Mapeamentos de usuário para IP não aparecem mais no Cisco CDA após março de 2017 Microsoft Update

Opções de download

  • PDF     (210.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (131.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (137.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de abril de 2017
ID do documento:210535

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como resolver o problema da atualização de segurança da Microsoft de março de 2017, que interrompe a funcionalidade do CDA, por exemplo: Os mapeamentos de usuário não aparecem mais no SWT Context Diretory Agent (CDA).

Informações de Apoio

O Cisco CDA confia no preenchimento da ID de evento 4768 em todas as versões dos controladores de domínio do Windows 2008 e 2012. Esses eventos indicam eventos de logon de usuário bem-sucedidos. Se os eventos de login bem-sucedidos não estiverem sendo auditados na política de segurança local ou se essas IDs de evento não forem preenchidas por qualquer outro motivo, as consultas WMI do CDA para esses eventos não retornarão nenhum dado. Como resultado, os mapeamentos de usuário não serão criados no CDA e, portanto, as informações de mapeamento de usuário não serão enviadas do CDA para o Adaptive Security Appliance (ASA). Nos casos em que os clientes estão utilizando políticas baseadas em grupo ou em usuário do AD no Cloud Web Security (CWS), as informações do usuário não aparecem na saída whoami.scansafe.net

Nota:Isso não afeta o Firepower User Agent (UA), pois ele aproveita o ID de evento 4624 para criar mapeamentos de usuário e esse tipo de evento não é afetado por essa atualização de segurança.

Problema: Mapeamentos de usuário para IP não aparecem mais no Cisco CDA após março de 2017 Microsoft Update

Uma atualização de segurança recente da Microsoft causou problemas em vários ambientes de clientes em que seus controladores de domínio param de registrar essas IDs de evento 4768.  Os KBs ofensivos estão listados abaixo:

KB4012212 (2008) / KB4012213 (2012)
KB4012215 (2008) / KB4012216 (2012)


Para confirmar se esse problema não está na configuração de registro no Controlador de domínio, verifique se o registro de auditoria apropriado está habilitado na Diretiva de Segurança Local.  Os itens em negrito nesta saída abaixo devem ser ativados para o registro correto de 4768 IDs de eventos. Isso deve ser executado a partir do prompt de comando de cada DC que não esteja registrando eventos:

C:\Users\Administrator>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure

...output truncated...

Account Logon
  Kerberos Service Ticket Operations      Success and Failure
  Other Account Logon Events              Success and Failure
  Kerberos Authentication Service         Success and Failure
  Credential Validation                   Success and Failure

C:\Users\Administrator>

Se você vir que o registro de auditoria correto não está configurado, navegue para Diretiva de Segurança Local > Configurações de Segurança > Políticas Locais > Política de Auditoria e certifique-se de que Auditoria de eventos de logon de conta esteja definida como Êxito, como mostrado na imagem:

Possíveis soluções alternativas

(Atualizado em 31/03/2017)

Como solução alternativa atual, alguns usuários puderam desinstalar os KBs mencionados acima e os IDs de evento 4768 retomaram o registro. Isso tem se mostrado eficaz para todos os clientes da Cisco até agora.

A Microsoft também forneceu a solução a seguir para alguns clientes que estão enfrentando esse problema, como visto nos fóruns de suporte.  Observe que isso ainda não foi totalmente testado ou verificado nos laboratórios da Cisco:

As quatro políticas de auditoria que você precisa ativar como solução alternativa para o bug estão em Computador Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Logon. Todas as quatro políticas sob esse cabeçalho devem ser habilitadas para Êxito e Falha:


Validação de credenciais de auditoria
Serviço de Autenticação Kerberos de Auditoria
Auditoria de operações de tíquete de serviço Kerberos
Auditoria de outros eventos de login da conta


Ao habilitar essas quatro políticas, você deve começar a ver os eventos 4768/4769 Success novamente.

Consulte a imagem acima que mostra Advanced Audit Policy Configuration na parte inferior do painel esquerdo.

Solução

A partir da data desta publicação inicial (28/03/2017), ainda não sabemos de uma correção permanente da Microsoft. No entanto, eles estão cientes desse problema e trabalhando em uma solução.  

Há vários processos rastreando esse problema:

Reddit:

https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/

UltimateWindowsSecurity.com:

http://forum.ultimatewindowssecurity.com/Topic7340-276-1.aspx

Microsoft TechNet:

https://social.technet.microsoft.com/Forums/systemcenter/en-US/4136ade9-d287-4a42-b5cb-d6042d227e4f/kb4012216-issue-with-event-id-4768?forum=winserver8gen

Este documento é atualizado à medida que mais informações ficam disponíveis ou se a Microsoft anunciar uma correção permanente para este problema.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
08-Apr-2017
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Kevin Klous
    Cisco TAC Engineer
  • Jeff Richmond
    Cisco TAC Engineer

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos