安全 : Cisco Firepower Management Center

一远程桌面的洛金使用RDP更改用户关联对IP地址

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

 

简介

如果登录使用远程桌面协议(RDP)的远程主机,并且远程用户名跟您的用户不同, FireSIGHT系统更改关联与您的在FireSIGHT管理中心的IP地址用户的IP地址。它关于访问控制规则引起在权限上的变化用户的。您注意不正确用户关联与工作站。本文为此问题提供解决方案。

 

贡献用Nazmul Rajib,养育Lipkey, Cisco TAC工程师。

先决条件

思科建议您有在FireSIGHT系统和用户代理的知识。

注意:本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

根本原因

 

此问题发生由于对Windows安全的认证尝试注册域控制器的方式Microsoft活动Directory(AD)日志RDP。AD记录RDP会话的认证尝试源主机IP地址而不是您连接的RDP终端。如果登录有不同的用户帐户的远程主机,这将更改用户关联与您的原始工作站IP地址。

 

验证

 

要验证此是什么发生,您能验证从登录事件的IP地址从您的原始工作站和RDP远程主机有同样IP地址。

要查找这些事件,您将需要遵从下面的步骤:

步骤 1:确定您主机验证的域控制器:

运行以下命令:

 

nltest /dsgetdc:<windows.domain.name>

示例输出:

C:\Users\WinXP.LAB>nltest /dsgetdc:support.lab
DC: \\Win2k8.support.lab
Address: \\192.X.X.X
Dom Guid: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Dom Name: support.lab
Forest Name: support.lab
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST
CLOSE_SITE FULL_SECRET WS 0x4000
The command completed successfully

开始“DC:的线路”将是开始“地址域控制器和线路的名称:” IP地址。

步骤 2:使用RDP请登录在Step1识别的域控制器

步骤 3:Start > Administrative Tools > Event Viewer

步骤 4:下来查询对Windows日志> Security

步骤 5:您的工作站的IP地址的过滤器通过单击过滤器当前日志,单击XML选项卡和单击编辑查询。

步骤 6:参与以下XML查询,替代您的IP地址用< IP地址>

 

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='IpAddress'] and(Data='<IP address>')]]
</Select>
</Query>
</QueryList>

步骤 7:点击登录事件并且点击详细信息选项卡

一个输出示例:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{XXXXXXXX-XXX-XXXX-XXX-XXXXXXXXXXXX}"/>
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-07-22T20:35:12.750Z" />
<EventRecordID>4130857</EventRecordID>
<Correlation />
<Execution ProcessID="576" ThreadID="704" />
<Channel>Security</Channel>
<Computer>WIN2k8.Support.lab</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXXX</Data>
<Data Name="TargetUserName">WINXP-SUPLAB$</Data>
<Data Name="TargetDomainName">SUPPORT</Data>
<Data Name="TargetLogonId">0x13c4101f</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName" />
<Data Name="LogonGuid">{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.0.2.10</Data>
<Data Name="IpPort">2401</Data>
</EventData>

在登陆以后完成这些同样步骤通过RDP,并且您注意您将接收另一个登录事件(事件ID 4624)用IP地址和显示一样由从登录事件XML数据的以下线路从原始登录:

<Data Name="IpAddress">192.x.x.x</Data>

解决方案

要缓和此问题,如果使用用户代理2.1以上,您能排除您的所有帐户
使用主要RDP在用户代理配置里。


步骤 1:登录用户代理主机。

步骤 2:启动用户代理用户界面。

步骤 3:点击不包括用户名选项卡。

步骤 4:输入您希望排除的所有用户名。

步骤 5:单击 Save

在此列表输入的用户不生成在FireSIGHT管理中心的登录事件并且不将是
关联对IP地址。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118055