Konfigurera STAS på Sophos Firewall
STAS står för Sophos Transparent Authentication Suite. Funktionen kopplar Windows-inloggningar från Active Directory till en client-IP, så att Sophos Firewall kan använda användare och grupper i firewall-regler utan att användaren behöver logga in separat i browser eller portal.
Det är fortfarande användbart i klassiska Windows-domäner. Samtidigt är STAS ingen allmän SSO-lösning. Tilldelningen fungerar bara tillförlitligt när firewallen ser den verkliga client-IP:n, Domain Controllers skriver lämpliga inloggningsevents och tekniska konton exkluderas korrekt. För RDS-, terminalserver- eller Citrix-miljöer behövs oftast ett annat designupplägg, till exempel SATC.
När STAS är lämpligt
STAS passar framför allt miljöer med vanliga Windows-klienter i en Active Directory-domän. Typiska mål är:
- Firewall-regler med AD-användare eller AD-grupper
- Reporting med användarkoppling i stället för enbart IP-adresser
- transparent användartilldelning utan Captive Portal
- internetregler för interna klientnät
- kompletterande autentisering i miljöer utan Entra ID SSO-design
STAS är mindre lämpligt när flera användare använder samma source-IP. Det gäller till exempel Remote Desktop Server, terminalservrar, Citrix-servrar eller system med NAT mellan client och firewall. I sådana fall bör man tidigt kontrollera om Sophos Authentication for Thin Client (SATC) eller en annan autentiseringsmodell passar bättre.
Videoguide
Följande Sophos Techvids visar STAS-upplägget visuellt. Videorna skapades med SFOS v21, men är fortfarande användbara för grundprincipen, arkitekturen och de viktigaste konfigurationsstegen. Enskilda vyer kan se något annorlunda ut i SFOS 22.
Funktionssätt
STAS består av två komponenter:
| Komponent | Uppgift |
|---|---|
| STA Agent | Körs på en Domain Controller eller ett lämpligt Windows-system och identifierar AD-inloggningsevents |
| STA Collector | Samlar information från en eller flera STA Agents och skickar den till Sophos Firewall |
Det typiska flödet:
- En användare loggar in på en Windows-client.
- Active Directory skriver ett passande Security Event.
- STA Agent läser detta event.
- STA Collector tar emot användare, client-IP och domäninformation.
- Sophos Firewall uppdaterar Live Users.
- Firewall-regler kan utvärdera användare eller grupper.
Dessutom kan collectorn kontrollera clients via WMI eller Registry Read Access. Detta Workstation Polling hjälper till att koppla en IP-adress till en användare eller korrigera inaktuella poster. Då måste Windows Firewall, tjänster, behörigheter och nätverksvägar passa.
Förutsättningar
Före installationen bör dessa punkter vara klara:
- Sophos Firewall körs i Gateway-läge.
- Active Directory är redan anslutet på firewallen.
- Domain Controllers skriver nödvändiga inloggningsevents.
- Windows-clients är medlemmar i domänen.
- Ingen NAT ligger mellan clients, collector och Sophos Firewall.
Client Authenticationär tillåtet under Device Access för de berörda zonerna.- DNS, tid, routing och firewall-regler mellan de berörda systemen stämmer.
- Ett servicekonto och en process för lösenordsbyte är definierade.
- Tekniska konton för Exclusions är kända.
STAS 2.5 och senare stöder enligt officiell dokumentation Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 och 2025. För nya installationer bör man ändå inte längre planera med gamla servergenerationer. Relevant är framför allt att STAS antingen kan köras direkt på en Domain Controller eller från STAS 2.5 även på en Member Server. Vid Member Server-design måste man särskilt noggrant kontrollera om Event Log-åtkomst, WMI/Registry-åtkomst och nätverksvägar verkligen passar.
Själva AD-anslutningen beskrivs i Ansluta Active Directory till Sophos Firewall. STAS bör inte ses som en ersättning för en ren AD-serverkonfiguration.
Om det under flera år skapas mycket många användare och grupper på firewallen bör man dessutom ha Sophos Firewall User-ID-gränsen i åtanke. Det är särskilt relevant när portal- eller VPN-funktioner bara fallerar för enskilda användare.
Planera arkitekturen
I små miljöer kan Agent och Collector köras på samma Domain Controller. Det är enkelt, men inte alltid den bästa driftvarianten.
I större miljöer är det ofta renare med:
- STA Agent på varje relevant Domain Controller
- en eller två STA Collectors på separata Windows-system
- Collector-grupper per AD-domän
- tydlig Exclusion List för tekniska konton
- definierade firewall-regler och Device Access-tillåtelser
- monitoring för tjänster, Event Logs och Live User-tilldelning
IP-sikten är viktig. STAS kopplar användare till en IP-adress. Om en proxy, NAT, terminalserver eller VPN-gateway döljer den verkliga client-IP:n kan firewallen inte använda tilldelningen tillförlitligt.
Förbered Active Directory
STAS är starkt beroende av att rätt inloggningsevents finns i Security Event Log. Följande inställningar måste kontrolleras på varje Domain Controller där STA Agent används.
Dessutom bör NetBIOS-namn, FQDN och Search DN för domänen noteras före installationen. Dessa värden behövs senare i Sophos Firewall och STAS-konfigurationen.
Aktivera Audit account logon events
Öppna Local Security Policy på Domain Controller. Det kan till exempel göras via secpol.msc.
Öppna därefter sökvägen:
Security Settings > Local Policies > Audit Policy
Öppna Audit account logon events där.

