تكوين الحد الأقصى لمحاولات تسجيل الدخول الفاشلة للمسؤول المحلي على FTD

مسألة

• الهدف هو تكوين الحد الأقصى لعدد محاولات تسجيل الدخول الفاشلة لحسابات المسؤول المحلي على Cisco Secure Firewall Threat Defense (FTD). 

• يتضمن الطلب إرشادات لتعيين هذا الحد عبر كل من واجهة المستخدم الرسومية (GUI) وواجهة سطر الأوامر (CLI).

• تأكد من حماية الحسابات الإدارية ضد محاولات تسجيل الدخول باستخدام القوة الغاشمة.

البيئة

• المنتج: Cisco Secure Firewall
• إصدار البرامج: أي
• المساعدة في التكوين المطلوبة لإعداد حدود محاولات تسجيل الدخول الفاشلة

قرار

هناك حالتان مختلفتان وفقا لكيفية إدارة جدار الحماية الآمن.

السلوك الافتراضي

بشكل افتراضي، لا يمكنك تكوين MaxFailedLog لحساب المسؤول المحلي على جدار الحماية الآمن:

> configure user maxfailedlogins admin 5
Unable to modify admin account.

جدار الحماية الذي تتم إدارته بواسطة FMC

بشكل افتراضي، لا يمكنك تكوين MaxFailedLogIns لحساب المسؤول المحلي الذي تتم إدارته بواسطة FMC من Cisco:

> configure user maxfailedlogins admin 5
Unable to modify admin account.

الحل

للتغلب على هذا التقييد، يجب تمكين وضع التوافق على جدار الحماية. يتم توثيق ذلك في مرجع أمر FTD من Cisco:

https://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense/c_3.html#wp1770881183

inline_image_0.png

التوافق مع CC و UCAPL

إنها معايير التوافق مع الأمان التي تحدد متطلبات تقوية منتجات الأمان.

في حالة MaxFailedLogIns، تكون المعلومات ذات الصلة في التوافق مع شهادات الأمان.

ملاحظات هامة

أولا، تذكر أنه بمجرد تمكين التوافق مع CC أو UCAPL على FTD، لا يمكنك إرجاع التغيير. إذا حاولت الرجوع، ستحصل على:

inline_image_0.png

بمجرد تمكين وضع التوافق ونشر النهج، تتم إعادة تمهيد FTD.

عندما يتعلق الأمر maxFailedLogins، باستخدام CC، يمكنك تكوين ما يصل إلى 9999 محاولة فاشلة، بينما مع UCAPL ما يصل إلى 3.

تمكين التوافق مع CC أو UCAPL على FTD

الخطوة 1: على FMC، تنتقل إلى إعدادات الأجهزة / النظام الأساسي.

الخطوة 2: قم بتمكين أحد وضعي التوافق (UCAP أو CC). ونظرا لأنه لا يمكن عكس التغيير، يوصى بشدة بقراءة دليل التوافق مع شهادات الأمان بعناية.

inline_image_0.png

الخطوة 3: بمجرد القيام بذلك، يجب تعيين نهج إعدادات النظام الأساسي إلى FTD (إذا لم يكن بالفعل) والنشر.

بمجرد إتمام النشر، تتم إعادة تمهيد جهاز FTD تلقائيا:

Broadcast message from root@secure_fw (Tue Jan 13 10:10:49 2026):
 
A reboot has been scheduled to occur 10 seconds from now.
 
Jan 13 2026 10:11:01 INIT: Running /etc/rc6.d/K00all_ports_down.sh stop...
Tue Jan 13 10:11:01 UTC 2026 : Checking for running portmgr process...
Terminating DME and all AGs bfore bring down all ports...
Tue Jan 13 10:11:01 UTC 2026 : Sending IPC message to portmgr to bring down all ports...
2026-01-13 10:11:02.112 PMLOG:PM IPC UTILITY: Shutting down all ports
Jan 13 2026 10:11:02 INIT: Completed /etc/rc6.d/K00all_ports_down.sh stop...
Jan 13 2026 10:11:02 INIT: Running /etc/rc6.d/K00ftd.sh stop...
 
