GlobalProtect für benutzerdefinierte Registrierungsüberprüfung unter Windows konfigurieren

Mit GlobalProtect-Client können Sie Windows-Rechnern für vorhandene Register überprüfen und verwenden diese Informationen, um weitere ihnen Zugang in Sicherheitsrichtlinien ermöglichen.

 

Über dieses Beispiel und den Umfang dieses Artikels

-Die Palo Alto Networks Firewall verwendet in diesem Beispiel ist PAN-OS 7.1.5., GlobalProtect 3.1.3 ausgeführt.

-Dieser Artikel gilt nicht für die vollständige Konfiguration des GlobalProtect, sondern deckt nur die Konfiguration der Firewall und der Client für Register, vorausgesetzt, Sie bereits zu überprüfen haben GlobalProtect konfiguriert und die Verbindung gut. Für die Konfiguration von Global Protect, finden Sie in folgendem Dokument:

https://Live.paloaltonetworks.com/T5/Configuration-articles/how-to-configure-GlobalProtect/TA-p/58351

 

Konfigurieren von GlobalProtect für Register überprüfen

Erstens gehen Sie auf dem Windows-Rechner wo die Registrierung vorhanden ist. In diesem Beispiel werden wir die folgende Registrierungsschlüssel überprüfen, die Informationen in der Firewallkonfiguration verwendet wird hervorgehoben:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dann gehen Sie in der Firewall-GUI zum Netzwerk > Globalprotect > Portale.   Klicken Sie auf das gewünschte Portal, und gehen Sie auf die Registerkarte "Agents",

Klicken Sie auf die gewünschte Config:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Gehen Sie zur Registerkarte "Datensammlung", klicken Sie auf Registerkarte "benutzerdefinierte Cecks", klicken Sie auf Windows, und klicken Sie dann auf hinzufügen:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Füllen Sie im Fenster "Regirstry Key" Informationen der Registrierungsschlüssel, und klicken Sie auf "OK":

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Jetzt sind wir mit der Portal-Konfiguration fertig, gehen Sie zu Objekten > Globalprotect > Hip-Objekte, und klicken Sie auf hinzufügen. Benennen Sie in der Registerkarte "Allgemein" dem Objekt:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Gehen Sie zur Registerkarte "benutzerdefinierte Prüfungen", überprüfen Sie benutzerdefinierte Prüfungen, wechseln Sie zur Registerkarte Registry-Schlüssel, und klicken Sie auf hinzufügen:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Geben Sie im nächsten Fenster den Registrierungsschlüssel, und klicken Sie auf hinzufügen, um die Werte zu füllen:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Hinweis: Wenn Sie mehrere Registry-Schlüssel haben, die in den Objekten > Hip-Objekte > Custom-Checks > Registry-Taste angegeben sind , solange eine der Registry-Checks durchläuft, würde es als Hip-Match angesehen werden.
 
So arbeiten die Registrierungsschlüssel mit 'OR' Logik.

 

 

Gehen Sie nun zu den Objekten > Globalprotect > Hip profile, und klicken Sie auf hinzufügen. Geben sie einen Namen und fügen Sie die zuvor erstellte Objekt:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Überprüfung

Sie können jetzt eine Verbindung zum Portal, nachdem der Client verbunden ist, seht ihr in der Registerkarte "Aufnahmestaat" Folgendes:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Auch in der Firewall-GUI, gehen Sie zu Monitor > Logs > Hip Match. Es wird ein Protokoll für den Abgleich der konfigurierten Registrierung angezeigt:

 

 

Sie können auch die Protokolldetails überprüfen:

 

 

 

 

 

 

Sie können auch die HIP Berichtsinformationen über die Befehlszeilenschnittstelle überprüfen:

 

admin @ PA-VM (aktiv) > Debug User-ID Dump Hip-profile-datenbankEintrag 

Gesamtzahl der hipmask in der Datenbank: 2
Gesamtzahl der Logout-Aufzeichnungen in der Datenbank: 13
Gesamtgröße der Hip-Reports: 1050Kb verwendet/163840Kb
 Eintrag: 1
 Benutzer: hzayed
 Computer: HZAYED-WIN7
 IP: 192.168.100.1
 TTL: 9957
 Vsys: vsys1
 MD5: CC75BC57A42C1365FFC18149E42DB26
 Mobile ID: 
MDM MD5: 
Letzte Check-in-Zeit: 
Gefängnis gebrochen: 0

1-1 Aufzeichnungen angezeigt

Admin @ PA-VM (aktiv) > 
 admin @ PA-VM (Active) > 
Admin @ PA-VM (aktiv) > 
Admin @ PA-VM (Active) > 
Admin @ PA-VM (aktiv) > 
Admin @ PA-VM (Active) > -Debug-Benutzer-ID-Dump-Hip-Report-Computer hzayed-Win7-Benutzer hzayed IP 192.168.100.1

<?xml version="1.0" encoding="UTF-8"?>
<hip-report>
<md5-sum>cc75bc57a42c1365ffc18149e42db26</md5-sum> 
 <user-name>hzayed</user-name> 
 <domain>
</domain> <host-name>hzayed-Win7</host-name> 
 <host-id>0892c1cb-26ae-4467-8fa1-cf3fd818a918</host-id> 
 <ip-address>192.168.100.1</ip-address> 
 <generate-time>11/03/2016 09:36:59</generate-time>
.
. 
[Snip]
.
.         </hip-report>
 <custom-checks>
 <registry-key>
 <entry name="HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PSIS\PSIS_DECODER">
 <exist>Ja</exist> 
 
 <registry-value>
 
 <entry name="GraphFile">
 <exist></exist> 
 
  ja <value>\\psistest.GRF</value>  </entry> </registry-value> <value>
</value>  </entry> </registry-key> 
 </custom-checks> 


Admin @ PA-VM (aktiv) > 
Admin @ PA-VM (Active) >  

 

Nun, da wir überprüft, dass der Benutzer das HIP-Profil angepasst ist, können Sie bestimmte Sicherheitsregeln, die diesem Profil entsprechen konfigurieren:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Siehe auch

Konfigurieren von Hüfte nach fehlenden Patches von Microsoft

HIP Kontrollen werden nicht protokolliert und Verkehr ist zulässig, wenn HIP Übereinstimmung schlägt fehl