Cómo configurar GlobalProtect para comprobación del registro personalizado en Windows

Cómo configurar GlobalProtect para comprobación del registro personalizado en Windows

84286
Created On 09/25/18 19:38 PM - Last Modified 04/21/20 00:20 AM


Resolution


GlobalProtect cliente puede comprobar máquinas Windows para los registros existentes y utilizar esta información para permitirles mayor acceso en las políticas de seguridad.

 

Sobre este ejemplo y el alcance de este artículo

-El firewall de Palo Alto Networks utilizado en este ejemplo ejecuta PAN-7.1.5, GlobalProtect 3.1.3.

-Este artículo no se aplica la configuración completa de GlobalProtect, pero cubre sólo configurar el firewall y el cliente para verificar registros, suponiendo que ya tienen GlobalProtect configurado y la conexión bien. Para la configuración de protección Global, puede consultar el siguiente documento:

https://Live.paloaltonetworks.com/T5/Configuration-articles/How-to-Configure-GlobalProtect/TA-p/58351

 

Configurar GlobalProtect para verificar que los registros

En primer lugar, ir a la máquina de Windows donde existe el registro. En este ejemplo, nos será comprobar el Registro siguiente, se destaca la información utilizada en la configuración del cortafuegos:

 

1_windows_registry. JPG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Luego, en la GUI del firewall, vaya a la red > GlobalProtect > Portals.   Haga clic en el Portal deseado y vaya a la pestaña de agente,

Haga clic en la configuración deseada:

 

2_GP_portal_config. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ir a ficha de recolección de datos, haga clic en Custom Cecks ficha, haga clic en Windows y luego haga clic en agregar:

 

3_GP_DC_config. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

En la ventana de Regirstry Key, rellene la información de clave del registro y haga clic en Aceptar:

 

4_GP_RK_config. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ahora hemos terminado con la configuración del portal, vamos a objetos > GlobalProtect > hip Objects, y haga clic en Add. En la ficha General, dar al objeto un nombre:

 

6_HIPO_config. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ir a pestaña Custom control, compruebe Custom cheques, ir a ficha clave del registro y haga clic en agregar:

 

7_HIPO_2_config. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

En la siguiente ventana, ingrese la clave del registro y haga clic en Agregar para llenar los valores:

 

8_HIPO_3_config. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Nota: cuando tiene varias claves de registro especificadas en los objetos > objetos de cadera > cheques personalizados > ficha clave del registro, siempre que pase una de las comprobaciones del registro, se consideraría una coincidencia de cadera.
 
Así que las claves del registro funcionan con una lógica de 'OR'.

 

 

Ahora, vaya a los objetos > GlobalProtect > hip perfiles, y haga clic en Agregar. Darle un nombre y añadir el objeto creado anteriormente:

 

9_HIPP_config. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Verificación de

Puede conectar al Portal, después de que el cliente está conectado, puede ver los siguientes en la ficha Estado de acogida:

 

12_GP_hoststate. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

También, en el Firewall GUI, ir a monitor > logs > partido de cadera. Usted verá un registro para igualar el registro de configuración:

 

10_HIP_report_1.png

 

También puede consultar los detalles del registro:

 

11_HIP_report_2.png

 

 

 

 

 

También puede comprobar la información de informe de cadera a través de la CLI:

 

admin @ PA-VM (activo) > Debug usuario-ID volcado hip-perfil-entrada de base 

de datos número total de hipmask en la base de datos: 2
número total de registros de cierre de sesión en la base de datos: 13
Tamaño total de la cadera informes: 1050KB usado/163840KB
 entrada: 1
 usuario: hzayed
 Computadora: HZAYED-Win7
 IP: 192.168.100.1
 TTL: 9957
 VSYS: vsys1
 MD5: cc75bc57a42c1365ffc18149e42db26
 Mobile ID: 
MDM MD5: 
última hora de registro: 
Jail Broken: 0

1-1 registros mostrados

admin @ PA-VM (activo) > 
 admin @ PA-VM (activo) > admin @ 
PA-VM (activo) > admin @ 
PA-VM (activo) > 
admin @ PA-VM (activo) > 
admin @ PA-VM (activo) > Debug User-ID volcado hip-REport Computer HZAYED-Win7 usuario HZAYED IP 192.168.100.1

<?xml version="1.0" encoding="UTF-8"?>
<hip-report>
<md5-sum>cc75bc57a42c1365ffc18149e42db26</md5-sum> 
 <user-name></user-name> 
 hzayed <domain>
</domain> <host-name>hzayed-Win7</host-name> 
 <host-id>0892c1cb-26ae-4467-8fa1-cf3fd818a918</host-id> 
 <ip-address>192.168.100.1</ip-address> 
 <generate-time>11/03/2016 09:36:59</generate-time>
.
. 
[SNIP]
.
.         </hip-report>
 <custom-checks>
 <registry-key>
 <entry name="HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PSIS\PSIS_DECODER">
 <exist></exist> 
 sí <value>
</value> <registry-value>
 <entry name="GraphFile">
 <exist>sí</exist> 
 <value></value> \\psistest.GRF
   </entry> 
 </registry-value> 
  </entry> </registry-key> 
 </custom-checks> 


admin @ PA-VM (activo) > 
admin @ PA-VM (activo) >

 

Ahora que verificamos que el usuario es emparejar el perfil de cadera, puede configurar reglas de seguridad específicas coincidencia este perfil:

 

13_SR_HIP. PNG

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Véase también

Cómo configurar la cadera para que faltan parches de Microsoft

Comprobaciones de cadera no se registran y se permite el tráfico cuando partido de cadera no

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbKCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language