Предназначен, для осуществления прозрачной аутентификации на выбранных устройствах NGFW. В качестве источника данных аутентификации используются журналы ActiveDirectory(посредством протокола WMI) и Syslog(посредством стандартизированного протокола syslog RFC 3164, RFC 5424, RFC 6587).

Схема работы

Данные для осуществления прозрачной авторизации берутся из журналов ActiveDirectory(AD) и\или Syslog. Для этого агент UserID осуществляет запросы посредством протокола WMI на сервера AD, а в случае с syslog, осуществляет прослушивание порта syslog (по умолчанию tcp\514) и сбор информации, которую присылают сервера syslog. Далее информация фильтруется по событиям входы\выхода, и заносится в Базу Данных.

UserID агент периодически делает запрос в Базу Данных для поиска событий входов\выходов пользователей. Поиск происходит только среди записей, полученных при помощи источников UserID, то есть другие записи (полученные через WMI sensors, Endpoints, Log collector) игнорируются. По полученным данным происходит поиск пользователя в каталогах пользователей источника логов. Если пользователь найден, то данные для авторизации пользователя отправляются на все устройства NGFW, указанные в Профиле редистрибуции источника и производится вход пользователя на NGFW. Таким образом производится авторизация пользователя на всех указанных устройствах. В случае выхода пользователя, ситуация аналогична(за исключением WMI-коннектора, там данные о выходе пользователя сейчас не обрабатываются). Информация о входе\выходе\ошибке сохраняется в журнал UserID.

ПримечаниеСобытия, полученные с источников, будут отображены в журналах Агент UserID во вкладке Журналы и отчёты.

Настройка

В общем случае для настройки сбора информации с источников необходимо выполнить следующее:

Наименование	Описание
Шаг 1. Настроить аудит на серверах AD и Syslog	На серверах AD возможно потребуется включить аудит события безопасности следующих категорий: • Audit LogOn • Audit LogOff • Audit Kerberos Authentication Service • Audit Group Membership На серверах syslog необходимо настроить отправку журналов на IP адрес сборщика логов UserID.
Шаг 2. Создать агента UserID.	Для этого в пункте: Настройки → Пользователи и устройства → UserID агент, нажмите кнопку Добавить и выберите нужный тип агента.
Шаг 3. Настроить параметры агента UserID.	Настройка осуществляется в разделе Пользователи и устройства --> UserID агент, кнопка Настроить агент.
Шаг 4. Настроить источник событий.	В качестве источников могут быть использованы Microsoft Active Directory или Syslog.

При настройке агента необходимо заполнить следующие поля:

Наименование	Описание
Вкладка «Общие»	Общие настройки агента
Интервал опроса (сек.)	Период опроса серверов Active Directory. Значение по умолчанию – 120 секунд.
Время жизни аутентифицированного пользователя (сек.)	Период времени, по истечении которого сессия пользователя будет завершена принудительно. Значение по умолчанию – 2700 секунд (45 минут).
Интервал мониторинга syslog (сек.)	Период опроса базы данных для поиска событий начала/завершения сеанса пользователей syslog-источников.
Вкладка «Настройки syslog сервера»	Предназначена для настройки агента для сбора журналов по протоколу syslog.
Протокол	Протокол для приёма журналов по протоколу syslog: TCP; UDP. Для выбора протокола необходимо отметить чекбокс Включено в соответствующем блоке.
Порт	Номер порта, использующегося для сбора Syslog событий. По умолчанию – порт 514.
Максимальное количество сессий	Максимальное количество устройств, подключённых одновременно с целью отправки сообщений.
Безопасное соединение	Включение/отключение шифрования потока данных; параметр относится к настройке сервера syslog при выборе протокола TCP. Подробнее об использовании TLS в Syslog читайте в соответствующей документации.
Файл сертификата ЦС	Сертификат удостоверяющего центра (центра сертификации), который используется для установления безопасного соединения; параметр относится к настройке сервера Syslog при выборе протокола TCP.
Файл сертификата	Сертификат, созданный пользователем и подписанный центром сертификации (ЦС); необходимо указать при настройке безопасного соединения; параметр относится к настройке сервера Syslog при выборе протокола TCP.
Вкладка «Ignore network list»	Списки IP-адресов, события от которых будут проигнорированы агентом UserID. Запись об игнорировании источника по появится в журнале UserID. Список может быть создан в разделе Библиотеки --> IP-адреса или при настройке агента (кнопка Создать и добавить новый объект). Подробнее о создании и настройке списков IP-адресов читайте в разделе IP-адреса. Данная настройка является глобальной и относится ко всем источникам.
Вкладка «Ignore user list»	Имена пользователей, события от которых будут проигнорированы агентом UserID. Поиск производится по Common Name (CN) пользователя AD. Данная настройка является глобальной и относится ко всем источникам. Запись об игнорировании пользователя появится в журнале UserID. Важно! При задании имени допустимо использовать символ астериск (*), но только в конце строки.

ПримечаниеПри подключении NGFW к Log Analyzer возможна одновременная работа агентов UserID, настроенных на обоих устройствах. Агенты устройств будут работать независимо друг от друга. События журналов агента UserID, полученные NGFW, как и события других журналов, будут переданы на LogAn.

Microsoft Active Directory

В случае, если в качестве источника информации выступает Microsoft Active Directory необходимо:

Наименование	Описание
Шаг 1. Настроить параметры агента UserID для мониторинга Microsoft AD.	Параметры агента UserID были рассмотрены ранее.
Шаг 2. Настроить источник событий.	Настроить Microsoft Active Directory в качестве источника. Подробнее о параметрах источника читайте далее.

