Configurar STAS numa Sophos Firewall (SFOS)
STAS significa Sophos Transparent Authentication Suite. A função associa logins Windows do Active Directory a um IP de cliente, para que a Sophos Firewall possa usar utilizadores e grupos em regras de firewall sem que os utilizadores tenham de iniciar sessão separadamente no browser ou num portal.
Isto continua a ser útil em domínios Windows clássicos. Ao mesmo tempo, STAS não é um SSO universal. A associação só funciona de forma fiável quando a firewall vê o IP real do cliente, os Domain Controllers escrevem os eventos de login adequados e as contas técnicas são excluídas corretamente. Para ambientes RDS, Terminal Server ou Citrix, normalmente é necessário outro desenho, por exemplo SATC.
Quando STAS faz sentido
STAS adequa-se sobretudo a ambientes com clientes Windows normais num domínio Active Directory. Objetivos típicos:
- Regras de firewall com utilizadores AD ou grupos AD
- Reporting com referência a utilizadores em vez de apenas endereços IP
- associação transparente de utilizadores sem Captive Portal
- regras de Internet para redes internas de clientes
- autenticação complementar em ambientes sem desenho de Entra ID SSO
STAS é menos adequado quando vários utilizadores usam o mesmo IP de origem. Isto inclui, por exemplo, Remote Desktop Server, Terminal Server, Citrix Server ou sistemas com NAT entre cliente e firewall. Nesses casos, deve ser verificado cedo se Sophos Authentication for Thin Client (SATC) ou outro modelo de autenticação se adequa melhor.
Vídeo tutorial
Os seguintes Sophos Techvids mostram visualmente a instalação STAS. Os vídeos foram criados com SFOS v21, mas continuam úteis para o princípio base, a arquitetura e os passos de configuração mais importantes. Algumas janelas podem ter aspeto ligeiramente diferente em SFOS 22.
Como funciona
STAS é composto por dois componentes:
| Componente | Função |
|---|---|
| STA Agent | Corre num Domain Controller ou num sistema Windows adequado e deteta eventos de login AD |
| STA Collector | Recolhe informações de um ou vários STA Agents e transmite-as à Sophos Firewall |
O processo típico:
- Um utilizador inicia sessão num cliente Windows.
- O Active Directory escreve um Security Event adequado.
- O STA Agent lê esse evento.
- O STA Collector recebe utilizador, IP de cliente e informação de domínio.
- A Sophos Firewall atualiza os Live Users.
- As regras de firewall podem avaliar utilizadores ou grupos.
Além disso, o Collector pode verificar clientes por WMI ou Registry Read Access. Este Workstation Polling ajuda a associar um endereço IP a um utilizador ou a corrigir entradas antigas. Para isso, Windows Firewall, serviços, permissões e caminhos de rede têm de estar corretos.
Requisitos
Antes da instalação, estes pontos devem estar esclarecidos:
- Sophos Firewall corre em Gateway Mode.
- Active Directory já está ligado à firewall.
- Domain Controllers escrevem os eventos de login necessários.
- Clientes Windows são membros do domínio.
- Não existe NAT entre clientes, Collector e Sophos Firewall.
Client Authenticationestá permitido em Device Access para as zonas afetadas.- DNS, tempo, routing e regras de firewall entre os sistemas envolvidos estão corretos.
- Uma conta de serviço e um processo de alteração de password estão definidos.
- Contas técnicas para Exclusions são conhecidas.
Segundo a documentação oficial, STAS 2.5 e mais recente suporta Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 e 2025. Para novas instalações, ainda assim não se deve planear com gerações de servidor antigas. O relevante é sobretudo que STAS possa operar diretamente num Domain Controller ou, a partir de STAS 2.5, também num Member Server. Em desenhos com Member Server, deve ser verificado com especial rigor se acesso ao Event Log, acesso WMI/Registry e caminhos de rede estão realmente corretos.
A própria ligação AD está descrita em Ligar Active Directory à Sophos Firewall. STAS não deve ser entendido como substituto de uma configuração limpa de servidor AD.
Se, ao longo dos anos, surgirem muitos utilizadores e grupos na firewall, o limite de User-ID da Sophos Firewall também deve ser acompanhado. Isto é especialmente relevante quando funções de Portal ou VPN falham apenas para utilizadores individuais.
Planear a arquitetura
Em ambientes pequenos, Agent e Collector podem correr no mesmo Domain Controller. Isto é simples, mas nem sempre é a melhor variante operacional.
Em ambientes maiores, é frequentemente mais limpo:
- STA Agent em cada Domain Controller relevante
- um ou dois STA Collectors em sistemas Windows separados
- grupos de Collectors por domínio AD
- Exclusion List clara para contas técnicas
- regras de firewall e liberações de Device Access definidas
- monitoring de serviços, Event Logs e associação de Live Users
O ponto importante é a perspetiva de IP. STAS associa utilizadores a um endereço IP. Se um proxy, NAT, Terminal Server ou VPN gateway ocultar o IP real do cliente, a firewall não consegue usar a associação de forma fiável.
Preparar Active Directory
STAS depende fortemente de os eventos de login corretos estarem disponíveis no Security Event Log. As definições seguintes têm de ser verificadas em cada Domain Controller onde o STA Agent será usado.
Além disso, antes da instalação devem ser anotados NetBIOS name, FQDN e Search DN do domínio. Estes valores serão necessários mais tarde na Sophos Firewall e na configuração STAS.
Ativar Audit account logon events
No Domain Controller, abrir Local Security Policy. Isto pode ser feito, por exemplo, com secpol.msc.
Depois abrir o caminho:
Security Settings > Local Policies > Audit Policy
Abrir aí Audit account logon events.

Em seguida, ativar Success e Failure e guardar a alteração.

Preparar a conta STAS
O serviço STAS deve correr com uma conta documentada. Em ambientes de teste simples, é frequentemente usada uma conta de administrador. Para ambientes produtivos, uma conta STAS dedicada é melhor, desde que os direitos necessários sejam definidos e testados corretamente.
A conta tem de, consoante o desenho:
- conseguir iniciar o serviço
- conseguir ler os Event Logs relevantes
- conseguir aceder a clientes com WMI ou Registry Read Access
- sobreviver a alterações de password planeadas
- ser claramente reconhecível em monitoring e documentação
A conta não tem obrigatoriamente de ser Domain Admin. Para o Domain Controller, os grupos e direitos de ficheiro adequados são no mínimo importantes. Na prática, deve verificar-se:
- adesão a Domain Users
- adesão a Event Log Readers
- permissões de leitura e escrita em
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\ - em WMI polling, permissões adequadas nos endpoints, por exemplo Remote Desktop Users, Distributed COM Users e permissões WMI em
Root\CIMV2com Execute Methods e Remote Enable
Estes direitos de endpoint podem ser distribuídos de forma mais limpa em ambientes maiores através de Group Policies. Se Workstation Polling não for utilizado, não se devem atribuir permissões desnecessariamente amplas.
Se o serviço correr com uma conta própria, essa conta tem de receber Log on as a service.
Caminho em Local Security Policy:
Security Settings > Local Policies > User Rights Assignment

Depois adicionar a conta.

Verificar portas e serviços
Entre Sophos Firewall, STA Collector, STA Agent, Domain Controller e clientes, as ligações necessárias têm de ser possíveis. Como base:
| Direção | Finalidade | Porta |
|---|---|---|
| STA Collector para Sophos Firewall | Enviar informações de utilizador | UDP 6060 |
| Sophos Firewall para STA Collector | Comunicação com Collector | UDP 6677 |
| STA Agent para STA Collector | Enviar dados do Agent ao Collector | TCP 5566 |
Portas adicionais dependem dos métodos ativados:
| Função | Requisito típico |
|---|---|
| Workstation Polling por WMI | TCP 135, TCP 445, serviços RPC/DCOM/WMI |
| Registry Read Access | TCP 445, Remote Registry |
| Logoff Detection Ping | ICMP para o cliente |
| STAS Collector Test | UDP 50001 |
| STAS Configuration Sync | TCP 27015 |
Se Windows Firewall estiver ativa em clientes ou servidores, as regras devem ser restringidas ao Collector. Uma template de exemplo para WMI:
New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain
Este comando é apenas uma template. Em ambientes produtivos, IP de origem, portas de destino, perfis e Group Policies têm de se adequar ao método de polling escolhido.
Registar Active Directory na firewall
Antes de ativar STAS, a Sophos Firewall tem de conhecer o servidor Active Directory.
No WebAdmin:
Authentication > Servers
Adicionar aí um servidor Active Directory ou verificar a configuração existente.

