¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Las asignaciones Usuario-a-IP aparecen no más en Cisco CDA después de marzo de 2017 Microsoft Update

Opciones de descarga

  • PDF     (143.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (122.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (137.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de abril de 2017
ID del documento:210535
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo superar la aplicación en marzo de 2017 la actualización de seguridad de Microsoft, que rompe al usuario de las funciones CDA es decir que las asignaciones aparecen no más en el agente de directorio del contexto SWT (CDA).

Antecedentes

Cisco CDA confía en el ID de evento 4768 que es poblado en todas las versiones de Windows 2008 y 2012 controladores de dominio. Estos eventos indican los eventos de inicio de sesión acertados del usuario. Si los eventos de inicio de sesión del éxito no están auditoría en Local Security (Seguridad local) la directiva o si estos ID de eventos no se pueblan por cualquier otro motivo entonces las interrogaciones WMI de CDA para estos eventos no devolverán ningún dato. Como consecuencia, las asignaciones del usuario no serán creadas en CDA y por lo tanto la información de mapeo del usuario no será enviada de CDA al dispositivo de seguridad adaptante (ASA). En caso de que los clientes leveraging el usuario o las directivas basadas en el grupo del AD en la Seguridad de la red de la nube (CWS), la información del usuario no aparece en la salida de whoami.scansafe.net

Note: Esto no afecta al agente de usuario de FirePOWER (UA) puesto que leverages el ID de evento 4624 para crear las asignaciones del usuario y esta actualización de seguridad no afecta a ese tipo de evento.

Problema: Las asignaciones Usuario-a-IP aparecen no más en Cisco CDA después de marzo de 2017 Microsoft Update

Una actualización de seguridad reciente de Microsoft ha causado los problemas en varios entornos del cliente en donde sus controladores de dominio paran el registrar de estos 4768 ID de eventos.  El KBs que ofende es mencionado abajo:

KB4012212 (2008)/KB4012213 (2012)
KB4012215 (2008)/KB4012216 (2012)


Para confirmar que este problema no está con la configuración de registro en el controlador de dominio, aseegurese que el registro de auditoría apropiado está habilitado en Local Security (Seguridad local) la directiva.  Los elementos en negrita en esta salida debajo del mustbe habilitado para el registro apropiado de 4768 ID de eventos. Esto se debe ejecutar del comando prompt de cada DC que no es eventos de registro:

C:\Users\Administrator>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure

...output truncated...

Account Logon
  Kerberos Service Ticket Operations      Success and Failure
  Other Account Logon Events              Success and Failure
  Kerberos Authentication Service         Success and Failure
  Credential Validation                   Success and Failure

C:\Users\Administrator>

Si usted ve que el registro de auditoría apropiado no está configurado, navegue Local Security (Seguridad local) a las configuraciones > a las políticas locales > a la directiva de auditoría del > Security (Seguridad) de la directiva y asegúrese de que los eventos de inicio de sesión de cuenta de la auditoría están fijados al éxito, tal y como se muestra en de la imagen:

Soluciones alternativas potenciales

(Puesto al día 3/31/2017)

Como solución alternativa actual, algunos usuarios han podido desinstalar el KBs antedicho y los 4768 ID de eventos registración reanudada. Esto ha probado eficaz para todos los clientes de Cisco hasta el momento.

Microsoft también ha proporcionado a la solución alternativa siguiente a algunos clientes que golpeaban este problema como se ve en los foros del soporte.  Observe que esto todavía no se ha probado ni se ha verificado completamente en los laboratorios de Cisco:

Las cuatro directivas de auditoría que usted necesita habilitar mientras que una solución alternativa al bug está bajo la configuración de Computadora \ las directivas \ las configuraciones de Windows \ los ajustes de seguridad \ la configuración de la directiva de auditoría \ las directivas de auditoría \ inicio avanzados de la cuenta. Las cuatro directivas bajo ese título se deben habilitar para el éxito y fracaso:


Validación de los credenciales de la auditoría
Servicio de autenticación de Kerberos de la auditoría
Operaciones del boleto del servicio Kerberos de la auditoría
Auditoría otros eventos de inicio de sesión de cuenta


Cuando usted habilita esas cuatro directivas, usted debe comenzar a ver los eventos del éxito de 4768/4769 otra vez.

Refiera a la imagen sobre eso muestra la configuración avanzada de la directiva de auditoría en la parte inferior del panel izquierdo.

Solución

A partir de la fecha de esta publicación inicial (3/28/2017), todavía no sabemos de una corrección permanente de Microsoft. Sin embargo, son conscientes de este problema y del trabajo en un arreglo.  

Hay varios hilos que siguen este problema:

Reddit:

https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/

UltimateWindowsSecurity.com:

http://forum.ultimatewindowssecurity.com/Topic7340-276-1.aspx

TechNet de Microsoft:

https://social.technet.microsoft.com/Forums/systemcenter/en-US/4136ade9-d287-4a42-b5cb-d6042d227e4f/kb4012216-issue-with-event-id-4768?forum=winserver8gen

Se pone al día este documento mientras que más información está disponible o si Microsoft anuncia una corrección permanente para este problema.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Kevin Klous
    Cisco TAC Engineer
  • Jeff Richmond
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Déjenos ayudarlo

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros