Introduction
Si vous vous connectez à un hôte distant à l'aide du protocole RDP (Remote Desktop Protocol) et que le nom d'utilisateur distant est différent de celui de votre utilisateur, FireSIGHT System modifie l'adresse IP de l'utilisateur associé à votre adresse IP sur FireSIGHT Management Center. Il entraîne des modifications des autorisations de l'utilisateur par rapport aux règles de contrôle d'accès. Vous remarquerez queun utilisateur incorrect est associé à la station de travail. Ce document fournit une solution à ce problème.
Conditions préalables
Cisco vous recommande de connaître FireSIGHT System et User Agent.
Note: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Cause première
Ce problème se produit en raison de la manière dont Microsoft Active Directory(AD) enregistre les tentatives d'authentification RDP dans les journaux de sécurité Windows sur le contrôleur de domaine. AD enregistre la tentative d'authentification pour la session RDP sur l'adresse IP de l'hôte d'origine plutôt que sur le point de terminaison RDP auquel vous vous connectez. Si vous vous connectez à l'hôte distant avec un compte d'utilisateur différent, l'utilisateur associé à l'adresse IP de votre station de travail d'origine sera modifié.
Vérification
Pour vérifier ce qui se passe, vous pouvez vérifier que l'adresse IP de l'événement d'ouverture de session de votre station de travail d'origine et l'hôte distant RDP ont la même adresse IP.
Pour trouver ces événements, procédez comme suit :
Étape 1 : Déterminez le contrôleur de domaine par lequel vous hébergez l'authentification :
Exécutez la commande suivante :
nltest /dsgetdc:<windows.domain.name>
Exemple de rapport :
C:\Users\WinXP.LAB>nltest /dsgetdc:support.lab
DC: \\Win2k8.support.lab
Address: \\192.X.X.X
Dom Guid: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Dom Name: support.lab
Forest Name: support.lab
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST
CLOSE_SITE FULL_SECRET WS 0x4000
The command completed successfully
La ligne qui commence « DC: » sera le nom du contrôleur de domaine et la ligne qui commence « Address: » sera l'adresse IP.
Étape 2 : Utilisation de la connexion RDP dans le contrôleur de domaine identifié à l’étape 1
Étape 3 : Accédez à Démarrer > Outils d'administration > Observateur d'événements.
Étape 4 : Faites une progression descendante vers Journaux Windows > Sécurité.
Étape 5 : Filtrez l'adresse IP de votre station de travail en cliquant sur Filtrer le journal en cours, sur l'onglet XML et sur modifier la requête.
Étape 6 : Entrez la requête XML suivante, en remplaçant votre adresse IP par <adresse IP>
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='IpAddress'] and(Data='<IP address>')]]
</Select>
</Query>
</QueryList>
Étape 7 : Cliquez sur l'événement de connexion et cliquez sur l'onglet Détails.
Exemple de sortie :
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{XXXXXXXX-XXX-XXXX-XXX-XXXXXXXXXXXX}"/>
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-07-22T20:35:12.750Z" />
<EventRecordID>4130857</EventRecordID>
<Correlation />
<Execution ProcessID="576" ThreadID="704" />
<Channel>Security</Channel>
<Computer>WIN2k8.Support.lab</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXXX</Data>
<Data Name="TargetUserName">WINXP-SUPLAB$</Data>
<Data Name="TargetDomainName">SUPPORT</Data>
<Data Name="TargetLogonId">0x13c4101f</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName" />
<Data Name="LogonGuid">{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.0.2.10</Data>
<Data Name="IpPort">2401</Data>
</EventData>
Effectuez les mêmes étapes après vous être connecté via RDP et vous remarquerez que vous recevrez un autre événement d'ouverture de session (ID d'événement 4624) avec la même adresse IP que celle indiquée par la ligne suivante à partir des données XML de l'événement d'ouverture de session de l'ouverture de session d'origine :
<Data Name="IpAddress">192.x.x.x</Data>
Solution
Pour atténuer ce problème, si vous utilisez l'Agent utilisateur 2.1 ou version ultérieure, vous pouvez exclure tous les comptes que vous souhaitez
utiliser principalement pour RDP dans la configuration de l'agent utilisateur.
Étape 1 : Connectez-vous à l'hôte de l'agent utilisateur.
Étape 2 : Lancez l'interface utilisateur de l'agent utilisateur.
Étape 3 : Cliquez sur l'onglet Noms d'utilisateurs exclus.
Étape 4 : Saisissez tous les noms d'utilisateur à exclure.
Étape 5 : Click Save.
Les utilisateurs entrés dans cette liste ne génèrent pas d'événements d'ouverture de session sur FireSIGHT Management Center et ne sont pas
associés aux adresses IP.