Вопрос или проблема
После ежемесячного обновления KB5044281 для Windows Server 2022 в октябре 2024 года имя пользователя не фиксируется при загрузке по SFTP или выполнении любых других команд. До обновления оно отображалось в поле USER. Теперь за все операции фиксируется только SYSTEM. Все пользователи настроены на работу в chroot jail.
У нас есть сотни учетных записей для интеграции SFTP, и в данный момент мы не можем определить, кто что делает. Я проверил изменения файлов KB5044281, и все связанные с OpenSSH файлы в списке. Так что Microsoft что-то изменила в этом отношении.
Кто-нибудь еще заметил это изменение, или вы знаете, как получить имя пользователя в журнале событий для каждой операции?
Прошло 17 дней. Я единственный, кого во всем мире интересует логирование SFTP? Эта проблема до сих пор не решена. Я пытался связаться с поддержкой Microsoft, но пока безуспешно.
Ответ или решение
Ситуация, описанная в вашем сообщении, связана с изменениями в процессе ведения журналов OpenSSH для Windows, которые произошли после обновления Windows Server 2022 в октябре 2024 года (KB5044281). Потеря информации о пользователе при выполнении операций SFTP может вызвать серьезные проблемы в управлении безопасностью и мониторинге, особенно в организациях с большим количеством интеграционных учетных записей SFTP, как в вашем случае.
Фон (F):
С недавними изменениями, произошедшими в Windows Server 2022, многие администраторы и IT-специалисты столкнулись с проблемами ведения журнала для OpenSSH. В частности, после установки обновления KB5044281 пользователи заметили, что поле USER, в котором ранее указывались имена пользователей, было заменено на системное имя "SYSTEM" для всех операций SFTP. Это влияет на возможность отслеживания действий пользователей и идентификации потенциальных проблем безопасности.
Объектив (O):
Целью является восстановление корректной функциональности журнала, чтобы вернуть возможность отслеживания пользователей по имени, а не по системному имени. Это необходимо для выполнения аудита операций SFTP и выявления пользователей, совершающих определенные действия.
Доказательства (R):
Вы упомянули, что проверили изменения файлов, связанных с OpenSSH, и обнаружили, что они были модифицированы в рамках обновления KB5044281. Это свидетельствует о том, что именно обновление, вероятно, стало причиной проблемы. Это также подтверждается тем фактом, что другие администраторы, вероятно, испытывают аналогичные трудности, так как многие пользователи зависят от корректного ведения журналов для мониторинга.
Примеры и рекомендации (E):
Вот несколько рекомендаций по устранению проблемы:
-
Версия OpenSSH: Убедитесь, что ваша версия OpenSSH обновлена до последней версии, совместимой с Windows Server 2022. Новые обновления могут содержать исправления для подобных проблем.
-
Настройки проверки: Проверьте конфигурацию OpenSSH и настройки ведения журналов. Возможно, внесение изменений в конфигурационный файл (например,
sshd_config) может помочь. Попробуйте добавить или изменить параметры, касающиеся вывода логов. -
Обновления: Следите за обновлениями от Microsoft. Возможно, они выпустят исправление для KB5044281, которое решит вашу проблему. Подпишитесь на уведомления о новых обновлениях и патчах.
-
Сообщество IT: Рассмотрите возможность обращения в профессиональные сообщества и форумы, такие как Stack Overflow или Microsoft Tech Community. Возможно, кто-то уже выявил решение для данной проблемы.
-
Обратная связь от Microsoft: Продолжайте следить за статусом обращения в службу поддержки Microsoft. Если проблема затрагивает значительное количество пользователей, это может ускорить процесс ее решения.
Заключение (T):
Учитывая серьезность ситуации и её влияние на безопасность и управление пользователями в вашей системе, крайне важно действовать быстро и решительно. Немедленно следите за обновлениями от Microsoft и используйте сообщества для поиска временных решений, пока проблема не будет официально исправлена. Ваша настойчивость в этом вопросе может помочь не только вашей организации, но и многим другим, столкнувшимся с аналогичными трудностями.