Os campos individuais são explicados em Ligar Active Directory à Sophos Firewall. Para STAS, NetBIOS domain, domain name, search base e resolução de grupos são especialmente importantes.
Descarregar e instalar STAS
A instalação STAS é disponibilizada através da Sophos Firewall.
No WebAdmin:
Authentication > Client downloads

Em Single Sign-on encontra-se Sophos Transparent Authentication Suite (STAS).

Executar a STAS.exe descarregada no sistema Windows previsto como administrador.

Variantes de instalação típicas:
| Variante | Quando faz sentido |
|---|---|
| SSO Suite num servidor | ambiente pequeno ou laboratório |
| STA Agent em Domain Controllers, Collector separado | melhor separação e escalabilidade |
| vários Collectors | redundância ou ambiente maior |
Com vários Domain Controllers, normalmente é necessário um STA Agent em cada Domain Controller relevante. Um Collector pode recolher informações de vários Agents.
Configurar STAS
Após a instalação, a STA Suite é configurada. As áreas mais importantes são General, STA Agent, STA Collector e Exclusion List.
General
No separador General, verifica-se sobretudo conta de serviço, dados do domínio, NetBIOS name e FQDN.

Se aqui existirem valores de domínio errados, a instalação muitas vezes parece saudável mais tarde, mas utilizadores ou grupos não são associados corretamente. O NetBIOS name tem de ser introduzido em STAS em maiúsculas.
STA Agent
No separador STA Agent, estes pontos são decisivos:
- STA Agent Mode: Para deteção local por Event Log,
EVENTLOGé o ponto de partida típico. - Specify the networks to be monitored: Introduzir redes de clientes nas quais STAS deve reconhecer utilizadores.
- Domain Controller IP: Definir apenas se o Agent não correr diretamente no Domain Controller. Se a SSO Suite estiver instalada num Domain Controller, este campo normalmente fica vazio.
- Collector List: Introduzir os endereços IP dos sistemas Collector.

As redes monitorizadas devem ser escolhidas conscientemente. Redes de servidores, redes de gestão ou redes sem workstations normais geram erros desnecessários ou expectativas erradas.
STA Collector
No separador STA Collector, a Sophos Firewall é registada e o client polling é planeado.
Pontos importantes:
- Sophos Appliance: Introduzir o endereço IP da Sophos Firewall.
- Workstation Polling Method: Escolher conscientemente WMI ou Registry Read Access.
- Enable Logoff Detection: Ativar apenas se ping e timeouts forem adequados à rede de clientes.
- Dead entry timeout: Testar um valor adequado à versão STAS e ao modelo operacional.

