Maximale mislukte inlogpogingen configureren voor lokale beheerder op FTD

Downloadopties

  • PDF     (913.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:14 april 2026
Document-id:225546

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

uitgeven

  • Het doel is om het maximale aantal mislukte inlogpogingen voor lokale beheerdersaccounts op Cisco Secure Firewall Threat Defense (FTD) te configureren. 

  • Het verzoek bevat richtlijnen voor het instellen van deze limiet via zowel de grafische gebruikersinterface (GUI) als de opdrachtregelinterface (CLI).

  • Zorg ervoor dat beheerdersaccounts zijn beveiligd tegen brute-force inlogpogingen.

milieu

  • Product: Cisco Secure Firewall
  • Softwareversie: Alle
  • Hulp bij configuratie vereist voor instellen van limieten voor mislukte inlogpogingen

resolutie

Er zijn twee verschillende gevallen, afhankelijk van hoe de beveiligde firewall wordt beheerd.

Standaardgedrag

Standaard kunt u maxfailedlogins niet configureren voor de lokale beheerdersaccount op de beveiligde firewall:

> configure user maxfailedlogins admin 5
Unable to modify admin account.

Firewall beheerd door FMC

Standaard kunt u geen maxfailedlogins configureren voor de lokale beheerdersaccount die wordt beheerd door Cisco FMC:

> configure user maxfailedlogins admin 5
Unable to modify admin account.

De oplossing

Om deze beperking te overwinnen, moet u de nalevingsmodus op de firewall inschakelen. Dit wordt gedocumenteerd in de verwijzing naar Cisco FTD-opdrachten:

https://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense/c_3.html#wp1770881183

Configure User maxfailedloginsinline_image_0.png

Naleving van CC en UCAPL

Het zijn normen voor de naleving van de beveiliging die eisen voor het verharden van beveiligingsproducten specificeren.

In het geval van maxfailedlogins, is de gerelateerde informatie in Security Certifications Compliance.

Belangrijke opmerkingen

Ten eerste, onthoud dat wanneer u CC- of UCAPL-naleving inschakelt op FTD, u de wijziging niet kunt herstellen. Als u probeert terug te keren, krijgt u:

CC and UCAPL Complianceinline_image_0.png

Zodra u een nalevingsmodus inschakelt en het beleid implementeert, wordt de FTD opnieuw opgestart.

Als het gaat om maxfailedlogins, kunt u met CC tot 9999 mislukte pogingen configureren, terwijl u met UCAPL tot 3 kunt werken.

CC- of UCAPL-naleving op FTD inschakelen

Stap 1: Op FMC navigeert u naar de Apparaten / Platforminstellingen.

Stap 2: Schakel een van de twee nalevingsmodi in (UCAP of CC). Aangezien de wijziging niet ongedaan kan worden gemaakt, wordt het ten zeerste aanbevolen om de handleiding voor naleving van beveiligingscertificaten aandachtig te lezen.

Enable CC and UCAPL Complianceinline_image_0.png

Stap 3: Zodra dit is gebeurd, moet u het beleid voor platforminstellingen toewijzen aan de FTD (als dit nog niet is gebeurd) en implementeren.

Zodra de implementatie is voltooid, wordt het FTD-apparaat automatisch opnieuw opgestart:

Broadcast message from root@secure_fw (Tue Jan 13 10:10:49 2026):
 
A reboot has been scheduled to occur 10 seconds from now.
 
Jan 13 2026 10:11:01 INIT: Running /etc/rc6.d/K00all_ports_down.sh stop...
Tue Jan 13 10:11:01 UTC 2026 : Checking for running portmgr process...
Terminating DME and all AGs bfore bring down all ports...
Tue Jan 13 10:11:01 UTC 2026 : Sending IPC message to portmgr to bring down all ports...
2026-01-13 10:11:02.112 PMLOG:PM IPC UTILITY: Shutting down all ports
Jan 13 2026 10:11:02 INIT: Completed /etc/rc6.d/K00all_ports_down.sh stop...
Jan 13 2026 10:11:02 INIT: Running /etc/rc6.d/K00ftd.sh stop...
 
