of video recording <br/>to the temporary storage directory
GW->>-MED: Sending of received session events
Note over MED: Recording of events <br/>in the organization's database
end
break Fin de session
AGENT->>GW: Sending information that <br/>the user has ended their RDP session
Note over GW: The video recording is moved <br/>to the archive directory
GW->>MED: Indication of the end of the user's session
Note over MED: The user's session switches <br/>from live streaming to the archive
end- Il Mediation Controller fornisce Edge Gateway Il server RDP di destinazione contiene anche le informazioni di connessione che esso ha per connettersi al servizio di registrazione (FQDN del server RDP di destinazione). Edge Gateway).
- Il Edge Gateway inizializza la connessione al server RDP.
- Il Edge Gateway trasmette all'agente di registrazione le informazioni di connessione per il proprio servizio di registrazione.
- L'agente di registrazione inizializza la connessione con il servizio di registrazione.
- Una volta che l'agente è connesso, il servizio di registrazione restituisce l'elenco delle restrizioni di flusso di rete da applicare alla sessione. Una volta ricevute, l'agente di registrazione le applica alla sessione dell'utente.
- L'agente di registrazione carica continuamente il video della sessione dell'utente e tutti gli eventi della sessione (ad esempio, tasti o avvio del programma) al servizio di registrazione in tempo reale. Il servizio di registrazione memorizza il video in una directory temporanea.
- Il servizio di registrazione segnala i vari eventi della sessione al Mediation Controller, che poi li registra nel database dell'organizzazione.
- Quando la sessione RDP dell'utente termina, l'agente di registrazione riporta le informazioni al servizio di registrazione.
- Il servizio di registrazione segnala alla Mediation Controller la fine della sessione dell'utente. La sessione non è quindi più visibile nel Live Streaming del Centro di controllo ma passa agli Archivi.
Con questa sequenza, è essenziale che l'agente di registrazione riceva le informazioni di connessione corrette per il Edge Gateway Questa informazione è contenuta nel Edge Gateway impostazioni nel FDQN campo: 
In questo campo, inserire un nome DNS che i server RDP saranno in grado di risolvere.
Importante
Il certificato assegnato al servizio di registrazione Careserver deve coprire il nome specificato nel campo FQDN, altrimenti l'agente di registrazione considererà la connessione come non sicura e non innescherà la registrazione della sessione.
Configurazione per il funzionamento con accesso diretto¶
In questa modalità di funzionamento, gli scambi tra il Mediation Controller, il Edge Gateway e l'agente di registrazione sono i seguenti:
sequenceDiagram
autonumber
participant MED as Mediation Controller
participant GW as Edge Gateway
participant AGENT as RDP Server<br/>Recording Agent
Note over AGENT: Detection of a new <br/>session to be recorded
AGENT->>+GW: Connecting to the recording service
GW->>-MED: Indication of a new connection <br/>with direct access for user X
alt If user X is authorized
MED->>+GW: Send information that user X <br/>is authorized to connect and send <br/>the list of network filters to apply
GW->>-AGENT: Send network filtering information <br/>and connection authorization <br/>for user X
Note over AGENT: Application of network <br/>restrictions to user X
loop Continuous session recording
AGENT->>+GW: Continuous sending of video recording <br/>+ session events
Note over GW: Continuous addition of video recording <br/>to the temporary storage directory
GW->>-MED: Sending of received session events
Note over MED: Recording of events <br/>in the organization's database
end
break End of session
AGENT->>GW: Sending information that <br/>user X has ended their RDP session
Note over GW: The video recording is moved <br/>to the archive directory.
GW->>MED: Indication of the end of the user's session
Note over MED: The user's session switches <br/>from live streaming to the archive
end
else If user X is not authorized
MED->>+GW: Send information that user <br/>X is not authorized to log in
GW->>-AGENT: Send notification of <br/>user X's login denial
Note over AGENT: Log out user X
end- Un nuovo session viene rilevato dall'agente di registrazione, che avvia una connessione al servizio di registrazione di un Edge Gateway.
- Il Edge Gateway invia le informazioni di connessione (nome utente e CN del certificato utilizzato dall'agente di registrazione) al Mediation Controller. Il Mediation Controller risponderà in due modi diversi a seconda delle impostazioni dei diritti di accesso.
- Se l'utente è autorizzato a connettersi al server, il Mediation Controller riporta al Edge Gateway il possibile accesso per questo utente e l'elenco dei filtri di rete da applicare.
- Il Edge Gateway restituisce queste informazioni all'agente di registrazione. Una volta ricevute, l'agente di registrazione applica i filtri di rete alla sessione dell'utente.
- L'agente di registrazione carica continuamente il video della sessione dell'utente e tutti gli eventi della sessione (ad esempio, tasti o avvio del programma) al servizio di registrazione in tempo reale. Il servizio di registrazione memorizza il video in una directory temporanea.
- Il servizio di registrazione segnala i vari eventi della sessione al Mediation Controller, che poi li registra nel database dell'organizzazione.
- Quando la sessione RDP dell'utente termina, l'agente di registrazione riporta le informazioni al servizio di registrazione.