Em clusters HA, deve ser usado o endereço interno alcançável da firewall que corresponde ao tráfego STAS. Endereços administrativos separados de peers normalmente não são o destino correto.
Exclusion List
A Exclusion List impede que contas técnicas substituam associações de utilizadores normais. Esta é uma das áreas operacionais mais importantes de STAS.
Entradas típicas:
- contas de serviço para backup, monitoring, distribuição de software ou endpoint tools
- contas de administração e instalação
- contas que iniciam sessão em muitos clientes em background
- servidores ou sistemas onde não são esperados utilizadores de posto de trabalho
Sem Exclusion List, um utilizador real pode desaparecer dos Live Users porque, pouco depois, uma conta de serviço foi reconhecida no mesmo cliente. Mais tarde, isto parece um problema de regra de firewall, embora a causa esteja na associação de autenticação.
Grupos de Collectors e redundância
Para ambientes pequenos, um Collector é frequentemente suficiente. Em ambientes maiores, grupos de Collectors devem ser planeados conscientemente.
Regras comprovadas:
- Usar um grupo de Collectors adequado por domínio AD.
- Planear pelo menos dois Collectors quando regras de utilizador são críticas.
- Configurar STA Agents com todos os Collectors previstos.
- Testar firewall e Collectors em ambas as direções.
- Não colocar Collectors em sistemas que são reiniciados frequentemente.
Um STA Agent pode servir vários Collectors. Um STA Collector também pode servir várias Sophos Firewalls. Ainda assim, a associação deve ser documentada, caso contrário o troubleshooting torna-se desnecessariamente difícil mais tarde.
Na firewall, um Collector é registado com Collector IP, Collector port e Collector group. Por grupo de Collectors são possíveis no máximo cinco Collectors. A ordem no grupo é importante: o primeiro Collector é primário, os seguintes servem como backup. Collectors do mesmo domínio pertencem ao mesmo Collector group. Para subdomínios ou domínios AD separados, devem ser usados Collector groups próprios.
Ativar STAS na Sophos Firewall
Quando Agent, Collector, AD e rede estiverem preparados, STAS é ativado na firewall.
No WebAdmin:
Authentication > STAS
Ativar STAS e introduzir o Collector ou o Collector group.

Se a configuração funcionar, os utilizadores aparecem no Dashboard e na área Live Users.

Se não aparecerem utilizadores, devem ser verificados primeiro AD events, Agent, Collector, Device Access e portas. Regras de firewall são apenas o passo seguinte.
Opções STAS importantes na firewall
Em Authentication > STAS existem algumas opções que devem ser configuradas conscientemente.
| Opção | Significado | Nota prática |
|---|---|---|
| STAS quarantine | Em tráfego de entrada, a firewall pergunta ao Collector pela associação de utilizador e IP de destino. Sem resultado, o tráfego é descartado. | Útil para regras de utilizador estritas, mas com reconhecimento STAS instável pode parecer um problema de rede. |
| Identity probe time-out | Tempo que a firewall espera pela resposta do Collector. Predefinição: 120 segundos. | Não aumentar cegamente. Primeiro verificar por que razão o Collector não responde ou responde tarde. |
| Restrict client traffic during identity probe | Com Yes, o tráfego pode ficar bloqueado durante a verificação de identidade até a firewall receber uma resposta do STAS. Com No, o tráfego é encaminhado durante a verificação. | A predefinição de fábrica é Yes, pelo que instalações STAS antigas e inalteradas também podem ser afetadas. Verificar antes de upgrades SFOS 22, porque em SFOS 22.0 MR1 esta opção é relevante para um problema documentado de upgrade e funcionamento STAS. |
| Enable user inactivity | Remove utilizadores inativos dos Live Users. | Ajuda a manter Live Users limpos, mas tem de se adequar a clientes, polling e timeout. |
| Inactivity timer | Minutos até sign-out de utilizadores inativos. Predefinição: 3. | Valores demasiado curtos podem causar logouts irritantes em clientes silenciosos. |
| Data transfer threshold | Quantidade mínima de dados em bytes para um utilizador ser considerado ativo. Predefinição: 100. | Limiares baixos são normalmente mais adequados para clientes de escritório do que valores muito agressivos. |
Criar uma regra de firewall com referência a utilizador
Assim que STAS reconhecer utilizadores de forma estável, podem ser usadas regras de firewall com utilizadores ou grupos do Active Directory.

