Segurança : Cisco Firepower Management Center

O início de uma sessão a um desktop remoto que usa o RDP muda o usuário associado a um endereço IP de Um ou Mais Servidores Cisco ICM NT

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

 

Introdução

Se você registra em um host remoto usando o protocolo do Desktop remoto (RDP), e o nome de usuário remoto é diferente do que seu usuário, alterações de sistema de FireSIGHT o endereço IP de Um ou Mais Servidores Cisco ICM NT do usuário que é associado com seu endereço IP de Um ou Mais Servidores Cisco ICM NT no centro de gerenciamento de FireSIGHT. Causa a mudança nas permissões para o usuário com relação às regras do controle de acesso. Você observará que o usuário incorreto está associado com a estação de trabalho. Este documento fornece uma solução para esta edição.

 

Contribuído por Nazmul Rajib, Lipkey adotivo, engenheiros de TAC da Cisco.

Pré-requisitos

Cisco recomenda que você tem o conhecimento no sistema e no agente de usuário de FireSIGHT.

Nota: As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Causa de raiz

 

Esta edição ocorre devido aos logs ativos de Microsoft Directory(AD) da maneira as tentativas de autenticação RDP que à Segurança de Windows entram o controlador de domínio. O AD registra a tentativa de autenticação para a sessão RDP contra o endereço IP de Um ou Mais Servidores Cisco ICM NT do host de origem um pouco do que o valor-limite que RDP você está conectando a. Se você está registrando no host remoto com uma conta de usuário diferente, esta mudará o usuário associado com o endereço IP de Um ou Mais Servidores Cisco ICM NT da sua estação de trabalho original.

 

Verificação

 

Para verificar isto é o que está ocorrendo, você pode verificar que o endereço IP de Um ou Mais Servidores Cisco ICM NT do evento do fazer logon de sua estação de trabalho original e o host remoto RDP têm o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT.

Para encontrar estes eventos, você precisará de seguir as etapas abaixo:

Passo 1: Determine o controlador de domínio que você hospeda está autenticando contra:

Execute o seguinte comando:

 

nltest /dsgetdc:<windows.domain.name>

Saídas de exemplo:

C:\Users\WinXP.LAB>nltest /dsgetdc:support.lab
DC: \\Win2k8.support.lab
Address: \\192.X.X.X
Dom Guid: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Dom Name: support.lab
Forest Name: support.lab
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST
CLOSE_SITE FULL_SECRET WS 0x4000
The command completed successfully

A linha que começa o “DC: ” seja o nome do controlador de domínio e a linha que os começos “endereçam: ” o endereço IP de Um ou Mais Servidores Cisco ICM NT.

Passo 2: Usando o log RDP no controlador de domínio identificado em etapa 1

Passo 3: Vá ao Iniciar > Ferramentas Administrativas > ao visualizador de eventos.

Passo 4: A broca para baixo a Windows registra o > segurança.

Passo 5: O filtro para o endereço IP de Um ou Mais Servidores Cisco ICM NT de sua estação de trabalho clicando o log atual do filtro, clicando a aba XML, e clicando edita a pergunta.

Passo 6: Incorpore a seguinte pergunta XML, substituindo seu endereço IP de Um ou Mais Servidores Cisco ICM NT para < o endereço IP de Um ou Mais Servidores Cisco ICM NT >

 

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='IpAddress'] and(Data='<IP address>')]]
</Select>
</Query>
</QueryList>

Passo 7: Clique sobre o evento do fazer logon e clique sobre a aba dos detalhes.

Um exemplo de saída:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{XXXXXXXX-XXX-XXXX-XXX-XXXXXXXXXXXX}"/>
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-07-22T20:35:12.750Z" />
<EventRecordID>4130857</EventRecordID>
<Correlation />
<Execution ProcessID="576" ThreadID="704" />
<Channel>Security</Channel>
<Computer>WIN2k8.Support.lab</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXXX</Data>
<Data Name="TargetUserName">WINXP-SUPLAB$</Data>
<Data Name="TargetDomainName">SUPPORT</Data>
<Data Name="TargetLogonId">0x13c4101f</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName" />
<Data Name="LogonGuid">{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.0.2.10</Data>
<Data Name="IpPort">2401</Data>
</EventData>

Termine estas mesmas etapas após a abertura através do RDP e você observará que você receberá um outro evento do fazer logon (ID do evento 4624) com o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT como mostrado pela seguinte linha dos dados do evento XML do fazer logon do fazer logon original:

<Data Name="IpAddress">192.x.x.x</Data>

Solução

Para abrandar esta edição, se você está usando o 2.1 do agente de usuário ou acima, você pode excluir todas as contas que você for faz4e-lo
está usando-se primeiramente para o RDP na configuração de agente de usuário.


Passo 1: Log no host do agente de usuário.

Passo 2: Lance a interface do utilizador do agente de usuário.

Passo 3: Clique sobre a aba excluída dos nomes de usuário.

Passo 4: Incorpore todos os nomes de usuário que você deseja excluir.

Passo 5: Clique em Salvar.

Os usuários inscritos nesta lista não gerenciem eventos do fazer logon no centro de gerenciamento de FireSIGHT e não devem ser
associado aos endereços IP de Um ou Mais Servidores Cisco ICM NT.



Document ID: 118055