Consejos y trucos: consideraciones para el agente de TS y el agente de ID de usuario en un entorno mixto
Resolution
En un entorno en el que se utilizan tanto el agente de Terminal Services (TS) como el agente de identificación de usuario (ID de usuario) para determinar qué usuarios han iniciado sesión en determinados sistemas, es necesario tomar algunas precauciones para evitar una asignación incorrecta de los usuarios, principalmente con respecto a la servidores de Terminal Server, donde varios usuarios pueden iniciar sesión al mismo tiempo.
Ambos agentes logran el mapeo de usuarios en su propia forma distintiva:
- El agente de ID de usuario asigna un solo usuario a una sola IP mediante la lectura de eventos de inicio de sesión de Active Directory, la determinación de un usuario registrado mediante la realización de un sondeo NetBIOS o WMI, el acceso a una unidad de red o una llamada de API desde un AP integrado.
- El TSAgent sólo está activo en el sistema en el que se instala y trabaja mediante la asignación de rangos de puertos de origen (participa activamente en la pila de red) a los usuarios conectados, informando al cortafuegos qué puertos de origen utilizan cada usuario.
Si ambos clientes están activos en el mismo entorno y los hosts TSAgent instalados forman parte de la misma red que los clientes habituales, pueden producirse algunos conflictos. Más comúnmente, se puede crear un doble mapeo donde tanto el TSAgent como el UIDAgent tienen una asignación de usuario para una única dirección IP.
> Mostrar usuario IP-usuario-asignación de todos los
Vsys IP de usuario IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------------
10.192.16.98vsys1UIA pantac\ad ministrator3590 3590
> Mostrar usuario IP-puerto-usuario-mapping todo el
Índice de host máximo global 1, cuenta del hash del anfitrión 1
TS-agente 10.192.16.98
Vsys 1,
gama del puerto de la bandera 3:20000-39999, cuenta de Puerto 20000
número de puertos asignados por sesión de terminal de usuario: 200; Número máximo 2000
de sesiones de terminal del usuario (cuenta del bloque portuario): 100
20000-20199: pantac\eng
20200-20399: pantac\tpiens
Esta superposición, en la mayoría de los casos, es inofensiva: normalmente los usuarios que han iniciado la sesión tendrán asignado un puerto de origen por el TSAgent y serán identificados como tales por el firewall, mientras que las cuentas de servicio podrían estar desencadenando eventos de inicio de sesión de UIDAgent--recogidos en el registro de seguridad generar una entrada UID en la asignación IP-usuario. Las conexiones salientes de dichas cuentas de servicio se identificarían mediante la asignación de usuario de IP en lugar de la asignación de puertos IP.
En algunos escenarios, puede ser indeseable permitir que se produzca la asignación de IP-User para un servidor terminal, ya que esta asignación puede desencadenarse por varios procesos y es difícil de controlar (asignación de unidades a un servidor con un agente UID instalado, realizando tareas remotas con diferentes nombres de usuario), especialmente en un entorno mixto donde los usuarios con privilegios muy diferentes acceden al mismo terminal Server.
Desde la perspectiva de las mejores prácticas de seguridad, se recomienda excluir los servidores de Terminal Server del descubrimiento del UIDAgent. Esto evitará que se produzca una asignación de usuario IP regular para las IPS asociadas con la granja de Terminal Server, evitando la identificación errónea accidental de las actividades de una cuenta de servicio con un usuario conocido que haya hecho una tarea que provoque la identificación por el UIDAgent:
Alternativamente o Adicionalmente, los usuarios pueden ser agregados a la lista de usuarios ignorar para evitar que éstos sean mapeados por el UIDAgent en conjunto:
Cómo agregar o eliminar usuarios de ignorar usuario lista usando Seudónimo sin agentes
Cómo ignorar usuarios en agente de ID de usuario