Welche Login-Berechtigungen sieht Palo Alto Networks User-ID Agent bei der Verwendung von RDP?

Welche Login-Berechtigungen sieht Palo Alto Networks User-ID Agent bei der Verwendung von RDP?

58483
Created On 09/25/18 19:48 PM - Last Modified 10/15/19 14:50 PM


Resolution


Problem

Der Benutzer möchte eine RDP-Session von dem Gerät aus, auf dem er angemeldet ist, auf ein Gerät durchführen, das aus der Ferne abgerufen werden muss.

 

Details

Der User-ID-Agent (Software oder Hardware) erfasst den Logon-Benutzer, der verwendet wird, um sich am entfernten Desktop-Fenster zu authentifizieren.

Im folgenden ist eine Erklärung des Prozesses in einem Beispielszenario:

  • User1 ist auf der 10.10.10.10 angemeldet.
  • Während der Authentifizierung wird ein Sicherheitsprotokoll auf dem Domain-Controller generiert.
  • Der UI-Agent nimmt die Protokolle auf und die Firewall erstellt die Kartierung von User1---> 10.10.10.10
  • User user1 erstellt eine RDP-Session zum 10.10.20.20
  • Der Benutzer authentifiziert sich mit dem Benutzer User_admin
  • Während der Authentifizierung wird eine Logon-Veranstaltung für den Benutzer erstellt User_admin die von der 10.10.10.10-IP-Adresse kommt,
  • Dieses Ereignis erstellt die Kartierung von User_admin----> 10.10.10.10,
  • Da die Firewall nur ein Mapping für eine IP-Adresse halten kann, ändert der Benutzer die Kartierung für die 10.10.10.10.
  • Wenn sich der Benutzer von der entfernten Sitzung von 10.10.20.20 trennt, da die Anmelde Ereignisse nicht an den User-ID-Prozess weitergeleitet werden, bleibt das Mapping User_admin----> 10.10.10.10 auf der Firewall gültig, so dass, wenn es eine Richtlinie gibt, die die user1 als Referenz verwendet, Politik wird verfehlt.

 

Dieses Verhalten ist durch das Design, und da es auf den Logon-Protokollen nur vom Windows-Domain-Controller weitergegeben wird, bleibt das letzte Logon-Ereignis in der IP-User-Mapping-Tabelle.

 

Dieses Problem zu umgehen

Um dieses Verhalten zu umgehen, haben die Nutzer zwei Möglichkeiten:

  1. Verwenden Sie das gleiche Konto, um die RDP-Session zu erstellen (User1).
  2. Wenn ein administratives Konto benötigt wird, um Privilegien zu eskalieren (User_admin), dann fügen Sie diesen Benutzer in eine Ausschlussliste ein.

 

Besitzer: Ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleBCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language