如何为自定义注册表检查对 Windows 配置 GlobalProtect

使用 GlobalProtect 客户端，您可以检查 Windows 机器现有登记册和使用此信息来进一步允许他们访问的安全策略。

 

有关此示例和本文的讨论范围

-在此示例中使用帕洛阿尔托网络防火墙正在运行潘-OS 7.1.5，GlobalProtect 3.1.3。

-这篇文章并不包括全配置的 GlobalProtect，但涵盖了只有将防火墙配置和客户端进行检查登记册，假设你已经有 GlobalProtect 配置和连接好。有关配置全球保护，你可以请参阅以下文档︰

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect/ta-p/58351

 

配置 GlobalProtect 检查登记册

首先，转到 Windows 机器的注册表存在的地方。在此示例中，我们将检查以下注册表，强调了在防火墙配置中使用的信息︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

然后, 在防火墙 GUI 中, 转到网络 >> GlobalProtect > 门户网站.   单击所需的门户，并转到代理选项卡，

单击所需的配置︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

转到数据集选项卡上，单击自定义 Cecks 选项卡上，在 Windows 上，单击，然后单击添加上︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

在 Regirstry 密钥窗口中，填写注册表项信息，并单击确定:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

现在我们完成了门户配置, 转到对象 >> GlobalProtect >> 臀部对象, 并单击添加. 在常规选项卡，给该对象的名称︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

转到自定义检查的选项卡，检查自定义检查、转到注册表项选项卡，并单击添加︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

在下一个窗口中，输入该注册表项，然后点击添加填充的值︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

注意:当您在对象中指定了多个注册表项>> 臀部对象 >> 自定义检查 >> 注册表项选项卡, 只要一个注册表检查通过, 它将被认为是臀部匹配.
 
注册表项工作因此 'OR' 逻辑。

 

 

现在, 转到对象 >> GlobalProtect > 髋关节配置文件, 并单击添加. 给它一个名称并添加先前创建的对象︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

验证

您现在可以连接到门户网站，客户端连接后，您可以看到以下在主机状态选项卡︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

另外, 在防火墙 GUI 中, 转到监视器 > 日志 > 臀部匹配. 您将看到日志中的有匹配配置的注册表︰

 

 

您还可以检查日志详细信息︰

 

 

 

 

 

 

您还可以通过 CLI 的髋关节报告信息︰

 

admin@PA-VM (活动) >>调试用户 id 转储臀部剖面-数据库输入数据库

中的 hipmask 总数: 2 数据库中
注销记录的总数:13
髋部报告的总大小: 1050KB 使用/163840KB
输入: 1
用户: hzayed
计算机: HZAYED-WIN7
 IP: 192.168.100.1
 TTL: 9957
 VSYS: vsys1
 MD5: cc75bc57a42c1365ffc18149e42db26
移动 ID: 
MDM MD5:
上次签入时间:
监狱中断: 0

1-1 记录显示

admin@PA-VM (活动) > 
admin@PA-vm (活动) > 
admin@PA-vm (活动) > 
admin@PA-vm (活动) > 
admin@PA vm (活动) > 
admin@PA-vm (活动) >>调试用户 id 转储髋关节报告计算机 HZAYED-WIN7 用户 HZAYED ip 192.168.100。1

<?xml version="1.0" encoding="UTF-8"?>
<hip-report>
<md5-sum>cc75bc57a42c1365ffc18149e42db26</md5-sum>
 <user-name></user-name> 
 hzayed <domain>
</domain> <host-name>HZAYED-WIN7</host-name> 
 <host-id>0892c1cb-26 ae-4467-8fa1-cf3fd818a918</host-id> 
 <ip-address>192.168.100.1</ip-address> 
 <generate-time>11/03/2016 09:36:59</generate-time>
.

[剪下
]
 .        </hip-report>
 <custom-checks>
 <registry-key>
 <entry name="HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PSIS\PSIS_DECODER">
<exist>是</exist>
 
 <registry-value>
 <entry name="GraphFile">
 <exist></exist> 
啊 \n <value>psistest</value> grf
   </entry> 
 </registry-value> <value>
</value>  </entry> </registry-key> 
 </custom-checks>


admin@PA-vm (活动) > 
admin@PA-vm (活动) >  

 

现在，我们已验证用户匹配的髋关节的配置文件，您可以配置特定安全规则匹配此配置文件︰

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

请参见

如何配置髋关节缺少 Microsoft 修补程序

髋关节检查未登录和髋关节匹配失败时，允许把交通