Aktivera därefter Success och Failure och spara ändringen.

Förbered STAS-konto
STAS-tjänsten bör köras med ett dokumenterat konto. I enkla testmiljöer används ofta ett administratörskonto. För produktionsmiljöer är ett dedikerat STAS-konto bättre, förutsatt att nödvändiga rättigheter sätts och testas korrekt.
Kontot måste beroende på design:
- kunna starta tjänsten
- kunna läsa relevanta Event Logs
- kunna nå clients via WMI eller Registry Read Access
- klara planerade lösenordsbyten
- vara tydligt identifierbart i monitoring och dokumentation
Kontot måste inte nödvändigtvis vara Domain Admin. För Domain Controller är framför allt rätt grupp- och filrättigheter viktiga. I praktiken bör man kontrollera:
- medlemskap i Domain Users
- medlemskap i Event Log Readers
- läs- och skrivrättigheter på
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\ - vid WMI-Polling passande rättigheter på endpoints, till exempel Remote Desktop Users, Distributed COM Users samt WMI-behörigheter på
Root\CIMV2med Execute Methods och Remote Enable
Dessa endpoint-rättigheter kan i större miljöer distribueras bättre via Group Policies. Om Workstation Polling inte används bör man inte tilldela onödigt breda rättigheter.
Om tjänsten körs med ett eget konto måste detta konto få Log on as a service.
Sökväg i Local Security Policy:
Security Settings > Local Policies > User Rights Assignment

Lägg därefter till kontot.

Kontrollera portar och tjänster
Mellan Sophos Firewall, STA Collector, STA Agent, Domain Controller och clients måste de nödvändiga anslutningarna vara möjliga. Som bas gäller:
| Riktning | Syfte | Port |
|---|---|---|
| STA Collector till Sophos Firewall | skicka användarinformation | UDP 6060 |
| Sophos Firewall till STA Collector | Collector-kommunikation | UDP 6677 |
| STA Agent till STA Collector | skicka agentdata till Collector | TCP 5566 |
Ytterligare portar beror på aktiverade metoder:
| Funktion | Typisk förutsättning |
|---|---|
| Workstation Polling via WMI | TCP 135, TCP 445, RPC/DCOM/WMI-tjänster |
| Registry Read Access | TCP 445, Remote Registry |
| Logoff Detection Ping | ICMP till client |
| STAS Collector Test | UDP 50001 |
| STAS Configuration Sync | TCP 27015 |
Om Windows Firewall är aktiv på clients eller servrar bör reglerna begränsas strikt till collectorn. En exempelmall för WMI:
New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain
Detta kommando är bara en mall. I produktiva miljöer måste source-IP, målportar, profiler och Group Policies passa den valda polling-metoden.
Lägg in Active Directory på firewallen
Innan STAS aktiveras måste Sophos Firewall känna till Active Directory-servern.
I WebAdmin:
Authentication > Servers
Lägg där till en Active Directory-server eller kontrollera den befintliga konfigurationen.