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.7.6.1.291__ftd_001_FOL2751Z03FLKF25W1, FLAG=''
Cisco Firewall Threat Defense stopping ...

Stap 4: Zodra de firewall weer is ingeschakeld, kunt u de instelling voor maximale aanmelding configureren. Als u UCAPL kiest, kunt u maximaal 3 mislukte aanmeldpogingen configureren:

> configure user maxfailedlogins admin 5
Unable to set limit, must be 3 or less for UCAPL mode 
 
>

In het geval van CC kunt u instellen op 9999:

> configure user maxfailedlogins admin 9999
 
>

Stap 5: Verifieer de configuratie met de opdracht show user:

> show user
Login              UID   Auth Access  Enabled Reset   Exp     Warn    Grace MinL Str Lock Max
admin              101  Local Config  Enabled    No Never Disabled Disabled    5 Dis   No   3
tip-icon

Tip: zorg ervoor dat er een andere gebruiker met configuratiebevoegdheden beschikbaar is voor het geval de beheerdersgebruiker wordt vergrendeld!

Een vergrendelde beheerdersgebruiker ontgrendelen

Ervan uitgaande dat u maxfailedlogins 3 instelt, wordt de beheerdersaccount na 3 mislukte pogingen vergrendeld:

> show user
Login              UID   Auth Access  Enabled Reset   Exp     Warn    Grace MinL Str Lock Max
admin              101  Local Config  Enabled    No Never Disabled Disabled    5 Dis  Yes   3

In dat geval moet u inloggen met een andere gebruiker en de beheerder handmatig ontgrendelen:

> configure user unlock admin
 
> show user
Login              UID   Auth Access  Enabled Reset   Exp     Warn    Grace MinL Str Lock Max
admin              101  Local Config  Enabled    No Never Disabled Disabled    5 Dis   No   3

Firewall beheerd door Apparaatbeheer (FDM)

FDM ondersteunt momenteel geen CC- of UCAPL-nalevingsmodi.

Gerelateerde verbetering: CSCws76567 ENH: CC/UCAPL-ondersteuning toevoegen aan Firepower Device Manager 

Als deze functionaliteit van cruciaal belang is, is het raadzaam om de prioritering van het gerelateerde verbeteringsverzoek, waarnaar wordt verwezen als CSCws76567, te bespreken met uw accountmanager.

Het maximum aantal mislukte aanmeldingspogingen voor Web GUI-toegang instellen

Net als bij de CLI-aanmelding is deze functionaliteit alleen beschikbaar als de nalevingsmodus CC of UCAPL is ingeschakeld:

  

  

Het maximum aantal mislukte aanmeldingspogingen voor Web GUI-toegang instellen

Net als bij de CLI-aanmelding is deze functionaliteit alleen beschikbaar als de nalevingsmodus CC of UCAPL is ingeschakeld:

Security Certifications Complianceinline_image_0.png

referentie

Aangezien de CC- of UCAPL-modi niet kunnen worden gebruikt op door FDM beheerde apparaten, kunt u het maximale aantal mislukte inlogpogingen voor web GUI-toegang niet instellen (zie uitbreiding CSCws76567).

Oorzaak

  • Voor apparaten die door de FMC worden beheerd, is de optie alleen beschikbaar als de nalevingsmodus CC of UCAPL is ingeschakeld.
  • Voor door FDM beheerde apparaten is een verzoek tot verbetering (CSCws76567) ingediend om deze functiekloof aan te pakken en ondersteuning toe te voegen voor Common Criteria (CC) en UCAPL-naleving in Firewall Device Manager.

Verwante inhoud

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Apr-2026
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Mikis Zafeiroudis
    Cisco TAC Engineer
  • Ilkin Gasimov
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten