Ir al contenido
Avanet

Configurar Sophos Firewall SATC para Remote Desktop Services

Sophos Firewall

Sophos Authentication for Thin Client, abreviado SATC, ayuda con las reglas de usuario en Remote Desktop Services. Esto es importante cuando varios usuarios acceden a la red o a Internet a través del mismo Windows Remote Desktop Session Host. En estos casos, el STAS clásico suele ver solo la dirección IP del servidor de terminales. SATC, en cambio, entrega a Sophos Firewall información de usuario de las distintas sesiones RDS.

Este artículo explica cuándo SATC tiene sentido, qué límites existen, cómo activarlo mediante Sophos Server Protection y cómo comprobar después si los usuarios aparecen correctamente en Sophos Firewall.

Para clientes Windows normales, primero es relevante configurar STAS en Sophos Firewall. SATC no sustituye a STAS en todos los entornos, sino que es el componente adecuado para Remote Desktop Services.

Cuándo SATC tiene sentido

SATC encaja cuando los usuarios no pasan por la firewall directamente desde su propio cliente, sino que usan aplicaciones o navegadores en un Remote Desktop Session Host.

Escenarios típicos:

  • Remote Desktop Services con varios usuarios simultáneos
  • servidores de terminales en los que los usuarios necesitan acceso web o acceso a aplicaciones
  • reglas de firewall basadas en usuarios para usuarios RDS
  • reporting en el que no debe verse solo la dirección IP del servidor RDS
  • entornos en los que STAS no basta correctamente por una IP de origen compartida

SATC no es el punto de partida correcto para clientes de dominio normales, usuarios VPN o escenarios puros de Captive Portal. Ahí conviene elegir primero el modelo de autenticación adecuado: STAS, Captive Portal, autenticación VPN, RADIUS o Microsoft Entra ID SSO.

Separar claramente STAS y SATC

La diferencia más importante es la asignación de IP.

EscenarioEnfoque adecuado
Un cliente Windows suele pertenecer a un usuarioSTAS
Muchos usuarios comparten la misma IP de servidor RDSSATC
Los usuarios inician sesión en el navegador para que apliquen reglasCaptive Portal
Los usuarios entran por Remote Access VPNautenticación VPN o Entra ID SSO
El tráfico pasa por servidores técnicos sin referencia de usuarioreglas de firewall normales sin usuario

Si un servidor de terminales se representa erróneamente mediante STAS o Clientless User, surgen rápidamente expectativas equivocadas. Una regla parece estar basada en usuarios, pero en realidad la firewall solo ve una IP de servidor compartida. SATC resuelve exactamente este problema, pero necesita una configuración propia en el Windows Server y en la firewall.

Requisitos

Antes de la configuración deberían aclararse estos puntos:

  • Sophos Server Protection puede usarse en el Remote Desktop Session Host.
  • El Windows Server funciona como Remote Desktop Session Host.
  • Se usa Windows Server 2016 o posterior.
  • La Sophos Firewall es accesible.
  • Active Directory está conectado en Sophos Firewall.
  • Los grupos AD necesarios están importados en la firewall.
  • Client Authentication está permitido en Device Access para la zona del servidor RDS.
  • Las reglas de firewall podrán trabajar después con Match known users.
  • Existe una ventana de mantenimiento para el cambio de Registry y el reinicio del servidor RDS.

La conexión AD en sí no debería crearse de paso. Si AD todavía no está configurado limpiamente, primero conviene revisar conectar Active Directory con Sophos Firewall.

Límites importantes

SATC tiene algunos límites que conviene conocer antes del rollout:

PuntoSignificado
SATC standaloneYa no está soportado por Sophos Firewall.
DespliegueSATC funciona mediante Sophos Server Protection o el Sophos Central Server Core Agent.
PlataformaSATC con Sophos Server Protection está pensado para Windows Remote Desktop Services.
Límite de servidoresSophos menciona hasta 192 Thin Client Servers en la firewall.
Autenticación por IP de servidorSi una IP de servidor RDS está registrada en la firewall como Thin Client, SATC funciona como método de autenticación para esa IP. Otros métodos como Clientless User no aplican para esa IP.

