Las asignaciones Usuario-a-IP aparecen no más en Cisco CDA después de marzo de 2017 Microsoft Update

Introducción

Este documento describe cómo superar la aplicación en marzo de 2017 la actualización de seguridad de Microsoft, que rompe al usuario de las funciones CDA es decir que las asignaciones aparecen no más en el agente de directorio del contexto SWT (CDA).

Antecedentes

Cisco CDA confía en el ID de evento 4768 que es poblado en todas las versiones de Windows 2008 y 2012 controladores de dominio. Estos eventos indican los eventos de inicio de sesión acertados del usuario. Si los eventos de inicio de sesión del éxito no están auditoría en Local Security (Seguridad local) la directiva o si estos ID de eventos no se pueblan por cualquier otro motivo entonces las interrogaciones WMI de CDA para estos eventos no devolverán ningún dato. Como consecuencia, las asignaciones del usuario no serán creadas en CDA y por lo tanto la información de mapeo del usuario no será enviada de CDA al dispositivo de seguridad adaptante (ASA). En caso de que los clientes leveraging el usuario o las directivas basadas en el grupo del AD en la Seguridad de la red de la nube (CWS), la información del usuario no aparece en la salida de whoami.scansafe.net. 

Note: Esto no afecta al agente de usuario de FirePOWER (UA) puesto que leverages el ID de evento 4624 para crear las asignaciones del usuario y esta actualización de seguridad no afecta a ese tipo de evento.

Problema: Las asignaciones Usuario-a-IP aparecen no más en Cisco CDA después de marzo de 2017 Microsoft Update

Una actualización de seguridad reciente de Microsoft ha causado los problemas en varios entornos del cliente en donde sus controladores de dominio paran el registrar de estos 4768 ID de eventos.  El KBs que ofende es mencionado abajo:

KB4012212 (2008)/KB4012213 (2012)
KB4012215 (2008)/KB4012216 (2012)

Para confirmar que este problema no está con la configuración de registro en el controlador de dominio, aseegurese que el registro de auditoría apropiado está habilitado en Local Security (Seguridad local) la directiva.  Los elementos en negrita en esta salida debajo del mustbe habilitado para el registro apropiado de 4768 ID de eventos. Esto se debe ejecutar del comando prompt de cada DC que no es eventos de registro:

C:\Users\Administrator>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure

...output truncated...

Account Logon
  Kerberos Service Ticket Operations      Success and Failure
  Other Account Logon Events              Success and Failure
  Kerberos Authentication Service         Success and Failure
  Credential Validation                   Success and Failure

C:\Users\Administrator>

Si usted ve que el registro de auditoría apropiado no está configurado, navegue Local Security (Seguridad local) a las configuraciones > a las políticas locales > a la directiva de auditoría del > Security (Seguridad) de la directiva y asegúrese de que los eventos de inicio de sesión de cuenta de la auditoría están fijados al éxito, tal y como se muestra en de la imagen:

Soluciones alternativas potenciales

(Puesto al día 3/31/2017)

Como solución alternativa actual, algunos usuarios han podido desinstalar el KBs antedicho y los 4768 ID de eventos registración reanudada. Esto ha probado eficaz para todos los clientes de Cisco hasta el momento.

Microsoft también ha proporcionado a la solución alternativa siguiente a algunos clientes que golpeaban este problema como se ve en los foros del soporte.  Observe que esto todavía no se ha probado ni se ha verificado completamente en los laboratorios de Cisco:

Las cuatro directivas de auditoría que usted necesita habilitar mientras que una solución alternativa al bug está bajo la configuración de Computadora \ las directivas \ las configuraciones de Windows \ los ajustes de seguridad \ la configuración de la directiva de auditoría \ las directivas de auditoría \ inicio avanzados de la cuenta. Las cuatro directivas bajo ese título se deben habilitar para el éxito y fracaso:

Validación de los credenciales de la auditoría
Servicio de autenticación de Kerberos de la auditoría
Operaciones del boleto del servicio Kerberos de la auditoría
Auditoría otros eventos de inicio de sesión de cuenta

Cuando usted habilita esas cuatro directivas, usted debe comenzar a ver los eventos del éxito de 4768/4769 otra vez.

Refiera a la imagen sobre eso muestra la configuración avanzada de la directiva de auditoría en la parte inferior del panel izquierdo.

Solución

A partir de la fecha de esta publicación inicial (3/28/2017), todavía no sabemos de una corrección permanente de Microsoft. Sin embargo, son conscientes de este problema y del trabajo en un arreglo.  

Hay varios hilos que siguen este problema:

Reddit:

https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/

UltimateWindowsSecurity.com:

http://forum.ultimatewindowssecurity.com/Topic7340-276-1.aspx

TechNet de Microsoft:

https://social.technet.microsoft.com/Forums/systemcenter/en-US/4136ade9-d287-4a42-b5cb-d6042d227e4f/kb4012216-issue-with-event-id-4768?forum=winserver8gen

Se pone al día este documento mientras que más información está disponible o si Microsoft anuncia una corrección permanente para este problema.