De enskilda fälten förklaras i Ansluta Active Directory till Sophos Firewall. För STAS är särskilt NetBIOS-domän, domännamn, sökbas och gruppupplösning viktiga.
Ladda ned och installera STAS
STAS-installationen tillhandahålls via Sophos Firewall.
I WebAdmin:
Authentication > Client downloads

Under Single Sign-on finns Sophos Transparent Authentication Suite (STAS).

Starta den nedladdade STAS.exe som administratör på det avsedda Windows-systemet.

Typiska installationsvarianter:
| Variant | När det är lämpligt |
|---|---|
| SSO Suite på en server | liten miljö eller labb |
| STA Agent på Domain Controllers, separat Collector | bättre separation och skalning |
| flera Collectors | redundans eller större miljö |
Vid flera Domain Controllers behöver man normalt en STA Agent på varje relevant Domain Controller. En Collector kan samla information från flera Agents.
Konfigurera STAS
Efter installationen konfigureras STA Suite. De viktigaste områdena är General, STA Agent, STA Collector och Exclusion List.
General
På fliken General kontrollerar man framför allt servicekonto, domänuppgifter, NetBIOS-namn och FQDN.

Om fel domänvärden står här ser installationen senare ofta frisk ut, men användare eller grupper tilldelas inte korrekt. NetBIOS-namnet måste anges med versaler i STAS.
STA Agent
På fliken STA Agent är dessa punkter avgörande:
- STA Agent Mode: för lokal Event Log-detektering är
EVENTLOGden typiska startpunkten. - Specify the networks to be monitored: ange client-nät där STAS ska identifiera användare.
- Domain Controller IP: ange bara om agenten inte körs direkt på Domain Controller. Om SSO Suite är installerad på en Domain Controller lämnas detta fält normalt tomt.
- Collector List: ange IP-adresserna för Collector-systemen.

De övervakade nätverken bör väljas medvetet. Servernät, managementnät eller nät utan normala user workstations skapar annars onödiga fel eller felaktiga förväntningar.
STA Collector
På fliken STA Collector läggs Sophos Firewall in och Client Polling planeras.
Viktiga punkter:
- Sophos Appliance: ange IP-adressen för Sophos Firewall.
- Workstation Polling Method: välj WMI eller Registry Read Access medvetet.
- Enable Logoff Detection: aktivera bara om ping och timeouts passar client-nätet.
- Dead entry timeout: testa värde enligt STAS-version och driftmodell.