El último punto es especialmente importante. No conviene registrar IPs productivas de servidores de terminales solo para probar, sin entender las reglas y la ruta de retorno. En cuanto la IP se trata como fuente SATC, cambian las expectativas sobre asignación de usuarios y rule matching.

Resumen del procedimiento

El proceso técnico consta de cinco partes:

  1. Instalar Sophos Server Protection en el servidor RDS.
  2. Activar SATC mediante Registry en el servidor RDS.
  3. Registrar la IP del servidor RDS en la Device Console de Sophos Firewall.
  4. Revisar servidor AD, grupos y orden de autenticación en la firewall.
  5. Validar Device Access, regla de firewall y Live Users.

SATC no solo debe instalarse, sino también probarse. Una instalación correcta en el servidor no demuestra todavía que la firewall vaya a ver después el usuario correcto en la regla correcta.

Instalar Sophos Server Protection

La instalación se realiza mediante Sophos Central.

Procedimiento:

  1. Iniciar sesión en Sophos Central.
  2. Abrir Protect Devices.
  3. Descargar el Windows Server Installer bajo Server Protection.
  4. Instalar el installer en el Remote Desktop Session Host.
  5. Comprobar si el servidor aparece correctamente en Sophos Central.
  6. Definir una ventana de mantenimiento para la activación de SATC.

Los installers visibles dependen de las licencias Sophos disponibles. Si Sophos Server Protection ya se ejecuta en el servidor, aun así conviene comprobar si el agente está actualizado y si Tamper Protection puede desactivarse de forma controlada y volver a activarse después.

Activar SATC mediante Registry

SATC se controla en el servidor RDS mediante valores de Registry bajo esta ruta:

HKLM\Software\Sophos\Sophos Network Threat Protection\Application

Antes del cambio conviene documentar los ajustes actuales. Si Tamper Protection está activa en el servidor, debe desactivarse de forma controlada para el cambio y volver a activarse después.

La configuración básica puede definirse en un símbolo del sistema administrativo:

reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SendSatcEvents /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SatcDestinationAddr /t REG_SZ /d FIREWALL-IP /f
reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SatcDestinationPort /t REG_DWORD /d 6060 /f

FIREWALL-IP se sustituye por la dirección IP de Sophos Firewall a la que el servidor RDS debe enviar la información SATC. El puerto estándar es 6060.

Después:

  1. Volver a activar Tamper Protection.
  2. Reiniciar el servidor RDS.
  3. Tras el reinicio, comprobar si el servicio Sophos se está ejecutando.
  4. Solo después continuar con la configuración de firewall y las pruebas.

Excluir cuentas locales y destinos

Por defecto, cuentas locales como SYSTEM o Administrator también pueden generar eventos SATC. Esto normalmente no ayuda a las reglas de usuario y puede ensuciar los logs innecesariamente.

Con SatcExcludedUsers se pueden excluir usuarios. Las entradas son case-sensitive.

Ejemplo:

reg add "HKLM\Software\Sophos\Sophos Network Threat Protection\Application" /v SatcExcludedUsers /t REG_MULTI_SZ /d "SYSTEM\0Administrator" /f

Con SatcExcludedAddresses se pueden excluir destinos para los que no se deben enviar datos SATC a la firewall. Esto puede tener sentido para destinos locales de gestión, update o infraestructura, pero debería documentarse conscientemente.

Formatos posibles:

192.0.2.10
192.0.2.10:443
*:443

Las excepciones deberían mantenerse estrechas. Si se excluyen destinos demasiado amplios, la firewall verá después menos contexto de usuario del esperado.

Registrar el servidor RDS en la firewall

La firewall debe saber qué servidores entregan información SATC. Esto se hace en la Device Console, no en la Advanced Shell.

Procedimiento:

  1. Iniciar sesión en Sophos Firewall por consola o SSH.
  2. Abrir la opción 4. Device Console.
  3. Añadir la IP del servidor RDS:
system auth thin-client add citrix-ip <RDS-SERVER-IP>

<RDS-SERVER-IP> se sustituye por la dirección IP del Remote Desktop Session Host.

