Вопрос или проблема
После обновления KB5044281 (Windows Server 2022) мы не можем видеть имя пользователя для загрузок по SFTP или любых других команд. До обновления оно указывалось в поле USER. Теперь в качестве пользователя для всех операций указано только SYSTEM. Все пользователи настроены на работу в chroot jail.
У нас есть сотни интеграционных аккаунтов SFTP, и на данный момент мы не можем определить, кто что делает. Я проверил изменения файлов в KB5044281, и все файлы, связанные с OpenSSH, находятся в списке. Таким образом, Microsoft что-то изменила в этом отношении. Кто-нибудь еще заметил это изменение или у вас есть идеи, как получить имя пользователя, отображаемое в журнале событий для каждой операции?
Ответ или решение
После установки обновления KB5044281 на Windows Server 2022 пользователи OpenSSH для Windows столкнулись с проблемой отсутствия имени пользователя в журналах SFTP. Это изменение имеет значительные последствия для управления и мониторинга операций, выполняемых через SFTP, так как в журналах теперь отображается только пользователь "SYSTEM", что затрудняет идентификацию, кто и какие действия выполняет.
Проблема: Отсутствие имени пользователя в SFTP-журналах
После обновления, которое затронуло файлы, связанные с OpenSSH, пользователи заметили, что в поле имени пользователя (USER) для всех действий, таких как загрузка файлов, отсутствует необходимая информация. Это значит, что несмотря на то, что у вас могут быть сотни SFTP-аккаунтов, теперь выявить, какой именно аккаунт выполнял ту или иную операцию, стало невозможно. Эта ситуация создает препятствия для аудита и разработки эффективных политик безопасности.
Причины изменения
На текущий момент нам известно, что обновление KB5044281 изменило некоторые аспекты работы OpenSSH на Windows. Это может быть связано с настройками аутентификации или изменениями в конфигурации логирования, внедрёнными в рамках данного обновления. К сожалению, Microsoft не предоставляет детальной информации об изменениях, касающихся логирования, что оставляет пользователей с недостатком четкого понимания произошедших модификаций.
Возможные решения
-
Откат обновления: Если вам срочно необходимо восстановить функциональность и идентифицировать пользователей, можно рассмотреть возможность временного отката обновления KB5044281. Это может вернуть прежние настройки и восстановить функциональность логирования.
-
Изменение конфигурации OpenSSH: Проверьте, нет ли конфигураций, которые могли бы помочь вернуть логирование имени пользователя. Например, вы можете попробовать изменить опции в конфигурационном файле
sshd_config, чтобы уточнить, как должны записываться данные в журналы. -
Контакт с поддержкой Microsoft: Если проблема будет продолжаться, желательно обратиться в службу поддержки Microsoft. Учитывая масштаб проблемы, они могут предложить более конкретное решение или исправление, которое устраняет данное несоответствие.
-
Мониторинг активности на уровне системы: В качестве временного решения, вы можете использовать средства мониторинга, такие как Windows Event Log и другие инструменты для аудита, которые могут помочь вам отслеживать активности пользователей на уровне системы.
-
Сообщество и форум: Учитывая, что это непростая проблема, полезно будет обращаться на форумы для профессионалов в области IT, чтобы обменяться опытом и находить решения, которые могут быть предложены другими пользователями, также затронутыми обновлением.
Заключение
Отсутствие логирования имени пользователя после обновления KB5044281 на Windows Server 2022 приводит к серьёзным трудностям в управлении конфиденциальностью и безопасностью данных в вашей организации. Рекомендуем исследовать предложенные решения и активно следить за новыми сообщениями от Microsoft, которые могут прояснить ситуацию или предложить исправление проблемы.