配置防火墙策略的挑战之一是事实
他们依赖IP地址和IP子网,而不是用户或用户组。
特别是对于提供诸如URL之类的服务的下一代防火墙
过滤,因此需要基于用户和用户组的策略
而不是IP地址。 帕洛阿尔托 UserID服务提供了映射
在用户及其使用的IP地址之间。该服务还维护一个列表
AD组并使其与AD域控制器保持同步。用户ID
代理正在使用Windows登录事件日志来标识当前使用的IP
用户。特定的安全事件记录了用户ID和IP地址
登录来自何处。 UserID代理也能够检索此
来自其他身份验证服务的信息类型,但在我们的情况下,我们将
仅使用AD登录名。由于用户可以使用
在域中,UserID代理必须轮询所有域控制器。为了
编译所需的信息后,UserID代理需要查询以下内容的权限:
AD用户及其AD组成员身份以及读取Windows的功能
与登录相关的事件的安全事件日志。

拓扑结构

帕洛阿尔托 UserID代理配置步骤

简化步骤:
  1. 创建
    用户ID代理的AD帐户。

  2. 作为代理主机的Windows服务器,配置组策略以允许
    在步骤1中配置为作为服务登录的帐户。作为登录
    也可以通过转到本地将服务仅授予本地计算机
    政策->用户权限分配-> Log 上 as a service
  3. 添加
    新帐户添加到“事件日志读取器”内置组中(因为该帐户需要
    访问安全事件日志)
  4. 分配
    对代理程序安装文件夹的帐户R / W权限。通过
    默认为C:\ Program Files(x86)\ 帕洛阿尔托 网络s。这允许
    帐户以读取和更改配置文件。

  5. 用户ID代理注册表子树的服务帐户权限:
    1. 32-bit
      系统— HKEY_LOCAL_MACHINE \ 软件 \ 帕洛阿尔托网络
    2. 64-bit
      系统-HKEY_LOCAL_MACHINE \ 软件 \ WOW6432Node \ 帕洛阿尔托 网络s
  6. 禁用
    不需要的服务帐户特权:
    1. 拒绝
      用户ID服务帐户的交互式登录
    2. 拒绝
      用户ID服务帐户的远程访问

详细步骤:

Step 1 –为该帐户创建一个AD帐户
用户ID代理。
您必须在自己的帐户中创建一个服务帐户
代理将监视的域。
1.     登录到域控制器。
2.     右键单击Windows图标 搜索 for Active Directory用户和计算机,然后启动该应用程序。
3.     在导航窗格中,打开域树,
右键点击 托管服务帐户 and select 新的用户.
(如果您的公司未将上述OU用于服务帐户,请创建
在用户OU下)
4.     输入 名字,
和 用户登录名 用户并单击 下一页.
5.     输入 密码 and 确认
密码
,然后点击 下一页 and .
用户名 – panfwagent
PW             – set
自己分享
6.      保持此帐户密码永不过期。
Step 2将帐户添加到内置组
具有访问服务的特权并托管User-ID代理
监控。
1.     右键单击刚添加的服务帐户
和 新增至群组.
2.     输入对象名称以选择 如下将帐户分配给组。
用分号分隔每个条目。
o  
事件日志阅读器 或具有以下权限的自定义组
阅读安全日志事件。如果有用户ID代理,则需要这些特权
将通过监视安全日志来收集映射信息。
o  
分布式COM用户 组,具有启动权限,
激活和使用分布式组件对象模型(DCOM)对象。
3.     检查姓名 to
验证您的输入并单击  twice.

YouTube视频:

参考文献

PA用户ID代理需要专用的AD服务帐户:
配置基于Windows的用户ID代理以进行用户映射 

通过 约翰扬

发表评论