- Il servizio di registrazione segnala alla Mediation Controller la fine della sessione dell'utente. La sessione non è quindi più visibile nel Live Streaming del Centro di controllo ma passa agli Archivi.
- Se l'utente non è autorizzato a connettersi al server, il Mediation Controller segnala l'accesso non autorizzato per tale utente al Edge Gateway.
- Il Edge Gateway inoltra le informazioni all'agente di registrazione, che disconnette la sessione dell'utente.
Chiavi di registro¶
Indipendentemente dal modo in cui è installato, l'agente di registrazione ha tutti i componenti necessari per tutte le sue modalità di funzionamento previste.
1 2 3 4 | |
MachineName-
Nome del certificato che l'agente di registrazione utilizzerà per connettersi al servizio di registrazione di un Edge Gateway. Per impostazione predefinita, e se non definito, l'agente tenterà di utilizzare un certificato con il nome della macchina.
LogOffOnFailure-
Indicazione del comportamento dell'agente quando non può connettersi a un Edge Gateway o se l'utente non è autorizzato a connettersi alla macchina. Se
0, non si verificherà alcuna disconnessione, mentre con1l'utente sarà disconnesso (comportamento predefinito).
RecordedSessions
Definizione dei tipi di sessione vincolati dalla registrazione:
1 2 3 | |
Quali sono i valori chiave richiesti per l'accesso diretto?
Il solo valore chiave richiesto per attivare il meccanismo di accesso diretto è RecordedSessions con un valore di remote o all. Si noti che, a seconda dell'ambiente, può essere richiesto anche il valore della chiave MachineName.
Certificato di macchina¶
L'agente di registrazione tenterà di utilizzare un certificato per l'autenticazione con il servizio di registrazione.
L'agente utilizzerà il certificato il cui nome corrisponde al valore di chiave MachineName (cfr. capitolo precedente ) e, se non è definito, tenterà di utilizzare un certificato con il nome della macchina.
Dichiarazione dei gateway di bordo con cui l'agente può contattare¶
L'agente di registrazione utilizza informazioni locali per determinare l'elenco dei server Edge Gateway da contattare per caricare le registrazioni delle sessioni utente.
Per modificare l'elenco dei server Edge Gateway che possono essere contattati, è necessario prima interrompere il servizio CleanroomAgent.
Avvertimento!
L'arresto del servizio CleanroomAgent porta alla fine della registrazione delle sessioni correnti sul server e non verrà registrata alcuna nuova sessione aperta sul server.
Il servizio può essere fermato tramite PowerShell (sono necessari i diritti di amministratore):
1 | |
Dopo aver interrotto il servizio, modificare o creare il seguente file [RECORDING_AGENT_DIR]\gateways.xml [RECORDING_AGENT_DIR] dove si trova la directory di installazione dell'agente di registrazione. Con la directory di installazione predefinita, il file deve essere presente o creato in questa posizione:
- cyberelements.io:
C:\Program Files (x86)\Systancia\cyberelements\gateways.xml - cyberelementi Cleanroom:
C:\Program Files (x86)\Systancia\Safe\gateways.xml
Questo file XML è costituito da un tag gateways e da un numero di tag element pari a quanti Gateway Edge possono essere contattati.
Esempio
Se l'agente di registrazione deve contattare un Edge Gateway con il suo FQDN edge-gateway-1.domain.local, il file XML dovrebbe essere il seguente:
1 2 3 4 | |
Ma se ci fossero due Edge Gateway da contattare, edge-gateway-1.domain.local e edge-gateway-2.domain.local, il file sarebbe il seguente:
1 2 3 4 5 | |
Dopo aver modificato correttamente il file gateways.xml, riavviare il servizio CleanroomAgent:
1 | |
Configurazione del servizio di registrazione per l'autenticazione dei certificati di un PKI di terze parti¶
Per impostazione predefinita, il servizio di registrazione considera validi solo i certificati rilasciati dal PKI di Systancia. Per utilizzare i certificati di un'altra autorità di certificazione (CA), è necessario seguire i passaggi per aggiungere una CA alla directory specifica Edge Gateway {target="_blank"}.
Una volta che i certificati CA sono nella posizione corretta, non resta che riavviare il servizio di registrazione, di nuovo come superutente root:
Avvertimento!
Ristrarre questo servizio fermerà le sessioni correnti e terminerà quasi tutte. Eseguire il seguente comando solo quando nessuna sessione utente passa attraverso Edge Gateway in modo da non influenzare gli utenti.
1 | |
Dopo aver riavviato il servizio di registrazione, è possibile verificare che le nuove CA siano state correttamente prese in considerazione consultando i registri di servizio:
1 | |
I registri ottenuti indicheranno alla fine della riga i nomi dei file di certificato caricati dal servizio di registrazione.
Esempio
Dopo aver aggiunto due CA nominati MY-CA-ROOT.pem e MY-INTERMEDIATE-CA.pemI registri ottenuti saranno così (l'inizio del registro è troncato ma contiene, tra l'altro, la data e il nome della macchina):
1 2 3 4 | |