Vid HA-kluster bör man använda den nåbara interna firewall-adressen som passar STAS-trafiken. Separata peer-administrationsadresser är oftast inte rätt målpunkt.
Exclusion List
Exclusion List förhindrar att tekniska konton skriver över normala användartilldelningar. Det är ett av de viktigaste driftområdena för STAS.
Typiska poster:
- servicekonton för backup, monitoring, mjukvarudistribution eller endpoint-verktyg
- administrations- och installationskonton
- konton som loggar in i bakgrunden på många clients
- servrar eller system där inga workstation-användare förväntas
Utan Exclusion List kan en verklig användare försvinna från Live Users, eftersom ett servicekonto kort därefter identifierades på samma client. Det ser senare ut som ett firewall-regelproblem, trots att orsaken ligger i autentiseringstilldelningen.
Collector-grupper och redundans
I små miljöer räcker ofta en Collector. I större miljöer bör Collector-grupper planeras medvetet.
Beprövade regler:
- Använd en passande Collector-grupp per AD-domän.
- Planera minst två Collectors om användarregler är kritiska.
- Konfigurera STA Agents med alla avsedda Collectors.
- Testa firewall och Collectors i båda riktningarna.
- Placera inte Collectors på system som ofta startas om.
En STA Agent kan betjäna flera Collectors. En STA Collector kan också betjäna flera Sophos Firewalls. Ändå bör tilldelningen dokumenteras, annars blir troubleshooting senare onödigt svårt.
På firewallen registreras en Collector med Collector IP, Collector port och Collector group. Per Collector-grupp är högst fem Collectors möjliga. Ordningen i gruppen är viktig: den första Collector är primär, de övriga används som backup. Collectors för samma domän hör till samma Collector-grupp. För subdomäner eller separata AD-domäner bör egna Collector-grupper användas.
Aktivera STAS på Sophos Firewall
När Agent, Collector, AD och nätverk är förberedda aktiveras STAS på firewallen.
I WebAdmin:
Authentication > STAS
Aktivera STAS och ange Collector eller Collector-grupp.

Om konfigurationen fungerar visas användare i dashboarden och i Live User-området.

Om inga användare visas där bör man först kontrollera AD-events, Agent, Collector, Device Access och portar. Firewall-regler är först nästa steg.
Viktiga STAS-alternativ på firewallen
Under Authentication > STAS finns några alternativ som bör sättas medvetet.
| Alternativ | Betydelse | Praktisk kommentar |
|---|---|---|
| STAS quarantine | Vid inkommande trafik frågar firewallen Collector efter användar- och mål-IP-tilldelning. Utan träff kastas trafik. | Lämpligt för strikta användarregler, men vid instabil STAS-detektering kan det se ut som ett nätverksproblem. |
| Identity probe time-out | Tid som firewallen väntar på svar från Collector. Standard: 120 sekunder. | Höj inte blint. Kontrollera först varför Collector inte svarar eller svarar för sent. |
| Restrict client traffic during identity probe | Vid Yes kan traffic blockeras under identitetskontrollen tills firewallen får svar från STAS. Vid No vidarebefordras traffic under kontrollen. | Fabriksinställningen är Yes, därför kan även länge oförändrade STAS-installationer påverkas. Kontrollera före SFOS 22-upgrades, eftersom alternativet i SFOS 22.0 MR1 är relevant för ett dokumenterat STAS-upgrade- och driftproblem. |
| Enable user inactivity | Tar bort inaktiva användare från Live Users. | Hjälper till att hålla Live Users rent, men måste passa clients, polling och timeout. |
| Inactivity timer | Minuter till sign-out för inaktiva användare. Standard: 3. | För korta värden kan ge förvirrande utloggningar på tysta clients. |
| Data transfer threshold | Minsta datamängd i bytes för att en användare ska räknas som aktiv. Standard: 100. | Låga trösklar är oftast mer lämpliga för office-clients än mycket aggressiva värden. |
Skapa firewall-regel med användarkoppling
När STAS stabilt identifierar användare kan firewall-regler med användare eller grupper från Active Directory användas.

