どのようなログイン資格情報は、パロアルトネットワークのユーザー ID エージェントは、RDP を使用して参照してください?

どのようなログイン資格情報は、パロアルトネットワークのユーザー ID エージェントは、RDP を使用して参照してください?

58479
Created On 09/25/18 19:48 PM - Last Modified 10/15/19 14:50 PM


Resolution


問題

ユーザーは、ログオンしているデバイスからリモートアクセスする必要があるデバイスへの RDP セッションを実行したいと考えています。

 

詳細

ユーザー ID エージェント (ソフトウェアまたはハードウェア) は、リモートデスクトップウィンドウへの認証に使用されるログオンユーザーをキャプチャします。

次に示すのは、シナリオ例のプロセスの説明です。

  • User1 が10.10.10.10 にログオンしています。
  • 認証時には、ドメインコントローラ上にセキュリティログが生成されます。
  • UI エージェントによってログが取得され、ファイアウォールによって user1---> 10.10.10.10 のマッピングが作成されます。
  • ユーザー user1 は、10.10.20.20 への RDP セッションを作成します。
  • ユーザーはユーザー user_admin を使用して認証します。
  • 認証時に、10.10.10.10 IP アドレスからのユーザー user_admin に対してログオンイベントが作成され、
  • このイベントは、user_admin----> 10.10.10.10 のマッピングを作成し、
  • ファイアウォールは1つの IP アドレスに対して1つのマッピングしか保持できないため、ユーザーは10.10.10.10 のマッピングを変更します。
  • ユーザーが10.10.20.20 のリモートセッションから切断すると、ログオフイベントはユーザー ID プロセスに中継されないため、マッピング user_admin----> 10.10.10.10 はファイアウォールで有効なままになるため、user1 を参照として使用しているポリシーがある場合は、そのポリシーが失われます。

 

この動作は仕様であり、windows ドメインコントローラからのみログオンログに中継されるため、最後のログオンイベントは IP ユーザーマッピングテーブルに残ります。

 

回避策

この現象を回避するには、次の2つのオプションがあります。

  1. 同じアカウントを使用して、RDP セッション (user1) を作成します。
  2. 特権 (user_admin) をエスカレートするために管理者アカウントが必要な場合は、そのユーザーを除外リストに追加します。

 

所有者: ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleBCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language