Importante:
- Testar a regra com um grupo de teste real.
- Ativar Log firewall traffic se a regra tiver de ser analisada mais tarde.
- Controlar a posição da regra.
- Evitar regras de fallback que escondem erros de autenticação.
- Verificar Live Users e Log Viewer em conjunto.
Para análise de regras, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.
Validação após a configuração
Um estado de serviço verde não é suficiente. Depois da configuração, deve ser testada toda a cadeia.
Procedimento prático:
- Iniciar sessão com um utilizador de teste num cliente de domínio.
- Verificar o Security Event no Domain Controller.
- Verificar o estado do STA Agent.
- Verificar o estado do STA Collector e utilizadores reconhecidos.
- Verificar Live Users na Sophos Firewall.
- Testar uma regra de firewall baseada em utilizador com logging.
- Testar logoff ou troca de utilizador.
- Verificar contas técnicas contra a Exclusion List.
No próprio STAS, em Advanced > Show live users, pode verificar-se que utilizadores o Collector conhece atualmente. Na firewall, o local adequado é Current activities > Live users. As duas vistas devem corresponder logicamente no momento do teste.
Se STAS controlar regras críticas para o negócio, este teste deve ser repetido após Windows Updates, alterações de Domain Controllers, upgrades da firewall e alterações de password da conta de serviço.
Testes, logs e backup
STAS oferece várias ferramentas locais de verificação. Estas são frequentemente mais rápidas do que olhar apenas para o Firewall Log Viewer.
| Área | Caminho em STAS | Utilização |
|---|---|---|
| Testar ligação à firewall | Advanced > Troubleshooting > Test Connectivity > Sophos | Verifica se Agent ou Collector alcança a firewall. |
| Testar STA Agent | Advanced > Troubleshooting > Test Connectivity > STAS Agent | Verifica se o Collector alcança um Agent. |
| Testar STA Collector | Advanced > Troubleshooting > Test Connectivity > STAS Collector | Verifica se um Agent alcança um Collector. |
| WMI Verification | Advanced > Troubleshooting > STAS Polling Utilities > WMI Verification | Verifica Workstation Polling por WMI contra um IP de cliente. |
| Registry Read Verification | Advanced > Troubleshooting > STAS Polling Utilities > Registry Read Verification | Verifica Workstation Polling por Registry Read Access contra um IP de cliente. |
O STAS log é visível diretamente na aplicação STAS em Advanced > View Log. Além disso, o ficheiro de log encontra-se no sistema Windows em:
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log
Antes de alterações maiores, a configuração STAS deve ser guardada. Isto é feito na aplicação STAS em Advanced > Backup / Restore > Backup Now. O backup é criado como ficheiro no formato STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp. Para restore, o ficheiro .bkp é selecionado em Backup / Restore e aplicado através de Upload and Restore.
Verificar STAS antes de SFOS 22 MR1
STAS é uma das funções que deve ser verificada conscientemente antes de um Major Upgrade. Na lista atual de Known Issues existe um problema relacionado com SFOS 22.0 MR1, STAS e a opção Restrict client traffic during identity probe. Se esta opção estiver em Yes, pode impedir um upgrade para SFOS 22.0 MR1 ou, após o upgrade, causar Identity Probes repetidos e interrupções temporárias de tráfego. Como Yes é o valor predefinido, não se deve assumir que apenas configurações especiais endurecidas conscientemente são afetadas.
Para administradores, o ponto importante é: isto não é um problema normal de configuração STAS. Um ambiente pode funcionar durante anos e ainda assim chamar a atenção no upgrade, porque uma definição anteriormente aceitável se torna crítica em conjunto com SFOS 22.0 MR1. Por isso, STAS deve ser incluído no SFOS 22 Upgrade Check.
Antes de um upgrade para SFOS 22.0 MR1 ou mais recente, verificar:
- STAS está sequer ativo?
- Regras baseadas em utilizador são usadas em produção?
- Restrict client traffic during identity probe está ativado?
- Já existem mensagens sobre Identity Probes repetidos ou interrupções curtas de tráfego inexplicáveis?
- Existe um utilizador de teste com o qual STAS possa ser verificado especificamente após o upgrade?
