Безопасность : Cisco Firepower Management Center

Вход в систему к удаленному рабочему столу с помощью RDP изменяет пользователя, привязанного к IP-адресу

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

 

Введение

Если вы входите в удаленный хост с помощью Протокола удаленного рабочего стола (RDP), и удаленное имя пользователя является другим, чем пользователь, Системные изменения FireSIGHT IP-адрес пользователя, который привязан к IP-адресу на Центре управления FireSIGHT. Это вызывает изменение в разрешениях для пользователя относительно правил Управления доступом. Вы заметите, что неправильный пользователь привязан к рабочей станции. Этот документ предоставляет решение для этой проблемы.

 

Внесенный Nazmul Rajib, Фостером Липки, специалистами службы технической поддержки Cisco.

Предварительные условия

Cisco рекомендует ознакомиться в Системе FireSIGHT и Клиенте User Agent.

Примечание: Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Основная причина

 

Эта проблема происходит из-за пути Microsoft Active Directory (AD) попытки аутентификации RDP журналов к Входу в систему безопасности Windows Контроллера домена. AD регистрирует попытку аутентификации для сеанса RDP против IP-адреса вызывающего узла, а не оконечной точки RDP, с которой вы соединяетесь. Если вы войдете в удаленный хост с другой учетной записью пользователя, то это изменит пользователя, привязанного к IP-адресу исходной рабочей станции.

 

Проверка

 

Для подтверждения это - то, что происходит, можно проверить, что IP-адрес от события входа в систему от исходной рабочей станции и удаленного хоста RDP имеет тот же IP-адрес.

Для обнаружения этих событий необходимо будет придержаться ниже шагов:

Шаг 1: Определите Контроллер домена, который вы размещаете, подтверждает подлинность против:

Используйте следующую команду:

 

nltest /dsgetdc:<windows.domain.name>

Пример выходных данных:

C:\Users\WinXP.LAB>nltest /dsgetdc:support.lab
DC: \\Win2k8.support.lab
Address: \\192.X.X.X
Dom Guid: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Dom Name: support.lab
Forest Name: support.lab
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST
CLOSE_SITE FULL_SECRET WS 0x4000
The command completed successfully

Линия, которая запускает "DC": будет название Контроллера домена и линии, которая запускает "Адрес": будет IP-адрес.

Шаг 2 ---- -------------------------------- --------- : Использование RDP входит в Контроллер домена, определенный в Шаге 1

Шаг 3: Перейдите к Пуску> Средства администрирования> Просмотр событий.

Шаг 4. : Выполните развертку к> Security Windows Logs.

Шаг 5: Фильтр для IP-адреса рабочей станции путем нажатия Filter Current Log, нажатия вкладки XML и нажатия редактирует запрос.

Шаг 6: Введите придерживающийся запрос XML, заменяя IP-адресом <ip address>

 

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='IpAddress'] and(Data='<IP address>')]]
</Select>
</Query>
</QueryList>

Шаг 7: Щелкните по Событию Входа в систему и щелкните по вкладке Details.

Пример вывода:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{XXXXXXXX-XXX-XXXX-XXX-XXXXXXXXXXXX}"/>
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-07-22T20:35:12.750Z" />
<EventRecordID>4130857</EventRecordID>
<Correlation />
<Execution ProcessID="576" ThreadID="704" />
<Channel>Security</Channel>
<Computer>WIN2k8.Support.lab</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXXX</Data>
<Data Name="TargetUserName">WINXP-SUPLAB$</Data>
<Data Name="TargetDomainName">SUPPORT</Data>
<Data Name="TargetLogonId">0x13c4101f</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName" />
<Data Name="LogonGuid">{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.0.2.10</Data>
<Data Name="IpPort">2401</Data>
</EventData>

Выполните эти те же шаги после регистрации на пути RDP, и вы заметите получение другого события входа в систему (Идентификатор события 4624) с тем же IP-адресом как показано придерживающейся линией от данных в XML события входа в систему от исходного входа в систему:

<Data Name="IpAddress">192.x.x.x</Data>

Решение

Для смягчения этой проблемы при использовании Клиента User Agent 2.1 или выше можно исключить любые учетные записи, что вы будете
используйте прежде всего для RDP в Конфигурации Клиента User Agent.


Шаг 1: Войдите в хост клиента User Agent.

Шаг 2 ---- -------------------------------- --------- : Запустите интерфейс пользователя Клиента User Agent.

Шаг 3: Щелкните по вкладке Excluded Usernames.

Шаг 4. : Введите все имена пользователей, которые вы хотите исключить.

Шаг 5: Нажмите Save.

Пользователи ввели в этом списке, не генерируют события входа в систему на Центре управления FireSIGHT и не быть
привязанный к IP-адресам.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.