Si existen varios servidores RDS, registrar cada servidor por separado y documentarlo. Después debería quedar claro:

  • qué servidores cuentan como fuentes SATC
  • qué zona usan estos servidores
  • qué reglas de firewall evalúan usuarios de estos servidores
  • quién aprueba cambios en la lista de servidores RDS

Revisar Active Directory y grupos

SATC entrega información de usuario. Para que la firewall pueda usar esta información en reglas, la conexión AD y los grupos deben ser correctos.

Revisar:

  1. Abrir Authentication > Servers.
  2. Comprobar el servidor AD con Test connection.
  3. Controlar la importación de grupos.
  4. Abrir Authentication > Groups.
  5. Buscar los grupos relevantes.
  6. Abrir Authentication > Services.
  7. Revisar el servidor AD en el orden correcto de los firewall authentication methods.

Si los usuarios aparecen en el área Live Users, pero las reglas no aplican, la causa a menudo no está en SATC, sino en la importación de grupos, el grupo predeterminado, el criterio de regla o la posición de la regla.

Configurar Device Access y regla de firewall

Para que la firewall acepte Client Authentication desde la zona del servidor, Client Authentication debe estar permitido para esa zona.

Ruta:

Administration > Device access

Bajo Client Authentication, activar la zona del servidor RDS. No se debería abrir a ciegas WAN ni una zona amplia e insegura. Device Access controla servicios locales de la firewall y forma parte del hardening de gestión.

Después, el tráfico real necesita una regla de firewall.

Procedimiento típico:

  1. Abrir Rules and policies > Firewall rules.
  2. Crear una regla adecuada para tráfico desde el servidor RDS o desde la zona de servidor.
  3. Definir Source zone y Destination zone correctamente.
  4. Activar Match known users.
  5. Seleccionar los usuarios AD o grupos AD necesarios.
  6. Activar logging para que la prueba sea trazable después.
  7. Guardar la regla.
  8. Generar tráfico de prueba desde una sesión RDS.

Para la resolución de problemas posterior, logging es importante. Si se crea una regla de usuario sin logging, resulta más difícil reconocer si el problema está en SATC, group matching, el orden de reglas u otra ruta.

Validación después de la configuración

Después de la configuración no conviene comprobar solo si un usuario tiene acceso a Internet. Lo decisivo es si la firewall ve el usuario correcto y hace match con la regla correcta.

Prueba práctica:

  1. Iniciar sesión con un usuario en una sesión RDS.
  2. Generar tráfico de prueba definido, por ejemplo una conexión HTTPS permitida.
  3. En Sophos Firewall, abrir Current activities > Live users.
  4. Comprobar si el usuario aparece con Client type Thin client.
  5. Controlar la dirección IP del servidor RDS y la asignación de sesión.
  6. Abrir Log Viewer.
  7. Filtrar por Source IP del servidor RDS, usuario y regla.
  8. Comprobar si aplica la regla esperada basada en usuario.

Si el tráfico no funciona como se espera, ayuda además probar una regla de firewall con Log Viewer, Policy Test y Packet Capture. Si los usuarios son visibles, pero los grupos o usuarios individuales no hacen match, la regla de Sophos Firewall no hace match encaja como siguiente ruta de revisión.

Troubleshooting

No aparece ningún usuario Thin Client

Revisar:

  • el servidor RDS se reinició después del cambio de Registry.
  • SendSatcEvents está definido y es distinto de 0.
  • SatcDestinationAddr apunta a la IP correcta de la firewall.
  • SatcDestinationPort coincide con el puerto esperado.
  • la ruta de red del servidor RDS a la firewall está abierta.
  • la IP del servidor RDS se registró en la firewall mediante system auth thin-client add citrix-ip.
  • la zona del servidor RDS permite Client Authentication bajo Device Access.

