帕洛阿尔托网络用户 ID 代理在使用 RDP 时看到什么登录凭据?

帕洛阿尔托网络用户 ID 代理在使用 RDP 时看到什么登录凭据?

58475
Created On 09/25/18 19:48 PM - Last Modified 10/15/19 14:50 PM


Resolution


问题

用户希望从他们登录的设备执行 RDP 会话, 到需要远程访问的设备上。

 

详细

用户 ID 代理 (软件或硬件) 捕获用于对远程桌面窗口进行身份验证的登录用户。

下面显示的是示例方案中的过程说明:

  • User1 登录到10.10.10.10。
  • 在身份验证期间, 将在域控制器上生成安全日志。
  • UI 代理拾取日志, 防火墙创建 user1 的映射--->> 10.10.10.10
  • 用户 user1 创建一个 RDP 会话到10.10.20.20
  • 用户对用户进行身份验证 user_admin
  • 在身份验证期间, 将为来自 10.10.10.10 IP 地址的用户 user_admin 创建一个登录事件,
  • 此事件创建 user_admin----10.10.10.10 的映射,
  • 由于防火墙只能为一个 IP 地址保存一个映射, 因此用户会更改10.10.10.10 的映射。
  • 当用户从10.10.20.20 的远程会话断开连接时, 由于不将注销事件中继到用户 ID 进程, 映射 user_admin----10.10.10.10 在防火墙上保持有效, 因此如果有一个使用 user1 作为引用的策略, 则策略将被忽略。

 

此行为是由设计造成的, 因为它只从 windows 域控制器中继到登录日志, 所以最后一个登录事件停留在 IP 用户映射表中。

 

解决方法

要变通解决此问题, 用户有两个选项:

  1. 使用相同的帐户创建 RDP 会话 (user1)。
  2. 如果需要管理帐户来升级权限 (user_admin), 则将该用户添加到排除列表中。

 

所有者: ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleBCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language