Se a opção afetada estiver ativa, ela não deve ser avaliada apenas durante a janela de manutenção de firmware. É melhor fazer previamente um teste curto separado: documentar a alteração, iniciar sessão com utilizador de teste, verificar Live Users, testar regra baseada em utilizador e controlar o Log Viewer. Se STAS controlar regras críticas de segurança, também deve ficar claro se é necessária uma regra de fallback temporária para que os utilizadores não sejam bloqueados de forma descontrolada.
Para o caminho de upgrade para SFOS 22.0 MR1, a regra prática é: se STAS estiver ativo e Restrict client traffic during identity probe estiver em Yes, definir a opção como No antes do upgrade e validar depois com utilizadores de teste reais. Se esta alteração não puder ser testada antecipadamente, adiar o upgrade costuma ser mais limpo do que uma janela de manutenção arriscada. Em sistemas SFOS 22.0 MR1 já afetados, No também é a mitigação documentada até estar disponível uma release corrigida.
Depois do upgrade, verificar especificamente:
- Controlar o estado STAS em
Authentication > STAS. - Verificar Live Users com um novo login de domínio.
- Testar regra de firewall baseada em utilizador com logging.
- No Log Viewer, verificar se o nome de utilizador é visível e não apenas o endereço IP.
- Observar efeitos repetidos de Identity Probe ou interrupções curtas.
Se o upgrade for bloqueado por uma mensagem STAS ou surgirem interrupções reproduzíveis após o upgrade, deve ser preparado um Sophos Support Case. São úteis: screenshot da mensagem de upgrade, configuração STAS atual, versão de firmware, regra de utilizador afetada e um breve procedimento de teste.
Troubleshooting
Nenhum utilizador em Live Users
Primeiro verificar se o Domain Controller escreve Security Events adequados. Depois verificar STA Agent, STA Collector, portas e Device Access.
Causas típicas:
- Audit Policy não está ativa
- STA Agent não corre ou lê o Domain Controller errado
- Collector não está acessível
- UDP
6060ou6677está bloqueado Client Authenticationnão está permitido em Device Access- NAT oculta o IP real do cliente
Utilizador associado incorretamente
Então, muitas vezes, Exclusions, Workstation Polling ou contas técnicas estão envolvidos. Verificar se contas de serviço, monitoring ou instalação estão a substituir o mesmo cliente.
Utilizador desaparece demasiado depressa
Verificar Logoff Detection, Dead Entry Timeout, acessibilidade do cliente e método de polling. Se os clientes não responderem a ping, WMI ou Registry Access, entradas podem desaparecer inesperadamente ou permanecer desatualizadas.
Erros DCOM ou STAS consulta redes erradas
Se após a instalação do STAS aparecerem erros DCOM como Event ID 10009 ou 10028 no Windows Event Viewer, a causa não é automaticamente a regra de firewall. Muitas vezes, o Collector tenta verificar via WMI ou Registry Read Access clientes que não estão acessíveis ou não pertencem às redes monitorizadas.
Nesse caso, limitar as redes monitorizadas no STAS:
- Na aplicação STAS, abrir o separador STA Collector.
- Em Sophos appliances, selecionar a Sophos Firewall afetada e abrir Edit.
- Ativar Enable subnet based filter.
- Inserir apenas as redes que devem realmente ser monitorizadas.
- No separador STA Agent, verificar as mesmas redes cliente em Specify the networks to be monitored.
- Aplicar as alterações e reiniciar o STAS.
Isto reduz consultas WMI desnecessárias e evita que utilizadores de redes inadequadas apareçam como LogonType: 1. Após a alteração, verificar em conjunto stas.log, Windows Event Viewer e Current activities > Live users.
Regra de firewall não se aplica
Então não olhar apenas para a regra. Verificar:
- O utilizador está visível em Live Users?
- O grupo AD correto é reconhecido?
- Uma regra de firewall anterior está a aplicar-se?
- Logging está ativo na regra?
- O Log Viewer vê o utilizador ou apenas o endereço IP?
Tempo de transição para tráfego não autenticado
Para fases de transição, a firewall permite por defeito tráfego não autenticado durante um curto período. Este valor pode ser verificado ou ajustado através da Device Console:
system auth cta unauth-traffic drop-period