El usuario aparece, pero la regla no hace match

Revisar:

  • el usuario o grupo está importado en la firewall.
  • la regla usa Match known users.
  • el grupo AD correcto está seleccionado en la regla.
  • la posición de la regla es adecuada.
  • no existe una regla anterior que haga match con el mismo tráfico sin referencia de usuario.
  • Log Viewer muestra el mismo usuario, la misma Source IP y el mismo servicio.

Cuentas locales aparecen en los logs

Revisar SatcExcludedUsers y añadir cuentas técnicas. Candidatos habituales son administradores locales, servicios y cuentas de sistema. Pero la lista no debería hacerse tan amplia que se excluyan usuarios reales por error.

Algunos destinos no reciben contexto de usuario

Revisar SatcExcludedAddresses. Si se ha excluido un destino o puerto, SATC no envía información de autenticación a la firewall para ello. Esto puede ser intencionado, pero en reglas de usuario genera confusión fácilmente.

Tras registrar la IP del servidor, un Clientless User antiguo ya no aplica

Esto es esperable. Si la IP del servidor RDS se registró en la firewall como Thin Client Server, SATC debería ser el modelo de autenticación para esa IP. Los workarounds antiguos con Clientless Users deberían eliminarse o sustituirse conscientemente.

Operación y documentación

SATC debería operarse como un componente productivo de autenticación, no como un hack de Registry de una sola vez.

Documentar:

  • servidores RDS y direcciones IP
  • IP de firewall utilizada y puerto SATC
  • valores de Registry definidos
  • usuarios y destinos excluidos
  • reglas de firewall afectadas
  • grupos AD y owner
  • usuario de prueba y rule match esperado
  • ventana de mantenimiento y momento del reinicio

Después de updates de Sophos Server Protection, Windows Server, Sophos Firewall o AD, conviene probar SATC de forma dirigida con un usuario de prueba. La autenticación suele llamar la atención solo cuando las reglas de usuario de repente aplican demasiado ampliamente o ya no aplican.

Checklist

  • El escenario RDS realmente corresponde a SATC y no a STAS normal.
  • Sophos Server Protection está instalado en el Remote Desktop Session Host.
  • Se han revisado la versión de Windows Server y el rol RDS.
  • Tamper Protection se desactivó solo de forma controlada y después se volvió a activar.
  • SendSatcEvents, SatcDestinationAddr y SatcDestinationPort están definidos.
  • El servidor RDS se reinició.
  • La IP del servidor RDS se registró en la Device Console de la firewall.
  • El servidor AD y los grupos AD están revisados en la firewall.
  • Client Authentication está permitido para la zona correcta bajo Device Access.
  • La regla de firewall usa Match known users y tiene logging activo.
  • El usuario aparece bajo Current activities > Live users con Client type Thin client.
  • Log Viewer muestra el usuario esperado y la regla esperada.

FAQ

¿Cuándo se necesita SATC en lugar de STAS?

SATC tiene sentido cuando varios usuarios comparten la misma IP de origen, por ejemplo en un Remote Desktop Session Host. STAS encaja mejor con clientes Windows normales, en los que una IP de cliente suele pertenecer a un usuario.

¿Se sigue soportando el SATC standalone antiguo?

No. La ruta actual funciona mediante Sophos Server Protection o el Sophos Central Server Core Agent en el Windows Remote Desktop Session Host.

¿Qué versión de Windows Server necesita SATC?

Sophos menciona Windows Server 2016 o posterior para SATC con Sophos Server Protection. Además, debe tratarse de un escenario de Remote Desktop Services.

¿Por qué ya no funciona un Clientless User para la IP del servidor RDS?

Si la IP del servidor RDS está registrada en la firewall como Thin Client Server, esta IP trabaja con SATC. Otros métodos de autenticación como Clientless User no son entonces la ruta correcta para esa IP.

¿Cómo se comprueba si SATC funciona?

Un usuario inicia sesión en una sesión RDS, genera tráfico de prueba y después se revisa bajo Current activities > Live users con Client type Thin client. Además, Log Viewer debería mostrar qué regla de usuario hace match con el tráfico.