Często zadawane pytania¶
1. Jaka jest maksymalna ilość nagranych sesji na |product_name| dostępna z poziomu systemu?
2. W jaki sposób |product_name| obsługuje archiwizację sesji?
3. Jak wyliczyć wielkość przestrzeni dyskowej do archiwizacji?
5. W jaki sposób można stwierdzić próby uzyskania nieuprawionego dostępu do monitorowanych serwerów?
6. Czy możliwe jest ukrycie ekranu logowania podczas nawiązywania połączeń RDP?
7. Dlaczego lista użytkowników we właściwościach połączenia jest niekompletna?
8. Dlaczego użytkownik usunięty z serwera LDAP/AD w dalszym ciągu widoczny jest na |product_name|?
9. Jak często ma miejsce synchronizacja użytkowników z serwerem LDAP/AD?
11. Czy można unieważnić odnośnik do sesji?
12. Co należy zrobić przed zdaniem maszyny demonstracyjnej?
1. Jaka jest maksymalna ilość nagranych sesji na |product_name| dostępna z poziomu systemu?
Urządzenia serii F1000 dysponują 24 TB przestrzeni dyskowej (15,9 TB przestrzeni użytkowej), a serii F3000 mają do dyspozycji macierz wewnętrzną o pojemności 96 TB (59,5 TB przestrzeni użytkowej) przeznaczoną do przechowywania danych sesji.
Rozmiar sesji determinowany jest aktywnością użytkownika. Średnie wartości dla jednej minuty zarejestrowanego połączenia wynoszą:
RDP | 218 MB aktywnej sesji (brak aktywności ze strony użytkownika generuje pomijalnie niewielkie ilości danych). Ostateczny rozmiar sesji uzależniony jest od rozdzielczości ekranu, głębi kolorów i aktywności użytkownika w sesji. |
SSH | 41,5 MB aktywnej sesji. |
Przy takich założeniach, wewnętrzna przestrzeń dyskowa pozwala na zarejestrowanie:
RDP | SSH | |
F1000 | 28,6 lat | 150,2 lat |
F3000 | 112,8 lat | 592,5 lat |
Informacja
- Informacja o zajętości przestrzeni dyskowej bierze pod uwagę obszar zarezerwowany przez mechanizm redundancji danych. Stąd wynika raportowana zajętość macierzy dyskowej po zainicjowaniu systemu.
- Fudo PAM pozwala określić, jak długo sesje mają być przechowywane i automatycznie usuwa dane sesji po upłynięciu czasu określonego parametrem retencji.
2. W jaki sposób |product_name| obsługuje archiwizację sesji?
Wszystkie sesje archiwizowane są na wewnętrznej macierzy dyskowej urządzenia, przeznaczonej na rejestrowanie zdalnych połączeń. Fudo PAM wspiera zewnętrzne macierze a także umożliwia eksport sesji w natywnym formacie lub w postaci nagrania video.
3. Jak wyliczyć wielkość przestrzeni dyskowej do archiwizacji?
Rozmiar plików w formacie natywnym jest zgodny z odpowiedzią z punktu 1. W przypadki eksportu do formatu video, rozmiar wynikowy pliku zależy od wybranego kodowania strumienia video oraz wybranej rozdzielczości nagrania.
4. W jaki sposób użytkownicy mogą ukrywać swoje działania na serwerach, do których mają skonfigurowane połączenia na |product_name|?
W przypadku protokołu SSH, obsługiwany jest kanał SCP przez co wszystkie pliki, w tym skrypty, również podlegają monitorowaniu. Dzięki temu można audytować daną sesję również pod kątem złośliwego kodu zamieszczanego w programach wysłanych na serwer, których zawartość nie jest wyświetlana na ekranie.
Ochrona innych kanałów komunikacji użytkownika z serwerem (np. przeglądarka internetowa lub inne programy) to zadanie dla rozwiązań innego rodzaju. Żadne rozwiązania jak Fudo PAM nie mogą monitorować tych kanałów, dlatego ważne jest stworzenie odpowiedniej konfiguracji serwera przez administratora systemu.
5. W jaki sposób można stwierdzić nieuprawnione próby uzyskania dostępu do monitorowanych serwerów?
Próby nadużyć (nieuprawniony dostęp, atak DoS), można stwierdzić na podstawie analizy wpisów w dzienniku zdarzeń. Wszelkie wpisy o poziomie logowania ERROR i WARNING powinny być dokładnie analizowane. Przypadki wystąpienia błędu przekroczenia limitu czasu logowania, mogą świadczyć o próbie dokonania ataku DoS.
6. Czy możliwe jest ukrycie ekranu logowania podczas nawiązywania połączeń RDP?
Ukrycie ekranu logowania wymaga zdefiniowania trybu bezpieczeństwa Enhanced RDP Security (TLS) + NLA
monitorowanego serwera.
7. Dlaczego lista użytkowników we właściwościach połączenia jest niekompletna?
Lista użytkowników we właściwościach połączenia nie zawiera użytkowników synchronizowanych z serwerem usług katalogowych. Aby dodać takiego użytkownika do połączenia, zdefiniuj mapowanie grup we właściwościach synchronizacji LDAP lub wyłącz synchronizację LDAP dla wybranego użytkownika.
8. Dlaczego użytkownik usunięty z serwera LDAP/AD w dalszym ciągu widoczny jest na |product_name|?
Odwzorowanie zmiany polegającej na usunięciu użytkownika z serwera LDAP lub AD wymaga pełnej synchronizacji. Proces pełnej synchronizacji wyzwalany jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00, lub może zostać wyzwolony ręcznie z poziomu widoku ustawień synchronizacji LDAP.
9. Jak często ma miejsce synchronizacja użytkowników z serwerem LDAP/AD?
Definicje nowych użytkowników oraz zmiany w istniejących obiektach pobierane są okresowo w odstępie czasowym wynoszącym 5 minut. Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00.
10. W odtwarzaczu sesji zamiast wprowadzonych znaków klawiatury wyświetlane są *. W jaki sposób zobaczyć dane wejścia klawiatury?
Wejście klawiatury należy do grupy funkcjonalności wrażliwych i jest domyślnie ukryte. Włączenie pokazywania znaków wprowadzonych na klawiaturze wymaga decyzji dwóch użytkowników superadmin
. Procedura aktywacji funkcjonalności opisana jest w rozdziale Funkcjonalności wrażliwe.
11. Czy można unieważnić odnośnik do sesji?
Aktywny odnośnik do sesji może zostać w każdej chwili unieważniony. Procedura unieważnienia odnośników opisana jest w rozdziale Udostępnianie sesji.
12. Co należy zrobić przed zdaniem maszyny demonstracyjnej?
Przed zdaniem maszyny demonstracyjnej należy usunąć dane oraz konfigurację poprzez przywrócenie ustawień fabrycznych oraz wyczyścić nośnik z kluczem szyfrującym.