Viktigt:
- Testa regeln med en verklig testgrupp.
- Aktivera Log firewall traffic om regeln senare behöver analyseras.
- Kontrollera regelpositionen.
- Undvik fallback-regler som döljer autentiseringsfel.
- Kontrollera Live Users och Log Viewer tillsammans.
För regelanalys passar Testa firewall-regel med Log Viewer, Policy Test och Packet Capture.
Validering efter konfiguration
En grön tjänststatus räcker inte. Efter konfigurationen bör hela kedjan testas.
Praktiskt förlopp:
- Logga in med testanvändare på en domain-client.
- Kontrollera Security Event på Domain Controller.
- Kontrollera STA Agent-status.
- Kontrollera STA Collector-status och identifierade användare.
- Kontrollera Live Users på Sophos Firewall.
- Testa användarbaserad firewall-regel med logging.
- Testa logoff eller användarbyte.
- Kontrollera tekniska konton mot Exclusion List.
I STAS kan man under Advanced > Show live users kontrollera vilka användare Collector känner till just nu. På firewallen är rätt plats Current activities > Live users. Båda vyerna bör logiskt stämma överens vid testtillfället.
Om STAS styr verksamhetskritiska regler bör detta test upprepas efter Windows-updates, Domain Controller-ändringar, firewall-upgrades och lösenordsbyten för servicekontot.
Tester, loggar och backup
STAS erbjuder flera lokala kontrollverktyg. Dessa är ofta snabbare än att bara titta i Firewall Log Viewer.
| Område | Sökväg i STAS | Användning |
|---|---|---|
| Testa firewall-anslutning | Advanced > Troubleshooting > Test Connectivity > Sophos | Kontrollerar om Agent eller Collector når firewallen. |
| Testa STA Agent | Advanced > Troubleshooting > Test Connectivity > STAS Agent | Kontrollerar om Collector når en Agent. |
| Testa STA Collector | Advanced > Troubleshooting > Test Connectivity > STAS Collector | Kontrollerar om en Agent når en Collector. |
| WMI Verification | Advanced > Troubleshooting > STAS Polling Utilities > WMI Verification | Kontrollerar Workstation Polling via WMI mot en client-IP. |
| Registry Read Verification | Advanced > Troubleshooting > STAS Polling Utilities > Registry Read Verification | Kontrollerar Workstation Polling via Registry Read Access mot en client-IP. |
STAS-loggen syns direkt i STAS-applikationen under Advanced > View Log. Dessutom ligger loggfilen på Windows-systemet under:
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log
Före större ändringar bör man säkra STAS-konfigurationen. Det görs i STAS-applikationen under Advanced > Backup / Restore > Backup Now. Backupen skapas som en fil i formatet STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp. För återställning väljs .bkp-filen under Backup / Restore och läses in med Upload and Restore.
Kontrollera STAS före SFOS 22 MR1
STAS hör till de funktioner som bör kontrolleras medvetet före en Major Upgrade. I den aktuella Known Issues-listan finns ett problem kring SFOS 22.0 MR1, STAS och alternativet Restrict client traffic during identity probe. Om alternativet står på Yes kan det hindra en upgrade till SFOS 22.0 MR1 eller efter upgraden leda till upprepade Identity Probes och därmed till tillfälliga traffic-avbrott. Eftersom Yes är standardvärdet bör man inte anta att bara medvetet härdade specialkonfigurationer påverkas.
För administratörer är detta viktigt: det är inget normalt STAS-konfigurationsproblem. En miljö kan fungera i flera år och ändå märkas vid upgrade, eftersom en tidigare accepterad inställning blir kritisk tillsammans med SFOS 22.0 MR1. Därför bör STAS tas med i SFOS 22 Upgrade Check.
Kontrollera före en upgrade till SFOS 22.0 MR1 eller senare:
- Är STAS alls aktivt?
- Används användarbaserade regler produktivt?
- Är Restrict client traffic during identity probe aktiverat?
- Finns redan meddelanden om upprepade Identity Probes eller oförklarliga korta traffic-avbrott?
- Finns en testanvändare som kan användas för riktad STAS-kontroll efter upgraden?
