Seguridad : Cisco Firepower Management Center

El login a un escritorio remoto usando el RDP cambia al usuario asociado a una dirección IP

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

 

Introducción

Si usted registra en un host remoto que usa el protocolo del Escritorio Remoto (RDP), y el nombre de usuario remoto es diferente que su usuario, los sistemas cambia de FireSIGHT la dirección IP del usuario que se asocia a su dirección IP en el centro de administración de FireSIGHT. Causa el cambio en los permisos para el usuario en relación con las reglas del control de acceso. Usted notará que asocian al usuario incorrecto al puesto de trabajo. Este documento proporciona una solución para este problema.

 

Contribuido por Nazmul Rajib, Lipkey adoptivo, ingenieros de Cisco TAC.

Prerrequisitos

Cisco recomienda que usted tiene conocimiento en el sistema y el agente de usuario de FireSIGHT.

Nota: La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Causa raíz

 

Este problema ocurre debido a los registros activos de Microsoft Directory(AD) de la manera que los intentos de autenticación RDP a la Seguridad de Windows abren una sesión el controlador de dominio. El AD registra el intento de autenticación para la sesión RDP contra la dirección IP del host de origen bastante que el punto final RDP que usted está conectando con. Si usted está registrando en el host remoto con una diversa cuenta de usuario, ésta cambiará al usuario asociado a la dirección IP de su puesto de trabajo original.

 

Verificación

 

Para verificar el es qué está ocurriendo, usted puede verificar que la dirección IP del evento de inicio de sesión de su puesto de trabajo original y el host remoto RDP tengan la misma dirección IP.

Para encontrar estos eventos, usted necesitará seguir los pasos abajo:

Paso 1: Determine el controlador de dominio contra el cual usted recibe está autenticando:

Ejecute el siguiente comando:

 

nltest /dsgetdc:<windows.domain.name>

Salida de ejemplo:

C:\Users\WinXP.LAB>nltest /dsgetdc:support.lab
DC: \\Win2k8.support.lab
Address: \\192.X.X.X
Dom Guid: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Dom Name: support.lab
Forest Name: support.lab
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST
CLOSE_SITE FULL_SECRET WS 0x4000
The command completed successfully

La línea que comienza “DC: ” sea el nombre del controlador de dominio y la línea que el comienzo “dirige: ” la dirección IP.

Paso 2: Usando el registro RDP en el controlador de dominio identificado en el paso 1

Paso 3: Vaya al Start (Inicio) > Administrative Tools (Herramientas administrativas) > Event Viewer.

Paso 4: El taladro abajo a Windows registra el > Security (Seguridad).

Paso 5: El filtro para la dirección IP de su puesto de trabajo haciendo clic el registro actual del filtro, haciendo clic la lengueta XML, y haciendo clic edita la interrogación.

Paso 6: Ingrese la interrogación siguiente XML, substituyendo su IP Address para <ip address>

 

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='IpAddress'] and(Data='<IP address>')]]
</Select>
</Query>
</QueryList>

Paso 7: Haga clic en el evento de la conexión a la comunicación y haga clic en la lengueta de los detalles.

Un ejemplo de salida:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{XXXXXXXX-XXX-XXXX-XXX-XXXXXXXXXXXX}"/>
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-07-22T20:35:12.750Z" />
<EventRecordID>4130857</EventRecordID>
<Correlation />
<Execution ProcessID="576" ThreadID="704" />
<Channel>Security</Channel>
<Computer>WIN2k8.Support.lab</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXXX</Data>
<Data Name="TargetUserName">WINXP-SUPLAB$</Data>
<Data Name="TargetDomainName">SUPPORT</Data>
<Data Name="TargetLogonId">0x13c4101f</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName" />
<Data Name="LogonGuid">{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.0.2.10</Data>
<Data Name="IpPort">2401</Data>
</EventData>

Complete estos mismos pasos después de abrir una sesión vía el RDP y usted notará que usted recibirá otro evento de inicio de sesión (ID de evento 4624) con la misma dirección IP como se muestra por la siguiente línea de los datos XML del evento de inicio de sesión del inicio original:

<Data Name="IpAddress">192.x.x.x</Data>

Solución

Para atenuar este problema, si usted está utilizando el 2.1 del agente de usuario o arriba, usted puede excluir cualquier cuenta que usted lo vaya a hacer
está utilizando sobre todo para el RDP en la configuración de agente de usuario.


Paso 1: Registro en el host del agente de usuario.

Paso 2: Ponga en marcha la interfaz de usuario del agente de usuario.

Paso 3: Haga clic en la lengueta excluida de los nombres de usuario.

Paso 4: Ingrese todos los nombres de usuario que usted desea excluir.

Paso 5: Haga clic en Save (Guardar).

Los usuarios ingresados en esta lista no generan los eventos de la conexión a la comunicación en el centro de administración de FireSIGHT y no deben ser
asociado a los IP Addresses.



Document ID: 118055