Conseils et astuces: considérations pour l'Agent TS et l'Agent d'ID utilisateur dans un environnement mixte
Resolution
Dans un environnement où les agents des services Terminal Server (TS) et d'identification de l'utilisateur (User-ID) sont utilisés pour vérifier quels utilisateurs sont connectés à certains systèmes, certaines précautions doivent être prises pour éviter une cartographie incorrecte des utilisateurs, principalement en ce qui concerne les serveurs Terminal Server, où plusieurs utilisateurs peuvent être connectés en même temps.
Les deux agents réalisent la cartographie utilisateur de leur propre manière distincte:
- L'Agent d'ID utilisateur mappe un seul utilisateur à une seule adresse IP en lisant des événements de connexion à partir d'Active Directory, en déterminant un utilisateur connecté en effectuant une sonde NetBIOS ou WMI, l'accès à un lecteur réseau ou un appel API à partir d'un AP intégré.
- Le TSAgent n'est actif que sur le système sur lequel il est installé et fonctionne en affectant des plages de ports source (elle participe activement à la pile réseau) aux utilisateurs connectés, en informant le pare-feu des ports sources utilisés par chaque utilisateur.
Si les deux clients sont actifs dans le même environnement et que les hôtes installés par TSAgent font partie du même réseau que les clients réguliers, certains conflits peuvent se produire. Le plus souvent, un mappage double pourrait être créé où les deux TSAgent et UIDAgent ont un mappage utilisateur pour une adresse IP unique.
> afficher l'utilisateur IP-utilisateur-Mapping tous les
VSys IP de l'utilisateur IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------------
10.192.16.98vsys1UIA pantac\ad le ministrator3590 3590
> Afficher l'utilisateur IP-port-user-Mapping tous les index globaux de l'
hôte Max 1, nombre de hachage de l'hôte 1
TS-agent 10.192.16.98
VSys 1, indicateur 3
plage de ports: 20000-39999,
nombre de ports 20000 numéro de port alloué par session terminale utilisateur: 200; Max 2000
nombre de sessions terminal utilisateur (nombre de blocs de port): 100
20000-20199: pantac\eng
20200-20399 : pantac\tpiens
Ce chevauchement, dans la plupart des cas, est inoffensif: en général, les utilisateurs connectés se verront attribuer un port source par le TSAgent et seront identifiés comme tels par le pare-feu, tandis que les comptes de service pourraient déclencher des événements de connexion UIDAgent--récupérés dans le journal de sécurité de l'annonce-- génération d'une entrée UID dans le mappage IP-utilisateur. Toutes les connexions sortantes de ces comptes de service seraient identifiées par le mappage IP-utilisateur au lieu du mappage IP-port.
Dans certains scénarios, il peut être indésirable de permettre le mappage IP-utilisateur pour un serveur Terminal Server, car ce mappage peut être déclenché par plusieurs processus et est difficile à contrôler (mappage de lecteur vers un serveur avec un agent UID installé, effectuer des tâches à distance avec différents noms d'utilisateur), en particulier dans un environnement mixte où les utilisateurs ayant des privilèges très différents accèdent au même serveur Terminal Server.
Du point de vue des meilleures pratiques de sécurité, il est recommandé d'exclure les serveurs terminaux de la découverte du UIDAgent. Cela empêchera tout mappage d'utilisateur IP régulier pour les IPS associés à la batterie de serveurs Terminal Server, empêchant l'identification accidentelle des activités d'un compte de service avec un utilisateur connu qui effectuait une tâche qui provoque l'identification par le UIDAgent:
Alternativement ou en outre, les utilisateurs peuvent être ajoutés à la liste d'utilisateur d'ignorer pour empêcher ceux-ci d'être mappés par le UIDAgent complètement:
Comment faire pour ignorer des utilisateurs dans l’Agent utilisateur