Quelles informations d'identification de connexion ne Palo Alto réseaux User-ID agent voir lors de L'utilisation de RDP?

Quelles informations d'identification de connexion ne Palo Alto réseaux User-ID agent voir lors de L'utilisation de RDP?

58477
Created On 09/25/18 19:48 PM - Last Modified 10/15/19 14:50 PM


Resolution


Demande client

L'utilisateur souhaite effectuer une session RDP à partir du périphérique sur lequel il est connecté, à un périphérique qui doit être accédé à distance.

 

Détails

L'Agent d'ID utilisateur (logiciel ou matériel) capture l'utilisateur d'ouverture de session qui est utilisé pour s'authentifier dans la fenêtre Bureau à distance.

Ci-dessous est une explication du processus dans un exemple de scénario:

  • User1 est connecté sur le 10.10.10.10.
  • Pendant l'authentification, un journal de sécurité est généré sur le contrôleur de domaine.
  • L'agent d'interface utilisateur récupère les journaux et le pare-feu crée le mappage de User1---> 10.10.10.10
  • L'Utilisateur User1 crée une session RDP dans le 10.10.20.20
  • L'utilisateur s'authentifie auprès de l'utilisateur user_admin
  • Pendant l'authentification, un événement d'ouverture de session est créé pour l'utilisateur user_admin provenant de l'adresse IP 10.10.10.10,
  • Cet événement crée le mappage de user_admin----> 10.10.10.10,
  • Étant donné que le pare-feu ne peut contenir qu'un seul mappage pour une adresse IP, l'utilisateur modifie le mappage pour le 10.10.10.10.
  • Lorsque l'utilisateur se déconnecte de la session distante de 10.10.20.20, puisque les événements de déconnexion ne sont pas relayés au processus d'ID utilisateur, le mappage user_admin----> 10.10.10.10 reste valide sur le pare-feu, donc si une stratégie utilise l'utilisateur1 comme référence, cela politique sera manquée.

 

Ce comportement est par conception, et comme il est relais sur les journaux d'ouverture de session uniquement à partir du contrôleur de domaine Windows, le dernier événement d'ouverture de session reste dans la table de mappage utilisateur IP.

 

Pour résoudre ce problème

Pour contourner ce problème, les utilisateurs ont deux options:

  1. Utilisez le même compte pour créer la session RDP (Utilisateur1).
  2. Si un compte d'administration est nécessaire pour escalader les privilèges (user_admin), ajoutez cet utilisateur à une liste d'exclusion.

 

propriétaire : ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleBCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language