لم تعد تعيينات المستخدم إلى IP تظهر في CDA من Cisco بعد تحديث Microsoft في مارس 2017

المقدمة

يوضح هذا المستند كيفية التغلب على مشكلة تحديث أمان Microsoft في مارس 2017، مما يؤدي إلى كسر وظائف CDA، أي. لم تعد تعيينات المستخدمين تظهر في عامل دليل سياق SWT (CDA).

معلومات أساسية

تعتمد Cisco CDA على معرف الحدث 4768 الذي يتم ملؤه على جميع إصدارات وحدات التحكم في المجال ل Windows 2008 و 2012. تشير هذه الأحداث إلى أحداث تسجيل دخول المستخدم الناجحة. إذا لم تتم مراجعة أحداث تسجيل الدخول الناجحة في نهج الأمان المحلي أو إذا لم يتم ملء معرفات الأحداث هذه لأي سبب آخر، فلن تقوم استعلامات WMI من CDA لهذه الأحداث بإرجاع أية بيانات. ونتيجة لذلك، لن يتم إنشاء تعيينات المستخدمين في CDA وبالتالي لن يتم إرسال معلومات تعيين المستخدم من CDA إلى جهاز الأمان القابل للتكيف (ASA). في الحالات التي يقوم فيها العملاء بالاستفادة من سياسات المستخدم أو المجموعة من AD في أمان الويب السحابي (CWS)، لا تظهر معلومات المستخدم في إخراج whoami.scansafe.net. 

ملاحظة:لا يؤثر هذا على "وكيل مستخدم FirePOWER" (UA) نظرا لأنه يستخدم معرف الحدث 4624 لإنشاء تعيينات المستخدمين ولا يتأثر هذا النوع من الأحداث بتحديث الأمان هذا.

المشكلة: لم تعد تعيينات المستخدم إلى IP تظهر في Cisco CDA بعد تحديث Microsoft في مارس 2017

تسبب تحديث الأمان الأخير من Microsoft في حدوث مشاكل في العديد من بيئات العملاء حيث تقوم وحدات التحكم بالمجال الخاصة بها بإيقاف تسجيل معرفات الأحداث 4768 هذه.  وترد أدناه قائمة بالكيلوبامترات المزعجة:

KB4012212 (2008) / KB4012213 (2012)
KB4012215 (2008) / KB4012216 (2012)

لتأكيد أن هذه المشكلة ليست مع تكوين التسجيل على وحدة التحكم بالمجال، تأكد من تمكين تسجيل التدقيق المناسب في نهج الأمان المحلي.  يجب تمكين العناصر الغامقة في هذا الإخراج أدناه للتسجيل الصحيح لمعرفات الحدث 4768. يجب تشغيل هذا الأمر من موجه أوامر كل DC لا يقوم بتسجيل الأحداث:

C:\Users\Administrator>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure

...output truncated...

Account Logon
  Kerberos Service Ticket Operations      Success and Failure
  Other Account Logon Events              Success and Failure
  Kerberos Authentication Service         Success and Failure
  Credential Validation                   Success and Failure

C:\Users\Administrator>

إذا رأيت أنه لم يتم تكوين تسجيل الدخول المناسب للتدقيق، انتقل إلى نهج الأمان المحلي > إعدادات الأمان > السياسات المحلية > نهج التدقيق وتأكد أن أحداث تسجيل الدخول إلى حساب التدقيق تم تعيينها إلى النجاح، كما هو موضح في الصورة:

الحلول المحتملة

(تم التحديث في 3/31/2017)

كحل بديل حالي، تمكن بعض المستخدمين من إزالة تثبيت لوحة المفاتيح (KB) المذكورة أعلاه، وتم إستئناف تسجيل معرفات أحداث 4768. لقد أثبت هذا الأمر فعاليته لجميع عملاء Cisco حتى الآن.

كما قدمت Microsoft الحل البديل التالي لبعض العملاء الذين يواجهون هذه المشكلة كما هو موضح في منتديات الدعم.  لاحظ أن هذا لم يتم إختباره أو التحقق منه بالكامل بعد في معامل Cisco:

نهج التدقيق الأربعة التي تحتاج إلى تمكينها كحل بديل للخطأ موجودة ضمن تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\تسجيل الدخول إلى الحساب. وينبغي تمكين كل السياسات الأربعة تحت هذا العنوان لتحقيق النجاح والفشل:

التحقق من صحة بيانات اعتماد التدقيق
تدقيق خدمة مصادقة Kerberos
تدقيق عمليات بطاقات خدمة Kerberos
تدقيق أحداث تسجيل الدخول إلى حساب آخر

عند تمكين هذه السياسات الأربعة، يجب أن تبدأ في رؤية أحداث نجاح 4768/4769 مرة أخرى.

ارجع إلى الصورة أعلاه التي تظهر تكوين نهج التدقيق المتقدم في أسفل الجزء الأيسر.

الحل

وحتى تاريخ هذا النشر الأولي (3/28/2017)، لا نعرف بعد أي إصلاح دائم من Microsoft. ومع ذلك، فهم على دراية بهذه المشكلة ويعملون على إصلاح لها.  

هناك العديد من مؤشرات الترابط التي تتتبع هذه المشكلة:

ريديت:

https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/

UltimateWindowsSecurity.com:

http://forum.ultimatewindowssecurity.com/Topic7340-276-1.aspx

مايكروسوفت تك نت:

https://social.technet.microsoft.com/Forums/systemcenter/en-US/4136ade9-d287-4a42-b5cb-d6042d227e4f/kb4012216-issue-with-event-id-4768?forum=winserver8gen

يتم تحديث هذا المستند مع توفر المزيد من المعلومات أو إذا أعلنت Microsoft عن إصلاح دائم لهذه المشكلة.