Esta definição não deve ser alterada cegamente. Primeiro tem de ficar claro se o problema é realmente o tempo de transição ou uma associação STAS incorreta.
Quando a firewall vê tráfego de um endereço IP para o qual STAS ainda não conhece um utilizador, esse IP é inicialmente verificado em modo de aprendizagem. Durante esta fase, o tráfego pode ser descartado. Se o Collector não responder, a firewall trata o IP durante algum tempo como não autenticado. Para dispositivos fora do domínio, não se deve esperar que STAS os cubra automaticamente de forma limpa. Para esses sistemas, Clientless Users ou regras próprias podem ser mais adequados.
STAS através de VPN
STAS também pode ser utilizado num cenário IPsec VPN quando utilizadores num site remoto autenticam contra um Domain Controller no site principal. Isto deve, porém, ser planeado conscientemente, porque routing, IP de origem, STAS Monitored Networks e zonas de firewall têm de corresponder.
Requisitos para esse desenho:
- Ligação IPsec está ativa e estável.
- Branch traffic é encaminhado através do túnel.
- STAS e Active Directory estão corretamente configurados no site principal.
- A rede branch está registada em STAS como rede monitorizada.
- A Branch Firewall está registada na configuração STA Collector como Sophos Appliance.
Client Authenticationestá permitido para a zona VPN em Device Access.
Na firewall do site principal, a rede remota tem de ser adicionada para STAS através da Device Console. Exemplo:
system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0
O exemplo tem de ser substituído pela rede branch real. Em muitos ambientes, ainda assim é mais simples e robusto usar STAS apenas para redes locais de clientes e depalavra-passer sites remotos separadamente.
STAS, SATC e Remote Desktop Server
STAS clássico funciona bem quando um IP de cliente pertence normalmente a um utilizador. Em Remote Desktop Server, Terminal Server ou sistemas Citrix, vários utilizadores partilham o mesmo endereço IP. Nesses casos, STAS clássico não consegue distinguir utilizadores de forma limpa.
Nesses ambientes, deve ser verificado Sophos Authentication for Thin Client (SATC). SATC não é uma simples opção em STAS, mas um tema de desenho próprio:
- Que servidores são afetados?
- Que utilizadores trabalham através desses servidores?
- Que regras de firewall têm realmente de ser baseadas em utilizador?
- Existe tráfego misto de serviços de servidor e sessões de utilizador?
- Como será o comportamento testado e documentado?
Se Terminal Servers forem usados apenas raramente, pode fazer mais sentido segmentar estas ligações de outra forma ou usar regras próprias sem referência a utilizador. O decisivo é que a autenticação corresponda à arquitetura real da rede.
Checklist operacional
Antes da instalação:
- Servidor AD funciona na Sophos Firewall.
- Redes de clientes e Domain Controllers estão documentados.
- Nenhum NAT oculta endereços IP de clientes.
- Conta de serviço e direitos estão definidos.
- Audit Policy está ativa nos Domain Controllers relevantes.
- Exclusion List está preparada.
Depois da instalação:
- Agent e Collector estão a correr.
- Portas entre Agent, Collector, firewall e clientes estão abertas.
- Live Users mostram utilizadores de teste.
- Regra de firewall baseada em utilizador aparece no Log Viewer.
- Logoff, troca de utilizador e contas técnicas foram testados.
- Redundância de Collector está documentada, se necessária.
Em operação:
- Monitorizar conta de serviço.
- Manter Exclusion List regularmente.
- Alinhar alterações de Windows Firewall e GPO com STAS.
- Alinhar regularmente subnet-based filters e redes monitorizadas com a estrutura real dos clientes.
- Testar STAS após upgrades de firewall e Domain Controller.
- Antes de SFOS 22.0 MR1 ou mais recente, verificar Restrict client traffic during identity probe.
- Em RDS/Citrix, não improvisar com STAS; verificar SATC ou outro desenho.
FAQ
O que é STAS na Sophos Firewall?
O STA Collector tem de correr num Domain Controller?
Porque é que STAS não funciona com NAT entre cliente e firewall?
O que deve estar na STAS Exclusion List?
Quando é necessário SATC em vez de STAS?
Porque se deve verificar STAS antes de SFOS 22 MR1?
No ou o upgrade deve ser adiado.