どのようなログイン資格情報は、パロアルトネットワークのユーザー ID エージェントは、RDP を使用して参照してください?

問題

ユーザーは、ログオンしているデバイスからリモートアクセスする必要があるデバイスへの RDP セッションを実行したいと考えています。

詳細

ユーザー ID エージェント (ソフトウェアまたはハードウェア) は、リモートデスクトップウィンドウへの認証に使用されるログオンユーザーをキャプチャします。

次に示すのは、シナリオ例のプロセスの説明です。

• User1 が10.10.10.10 にログオンしています。
• 認証時には、ドメインコントローラ上にセキュリティログが生成されます。
• UI エージェントによってログが取得され、ファイアウォールによって user1---> 10.10.10.10 のマッピングが作成されます。
• ユーザー user1 は、10.10.20.20 への RDP セッションを作成します。
• ユーザーはユーザー user_admin を使用して認証します。
• 認証時に、10.10.10.10 IP アドレスからのユーザー user_admin に対してログオンイベントが作成され、
• このイベントは、user_admin----> 10.10.10.10 のマッピングを作成し、
• ファイアウォールは1つの IP アドレスに対して1つのマッピングしか保持できないため、ユーザーは10.10.10.10 のマッピングを変更します。
• ユーザーが10.10.20.20 のリモートセッションから切断すると、ログオフイベントはユーザー ID プロセスに中継されないため、マッピング user_admin----> 10.10.10.10 はファイアウォールで有効なままになるため、user1 を参照として使用しているポリシーがある場合は、そのポリシーが失われます。

この動作は仕様であり、windows ドメインコントローラからのみログオンログに中継されるため、最後のログオンイベントは IP ユーザーマッピングテーブルに残ります。

回避策

この現象を回避するには、次の2つのオプションがあります。

1. 同じアカウントを使用して、RDP セッション (user1) を作成します。
2. 特権 (user_admin) をエスカレートするために管理者アカウントが必要な場合は、そのユーザーを除外リストに追加します。

所有者: ialeksov