Om det berörda alternativet är aktivt bör det inte bedömas först under firmware-underhållsfönstret. Bättre är ett separat kort test i förväg: dokumentera ändringen, logga in testanvändare, kontrollera Live Users, testa användarbaserad regel och kontrollera Log Viewer. Om STAS styr säkerhetskritiska regler bör man också klargöra om en tillfällig fallback-regel behövs så att användare inte blockeras okontrollerat.
För upgradevägen till SFOS 22.0 MR1 gäller praktiskt: om STAS är aktivt och Restrict client traffic during identity probe står på Yes, sätt alternativet till No före upgraden och validera sedan med verkliga testanvändare. Om ändringen inte kan testas i förväg är det ofta renare att skjuta upp upgraden än att ta ett riskfyllt underhållsfönster. På redan berörda SFOS 22.0 MR1-system är No också den dokumenterade mitigeringen tills en korrigerad release finns.
Efter upgraden bör detta kontrolleras riktat:
- Kontrollera STAS-status under
Authentication > STAS. - Kontrollera Live Users med en ny domain-login.
- Testa användarbaserad firewall-regel med logging.
- Kontrollera i Log Viewer om användarnamnet syns och inte bara IP-adressen.
- Var uppmärksam på upprepade Identity Probe-effekter eller korta avbrott.
Om upgraden blockeras av ett STAS-meddelande eller om reproducerbara avbrott uppstår efter upgraden bör ett Sophos Support Case förberedas. Då är screenshot av upgrade-meddelandet, aktuell STAS-konfiguration, firmwareversion, berörd användarregel och ett kort testförlopp användbara.
Troubleshooting
Inga användare i Live Users
Kontrollera först om Domain Controller skriver passande Security Events. Kontrollera därefter STA Agent, STA Collector, portar och Device Access.
Typiska orsaker:
- Audit Policy är inte aktiv
- STA Agent körs inte eller läser fel Domain Controller
- Collector är inte nåbar
- UDP
6060eller6677är blockerad Client Authenticationär inte tillåtet i Device Access- NAT döljer den verkliga client-IP:n
Användare tilldelas fel
Då är ofta Exclusions, Workstation Polling eller tekniska konton inblandade. Kontrollera om servicekonton, monitoring-konton eller installationskonton skriver över samma client.
Användare försvinner för snabbt
Kontrollera då Logoff Detection, Dead Entry Timeout, client-nåbarhet och polling-metod. Om clients inte svarar på ping, WMI eller Registry-åtkomst kan poster försvinna oväntat eller bli inaktuella.
DCOM-fel eller STAS frågar fel nät
Om Windows Event Viewer efter STAS-installationen visar DCOM-fel som Event ID 10009 eller 10028 är firewall-regeln inte automatiskt orsaken. Ofta försöker Collector kontrollera klienter via WMI eller Registry Read Access som inte är nåbara eller inte hör till de övervakade näten.
Då bör de övervakade näten begränsas i STAS:
- Öppna fliken STA Collector i STAS-applikationen.
- Under Sophos appliances, välj berörd Sophos Firewall och öppna Edit.
- Aktivera Enable subnet based filter.
- Ange bara de nät som verkligen ska övervakas.
- Kontrollera samma klientnät under Specify the networks to be monitored i fliken STA Agent.
- Tillämpa ändringarna och starta om STAS.
Det minskar onödiga WMI-frågor och förhindrar att användare från olämpliga nät visas som LogonType: 1. Efter ändringen bör stas.log, Windows Event Viewer och Current activities > Live users kontrolleras tillsammans.
Firewall-regel träffar inte
Titta då inte bara på regeln. Kontrollera:
- Är användaren synlig under Live Users?
- Identifieras rätt AD-grupp?
- Träffar en tidigare firewall-regel?
- Är logging aktiverad på regeln?
- Ser Log Viewer användaren eller bara IP-adressen?
Övergångstid för oautentiserad traffic
För övergångsfaser tillåter firewallen som standard oautentiserad traffic under en kort tid. Detta värde kan kontrolleras eller anpassas via Device Console:
system auth cta unauth-traffic drop-period
