¿Qué credenciales de inicio de sesión de Palo Alto Networks User-ID ver al usar RDP?

¿Qué credenciales de inicio de sesión de Palo Alto Networks User-ID ver al usar RDP?

58485
Created On 09/25/18 19:48 PM - Last Modified 10/15/19 14:50 PM


Resolution


Incidencia

El usuario desea realizar una sesión RDP desde el dispositivo en el que se ha iniciado la sesión, hasta un dispositivo al que se debe acceder de forma remota.

 

Detalles

El agente de ID de usuario (software o hardware) captura el usuario de inicio de sesión que se utiliza para autenticar en la ventana del escritorio remoto.

A continuación se muestra una explicación del proceso en un escenario de ejemplo:

  • User1 se registra en el 10.10.10.10.
  • Durante la autenticación, se genera un registro de seguridad en el controlador de dominio.
  • El agente de UI recoge los logs y el Firewall crea el mapeo de user1---> 10.10.10.10
  • El usuario user1 crea una sesión RDP en el 10.10.20.20
  • El usuario autentica con el usuario user_admin
  • Durante la autenticación, se crea un evento de inicio de sesión para el usuario user_admin que procede de la dirección IP de 10.10.10.10,
  • Este evento crea el mapeo de user_admin----> 10.10.10.10,
  • Dado que el cortafuegos sólo puede contener una asignación para una dirección IP, el usuario cambia la asignación para el 10.10.10.10.
  • Cuando el usuario se desconecta de la sesión remota de 10.10.20.20, dado que los eventos de desconexión no se retransmiten al proceso de ID de usuario, la asignación user_admin----> 10.10.10.10 permanece válida en el cortafuegos, por lo que si hay una directiva que utiliza el user1 como referencia, la póliza se omitirá.

 

Este comportamiento es por diseño y, puesto que se está retransmitiendo en los registros de inicio de sesión sólo desde el controlador de dominio de Windows, el último evento de inicio de sesión permanece en la tabla de asignación de usuarios IP.

 

Solución alternativa

Para trabajar en torno a este comportamiento, los usuarios tienen dos opciones:

  1. Utilice la misma cuenta para crear la sesión RDP (user1).
  2. Si se necesita una cuenta administrativa para escalar privilegios (user_admin), agregue ese usuario a una lista de exclusiones.

 

Propietario: ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleBCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language