При использовании серверов AD в качестве источников событий NGFW выполняет WMI-запросы для поиска событий, связанных с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627). Периодичность выполнения запросов регулируется настройками агента UserID (параметр Интервал опроса). Найденные события отображаются во вкладке Журналы и отчёты, в разделе Журналы → Агент UserID → Журнал Windows Active Directory.
При добавлении источника событий типа Microsoft Active Directory необходимо указать следующие данные:

Наименование	Описание
Включено	Включение/отключение получения журналов с источника.
Название	Название источника.
Описание	Описание источника (опционально).
Адрес сервера	Адрес Microsoft Active Directory.
Протокол	Протокол доступа к AD (WMI).
Имя	Имя пользователя для подключения к AD.
Пароль	Пароль пользователя для подключения к AD.
Профиль аутентификации	Профиль аутентификации, с помощью которого производится поиск пользователей, найденных в журналах AD. Подробнее о профилях читайте в разделе Профили аутентификации.

Настройка аудита событий на сервере MS AD

Для включения аудита событий отредактируйте Политики Аудита в Политике домена по умолчанию и Конфигурацию расширенной политики, как указано на следующих снимках экрана, используя оснастку gpedit.msc

Для выполнения WMI-запросов необходимо создать пользователя с соответствующими привилегиями по процедуре, указанной ниже.

Создание пользователя с разрешениями Windows Management Instrumentation (WMI)

Внимание!Эти настройки нужны для подключения агента к WMI посредством учетной записи с ограниченными правами.

Процедура создания и конфигурация пользователя на сервере Windows с разрешениями для просмотра WMI.

1. Создайте учетную запись пользователя на контроллере домена:

Перейдите в меню Пуск > Диспетчер серверов > Средства > Active Directory - пользователи и компьютеры
В необходимом Подразделении (OU) создайте Нового пользователя для UserID.

2. Сконфигурировать членство в группах для новой учетной записи пользователя:

Щелкните правой кнопкой мыши по новой учетной записи пользователя UserID и выберите Свойства.
Нажать на вкладку Членство в группах.
Нажать Добавить > Дополнительно > Поиск.
Выбрать следующие группы:
- Пользователи DCOM
- Пользователи журналов производительности
- Пользователи удаленного рабочего стола
Нажать OK

3. Назначить права Distributed Component Object Model (DCOM):

Перейти в меню Windows Пуск —> Администрирование —> Службы компонентов. Откроется окно Службы компонентов.
Раскрыть Службы компонентов —> Компьютеры —> Мой компьютер.
Нажать правой кнопкой мыши по Мой компьютер и выбрать Свойства. Откроется окно Свойства: Мой компьютер.
Перейти во вкладку Безопасность COM.
В области Права доступа нажать Изменить ограничения.
Убедиться, что для Пользователи DCOM выбрано Локальный доступ и Удаленный доступ.
Нажать OK, чтобы сохранить настройки.
В окне Свойства: Мой компьютер нажать в области Разрешения на запуск и активацию на Изменить ограничения.
Убедиться, что для Пользователи DCOM выбрано Локальный запуск, Удаленный запуск, Локальная активация и Удаленная активация.
Нажать OK, чтобы сохранить настройки, и еще раз нажать OK, чтобы закрыть окно Свойства: Мой компьютер.
Выбрать Файл —> Выход, чтобы закрыть окно Службы компонентов.

4. Сконфигурировать назначения защиты пространства имен WMI:

Перейти в меню Пуск —> Выполнить.
Ввести wmimgmt.msc и нажать OK.
Нажать правой кнопкой мыши на Элемент управления WMI (локальный) и выбрать Свойства.
перейти на вкладку Безопасность.
Нажать Безопасность —> Добавить —> Дополнительно —> Поиск.
Выбрать новую учетную запись пользователя, нажимать OK, пока вы не вернетесь в окно Безопасность для Root.
Нажать Дополнительно и выбрать добавленную учетную запись пользователя.
Нажать Изменить.
В меню Применяется к: выбрать Данное пространство и подпространство имен.
Убедиться, что выбрано Выполнение методов, Включить учетную запись, Включить удаленно и Прочесть безопасность.
Нажать OK, пока вы не вернетесь в окно wmimgmt.
Выбрать Файл —> Выход, чтобы закрыть окно wmimgmt.

Syslog

ПримечаниеДля корректной работы сборщика логов UserID, необходимо настроить сервер Syslog для отправки журналов на адрес агента UserID. Подробнее см. документацию Syslog.

Для настройки источника событий необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Разрешить сбор информации с удалённых устройств по протоколу syslog.	В разделе Сеть → Зоны разрешить сервис UserID syslog коллектор для зоны, в которой находятся сервера Syslog.
Шаг 2. Настроить параметры агента UserID для мониторинга сервера syslog.	Параметры агента UserID были рассмотрены ранее.
Шаг 3. Настроить источник событий.	Настроить сервер Syslog в качестве источника. Подробнее о параметрах источника читайте далее.

При добавлении источника событий типа Syslog необходимо указать следующие параметры:

Наименование	Описание
Включено	Включение/отключение получения журналов с источника.
Название	Название источника.
Описание	Описание источника.
Адрес сервера	Адрес хоста, с которого NGFW будет получать события по протоколу syslog.
Домен по умолчанию	Название домена, который используется для поиска найденных в журналах syslog пользователей.
Часовой пояс	Часовой пояс, установленный на источнике.
Профиль аутентификации	Профиль аутентификации, с использованием которого происходит поиск пользователя, найденного в журналах syslog.
Фильтры	Фильтры для поиска необходимых записей журнала. Фильтры создаются и настраиваются в разделе Библиотеки --> Syslog фильтры UserID агента. Подробнее читайте в разделе Syslog фильтры UserID агента.