المقدمة
يوضح هذا المستند كيفية التغلب على مشكلة تحديث أمان Microsoft في مارس 2017، مما يؤدي إلى كسر وظائف CDA، أي. لم تعد تعيينات المستخدمين تظهر في عامل دليل سياق SWT (CDA).
معلومات أساسية
تعتمد Cisco CDA على معرف الحدث 4768 الذي يتم ملؤه على جميع إصدارات وحدات التحكم في المجال ل Windows 2008 و 2012. تشير هذه الأحداث إلى أحداث تسجيل دخول المستخدم الناجحة. إذا لم تتم مراجعة أحداث تسجيل الدخول الناجحة في نهج الأمان المحلي أو إذا لم يتم ملء معرفات الأحداث هذه لأي سبب آخر، فلن تقوم استعلامات WMI من CDA لهذه الأحداث بإرجاع أية بيانات. ونتيجة لذلك، لن يتم إنشاء تعيينات المستخدمين في CDA وبالتالي لن يتم إرسال معلومات تعيين المستخدم من CDA إلى جهاز الأمان القابل للتكيف (ASA). في الحالات التي يقوم فيها العملاء بالاستفادة من سياسات المستخدم أو المجموعة من AD في أمان الويب السحابي (CWS)، لا تظهر معلومات المستخدم في إخراج whoami.scansafe.net.
ملاحظة:لا يؤثر هذا على "وكيل مستخدم FirePOWER" (UA) نظرا لأنه يستخدم معرف الحدث 4624 لإنشاء تعيينات المستخدمين ولا يتأثر هذا النوع من الأحداث بتحديث الأمان هذا.
المشكلة: لم تعد تعيينات المستخدم إلى IP تظهر في Cisco CDA بعد تحديث Microsoft في مارس 2017
تسبب تحديث الأمان الأخير من Microsoft في حدوث مشاكل في العديد من بيئات العملاء حيث تقوم وحدات التحكم بالمجال الخاصة بها بإيقاف تسجيل معرفات الأحداث 4768 هذه. وترد أدناه قائمة بالكيلوبامترات المزعجة:
KB4012212 (2008) / KB4012213 (2012)
KB4012215 (2008) / KB4012216 (2012)
لتأكيد أن هذه المشكلة ليست مع تكوين التسجيل على وحدة التحكم بالمجال، تأكد من تمكين تسجيل التدقيق المناسب في نهج الأمان المحلي. يجب تمكين العناصر الغامقة في هذا الإخراج أدناه للتسجيل الصحيح لمعرفات الحدث 4768. يجب تشغيل هذا الأمر من موجه أوامر كل DC لا يقوم بتسجيل الأحداث:
C:\Users\Administrator>auditpol /get /category:*
System audit policy
Category/Subcategory Setting
System
Security System Extension No Auditing
System Integrity Success and Failure
IPsec Driver No Auditing
Other System Events Success and Failure
Security State Change Success
Logon/Logoff
Logon Success and Failure
Logoff Success
Account Lockout Success
IPsec Main Mode No Auditing
IPsec Quick Mode No Auditing
IPsec Extended Mode No Auditing
Special Logon Success
Other Logon/Logoff Events No Auditing
Network Policy Server Success and Failure
...output truncated...
Account Logon
Kerberos Service Ticket Operations Success and Failure
Other Account Logon Events Success and Failure
Kerberos Authentication Service Success and Failure
Credential Validation Success and Failure
C:\Users\Administrator>
إذا رأيت أنه لم يتم تكوين تسجيل الدخول المناسب للتدقيق، انتقل إلى نهج الأمان المحلي > إعدادات الأمان > السياسات المحلية > نهج التدقيق وتأكد أن أحداث تسجيل الدخول إلى حساب التدقيق تم تعيينها إلى النجاح، كما هو موضح في الصورة:
الحلول المحتملة
(تم التحديث في 3/31/2017)
كحل بديل حالي، تمكن بعض المستخدمين من إزالة تثبيت لوحة المفاتيح (KB) المذكورة أعلاه، وتم إستئناف تسجيل معرفات أحداث 4768. لقد أثبت هذا الأمر فعاليته لجميع عملاء Cisco حتى الآن.
كما قدمت Microsoft الحل البديل التالي لبعض العملاء الذين يواجهون هذه المشكلة كما هو موضح في منتديات الدعم. لاحظ أن هذا لم يتم إختباره أو التحقق منه بالكامل بعد في معامل Cisco:
نهج التدقيق الأربعة التي تحتاج إلى تمكينها كحل بديل للخطأ موجودة ضمن تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\تكوين نهج التدقيق المتقدم\نهج التدقيق\تسجيل الدخول إلى الحساب. وينبغي تمكين كل السياسات الأربعة تحت هذا العنوان لتحقيق النجاح والفشل:
التحقق من صحة بيانات اعتماد التدقيق
تدقيق خدمة مصادقة Kerberos
تدقيق عمليات بطاقات خدمة Kerberos
تدقيق أحداث تسجيل الدخول إلى حساب آخر
عند تمكين هذه السياسات الأربعة، يجب أن تبدأ في رؤية أحداث نجاح 4768/4769 مرة أخرى.
ارجع إلى الصورة أعلاه التي تظهر تكوين نهج التدقيق المتقدم في أسفل الجزء الأيسر.
الحل
وحتى تاريخ هذا النشر الأولي (3/28/2017)، لا نعرف بعد أي إصلاح دائم من Microsoft. ومع ذلك، فهم على دراية بهذه المشكلة ويعملون على إصلاح لها.
هناك العديد من مؤشرات الترابط التي تتتبع هذه المشكلة:
ريديت:
https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/
UltimateWindowsSecurity.com:
http://forum.ultimatewindowssecurity.com/Topic7340-276-1.aspx
مايكروسوفت تك نت:
https://social.technet.microsoft.com/Forums/systemcenter/en-US/4136ade9-d287-4a42-b5cb-d6042d227e4f/kb4012216-issue-with-event-id-4768?forum=winserver8gen
يتم تحديث هذا المستند مع توفر المزيد من المعلومات أو إذا أعلنت Microsoft عن إصلاح دائم لهذه المشكلة.