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.7.6.1.291__ftd_001_FOL2751Z03FLKF25W1, FLAG=''
Cisco Firewall Threat Defense stopping ...

الخطوة 4: بمجرد تشغيل جدار الحماية مرة أخرى، يمكنك تكوين إعداد maxFailLogIns. في حالة إختيار UCAPL، يمكنك تكوين ما يصل إلى 3 محاولات تسجيل دخول فاشلة:

> configure user maxfailedlogins admin 5
Unable to set limit, must be 3 or less for UCAPL mode 
 
>

في حالة وجود نسخة، يمكنك إعداد حتى 9999:

> configure user maxfailedlogins admin 9999
 
>

الخطوة 5: تحقق من التكوين باستخدام الأمر show user:

> show user
Login              UID   Auth Access  Enabled Reset   Exp     Warn    Grace MinL Str Lock Max
admin              101  Local Config  Enabled    No Never Disabled Disabled    5 Dis   No   3

تلميح: تأكد من وجود مستخدم آخر لديه امتيازات config متوفرة في حالة تأمين مستخدم المسؤول!

إلغاء تأمين مستخدم مسؤول مؤمن

بافتراض تعيين MaxFailEdlogins 3، بعد 3 محاولات فاشلة لتأمين حساب المسؤول:

> show user
Login              UID   Auth Access  Enabled Reset   Exp     Warn    Grace MinL Str Lock Max
admin              101  Local Config  Enabled    No Never Disabled Disabled    5 Dis  Yes   3 

في هذه الحالة، يجب عليك تسجيل الدخول باستخدام مستخدم آخر وإلغاء تأمين مستخدم المسؤول يدويا:

> configure user unlock admin
 
> show user
Login              UID   Auth Access  Enabled Reset   Exp     Warn    Grace MinL Str Lock Max
admin              101  Local Config  Enabled    No Never Disabled Disabled    5 Dis   No   3

جدار الحماية المدار بواسطة مدير الأجهزة (FDM)

لا يدعم FDM حاليا أوضاع التوافق مع CC أو UCAPL.

التحسينات ذات الصلة: CSCws76567 ENH: أضف دعم CC/UCAPL على FirePOWER Device Manager 

إذا كانت هذه الوظيفة بالغة الأهمية، يوصى بمناقشة ترتيب أولويات طلب التحسين ذي الصلة، المشار إليه باسم CSCws76567، مع مدير الحسابات الخاص بك.

تعيين الحد الأقصى لعدد محاولات تسجيل الدخول الفاشلة للوصول إلى واجهة المستخدم الرسومية (GUI) للويب

وكما هو الحال مع تسجيل دخول واجهة سطر الأوامر (CLI)، تتوفر هذه الوظيفة فقط عند تمكين وضع التوافق مع CC أو UCAPL:

تعيين الحد الأقصى لعدد محاولات تسجيل الدخول الفاشلة للوصول إلى واجهة المستخدم الرسومية (GUI) للويب

وكما هو الحال مع تسجيل دخول واجهة سطر الأوامر (CLI)، تتوفر هذه الوظيفة فقط عند تمكين وضع التوافق مع CC أو UCAPL:

inline_image_0.png

المرجع

• خصائص التوافق مع شهادات الأمان

نظرا لأنه لا يمكن إستخدام أوضاع CC أو UCAPL على الأجهزة التي تتم إدارة FDM، لا يمكنك تعيين الحد الأقصى لعدد محاولات تسجيل الدخول الفاشلة للوصول إلى واجهة المستخدم الرسومية (GUI) عبر الويب (راجع تحسين CSCws76567).

السبب

• بالنسبة للأجهزة التي تديرها FMC، يكون الخيار متاحا فقط عند تمكين وضع التوافق مع CC أو UCAPL.
• بالنسبة للأجهزة التي تتم إدارتها باستخدام FDM، تم تقديم طلب تحسين (CSCws76567) لمعالجة هذه الثغرة في الميزات وإضافة دعم للمعايير المشتركة (CC) والتوافق مع UCAPL في مدير أجهزة جدار الحماية.

المحتوى ذي الصلة

• الدعم الفني والتنزيلات من Cisco
• معرف تصحيح الأخطاء من Cisco CSCws76567