Comment configurer GlobalProtect pour la vérification du Registre personnalisé sous Windows

À l’aide de GlobalProtect client, vous pouvez vérifier les machines Windows pour les registres existants et utiliser cette information pour plus de leur donner accès aux politiques de sécurité.

 

Sur cet exemple et le champ d’application du présent article

-Le pare-feu de Palo Alto Networks utilisé dans cet exemple s’exécute PAN-OS 7.1.5, GlobalProtect 3.1.3.

-Cet article ne couvre pas la configuration complète de GlobalProtect, mais couvre seulement configuration du pare-feu et le client pour vérifier les registres, en supposant que vous déjà avez GlobalProtect configurée et la connexion très bien. Pour la configuration globale de protéger, vous pouvez consulter le document suivant :

https://Live.paloaltonetworks.com/T5/configuration-Articles/How-to-configure-GlobalProtect/ta-p/58351

 

GlobalProtect pour vérifier les registres de configuration

Tout d’abord, allez à l’ordinateur Windows où l’enregistrement existe. Dans cet exemple, nous vérifierons le Registre suivant, les informations utilisées dans la configuration du pare-feu sont mis en surbrillance :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ensuite, dans l'interface utilisateur du pare-feu, accédez au réseau > GlobalProtect > portails.   Cliquez sur le portail désiré et allez dans l’onglet Agent,

Cliquez sur la configuration désirée :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Allez à l’onglet de la collecte de données, cliquez sur Custom Cecks onglet, cliquez sur Windows et puis cliquez sur Ajouter :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dans la fenêtre de Regirstry Key, renseignez les informations de clé de Registre, puis cliquez sur OK :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Maintenant, nous avons terminé avec la configuration du portail, allez à objets > GlobalProtect > hip objets, et cliquez sur Ajouter. Dans l’onglet général, donner un nom à l’objet :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Allez à l’onglet chèques personnalisés, consultez chèques personnalisés, allez dans l’onglet de la clé de Registre et cliquez sur Ajouter :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dans la fenêtre suivante, entrez la clé de Registre et cliquez sur Ajouter pour remplir les valeurs :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Remarque: lorsque vous avez plusieurs clés de Registre spécifiées dans les objets > hip objets > contrôles personnalisés > onglet clé de Registre, aussi longtemps que L'un des chèques de Registre passe, il serait considéré comme un match de la hanche.
 
Si les clés de Registre fonctionnent avec une logique de « OR ».

 

 

Maintenant, allez à objets > GlobalProtect > profils de la hanche, et cliquez sur Ajouter. Donnez-lui un nom et ajoutez l’objet précédemment créé :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Vérification

Vous pouvez désormais vous connecter sur le portail, après que le client est connecté, vous pouvez voir les éléments suivants dans l’onglet Etat hôte :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

En outre, dans l'INTERFACE utilisateur du pare-feu, allez à surveiller > logs > hip match. Vous verrez un journal pour faire correspondre le registre configuré :

 

 

Vous pouvez également consulter les détails du journal :

 

 

 

 

 

 

Vous pouvez également vérifier les informations du rapport hanche par le biais de la CLI :

 

admin @ PA-VM (active) > Debug User-ID dump hip-profil-entrée de base de données 

nombre total de hipmask dans la base de données: 2
nombre total d'enregistrements de déconnexion dans la base de données: 13
taille totale des rapports hip: 1050KB occasion/163840KB
 entrée: 1
 utilisateur: hzayed
 Ordinateur: HZAYED-WIN7
 IP: 192.168.100.1
 TTL: 9957
 VSYS: vsys1
 MD5: CC75BC57A42C1365FFC18149E42DB26
 Mobile ID: 
MDM MD5: 
Last checkin Time: 
prison Broken: 0

1-1 dossiers affichés

admin @ PA-VM (active) > 
 admin @ PA-VM (active) > 
admin @ PA-VM (active) > 
admin @ PA-VM (active) > 
admin @ PA-VM (active) > 
admin @ PA-VM (active) > Debug User-ID dump hip-rapport ordinateur HZAYED-Win7 utilisateur HZAYED IP 192.168.100.1

<?xml version="1.0" encoding="UTF-8"?>
<hip-report>
<md5-sum>cc75bc57a42c1365ffc18149e42db26</md5-sum> 
 <user-name></user-name> 
 hzayed <domain>
</domain> <host-name>hzayed-Win7</host-name> 
 <host-id>0892c1cb-26ae-4467-8fa1-cf3fd818a918</host-id> 
 <ip-address>192.168.100.1</ip-address> 
 <generate-time>11/03/2016 09:36:59</generate-time>
.
. 
[Snip]
.
.         </hip-report>
 <custom-checks>
 <registry-key>
 <entry name="HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PSIS\PSIS_DECODER">
 <exist></exist> 
 Oui <value>
</value> <registry-value>
 <entry name="GraphFile">
 <exist>Oui</exist> 
 <value></value> \\psistest.GRF
   </entry> 
 </registry-value> 
  </entry> </registry-key> 
 </custom-checks> 


admin @ PA-VM (active) > 
admin @ PA-VM (active) >  

 

Maintenant que nous avons vérifié que l’utilisateur fait correspondre le profil de hanche, vous pouvez configurer des règles de sécurité spécifiques correspondant à ce profil :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Voir aussi

Comment configurer la hanche pour les correctifs manquants de Microsoft

Vérifications de la hanches ne sont pas consignées et le trafic est autorisé lorsque HIP correspondance échoue