Denna inställning bör inte ändras blint. Först måste det vara tydligt om problemet verkligen är övergångstiden eller en felaktig STAS-tilldelning.
När firewallen ser traffic från en IP-adress som STAS ännu inte känner någon användare för, kontrolleras denna IP först i learning mode. Under denna fas kan traffic kastas. Om Collector inte svarar behandlar firewallen IP-adressen som oautentiserad under en viss tid. För enheter utanför domänen bör man därför inte förvänta sig att STAS automatiskt täcker dem korrekt. För sådana system kan Clientless Users eller egna regler vara mer lämpliga.
STAS över VPN
STAS kan också användas i ett IPsec VPN-scenario om användare på en fjärrplats autentiseras mot en Domain Controller på huvudplatsen. Det bör dock bara planeras medvetet, eftersom routing, source-IP, STAS Monitored Networks och firewall-zoner måste passa ihop.
Förutsättningar för en sådan design:
- IPsec-anslutningen är aktiv och stabil.
- Branch-traffic routas via tunneln.
- STAS och Active Directory är korrekt konfigurerade på huvudplatsen.
- Branch-nätet är inlagt i STAS som övervakat nätverk.
- Branch-firewallen är inlagd i STA Collector-konfigurationen som Sophos Appliance.
Client Authenticationär tillåtet för VPN-zonen i Device Access.
På firewallen på huvudplatsen måste det fjärranslutna nätet kompletteras för STAS via Device Console. Exempel:
system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0
Exemplet måste ersättas med det verkliga Branch-nätet. I många miljöer är det ändå enklare och robustare att använda STAS bara för lokala client-nät och designa fjärrplatser separat.
STAS, SATC och Remote Desktop Server
Klassiskt STAS fungerar bra när en client-IP typiskt tillhör en användare. På Remote Desktop Servers, terminalservrar eller Citrix-system delar däremot flera användare samma IP-adress. Då kan klassiskt STAS inte särskilja användare korrekt.
I sådana miljöer bör man kontrollera Sophos Authentication for Thin Client (SATC). SATC är inte bara en enkel kryssruta i STAS, utan ett eget designområde:
- Vilka servrar berörs?
- Vilka användare arbetar via dessa servrar?
- Vilka firewall-regler måste verkligen vara användarbaserade?
- Finns blandad traffic från servertjänster och användarsessioner?
- Hur testas och dokumenteras beteendet?
Om terminalservrar bara används sällan kan det vara mer lämpligt att segmentera dessa anslutningar annorlunda eller använda egna regler utan användarkoppling. Avgörande är att autentiseringen passar den faktiska nätverksarkitekturen.
Driftchecklista
Före installationen:
- AD-server på Sophos Firewall fungerar.
- Client-nät och Domain Controllers är dokumenterade.
- Ingen NAT döljer client-IP-adresser.
- Servicekonto och rättigheter är definierade.
- Audit Policy är aktiv på relevanta Domain Controllers.
- Exclusion List är förberedd.
Efter installationen:
- Agent och Collector körs.
- Portar mellan Agent, Collector, Firewall och clients är öppna.
- Live Users visar testanvändare.
- Användarbaserad firewall-regel träffar i Log Viewer.
- Logoff, användarbyte och tekniska konton har testats.
- Collector-redundans är dokumenterad vid behov.
I drift:
- Övervaka servicekonto.
- Underhåll Exclusion List regelbundet.
- Stäm av ändringar i Windows Firewall och GPO med STAS.
- Stäm regelbundet av subnet-based filters och övervakade nät mot den verkliga klientstrukturen.
- Testa STAS efter firewall- och Domain Controller-upgrades.
- Kontrollera Restrict client traffic during identity probe före SFOS 22.0 MR1 eller senare.
- Improvisera inte med STAS vid RDS/Citrix, utan kontrollera SATC eller en annan design.
FAQ
Vad är STAS på Sophos Firewall?
Måste STA Collector köras på en Domain Controller?
Varför fungerar STAS inte med NAT mellan client och firewall?
Vad hör hemma i STAS Exclusion List?
När behöver man SATC i stället för STAS?
Varför bör man kontrollera STAS före SFOS 22 MR1?
No, eller också bör upgraden skjutas upp.