Las asignaciones de usuario a IP ya no aparecen en Cisco CDA después de marzo de 2017 Microsoft Update

Opciones de descarga

  • PDF     (209.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (131.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (137.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de abril de 2017
ID del documento:210535

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo superar el problema de la actualización de seguridad de Microsoft de marzo de 2017, que interrumpe la funcionalidad de CDA, es decir, Las asignaciones de usuario ya no aparecen en el agente de directorio contextual (CDA) de SWT.

Antecedentes

Cisco CDA confía en que el ID de evento 4768 se rellene en todas las versiones de los controladores de dominio de Windows 2008 y 2012. Estos eventos indican eventos de inicio de sesión de usuario correctos. Si los eventos de inicio de sesión correctos no se auditan en la directiva de seguridad local o si estos ID de evento no se rellenan por ninguna otra razón, las consultas WMI de CDA para estos eventos no devolverán datos. Como resultado, no se crearán asignaciones de usuarios en CDA y, por lo tanto, la información de asignación de usuarios no se enviará desde CDA al dispositivo de seguridad adaptable (ASA). En los casos en que los clientes están aprovechando las políticas basadas en grupos o usuarios de AD en Cloud Web Security (CWS), la información del usuario no aparece en el resultado whoami.scansafe.net

Nota: Esto no afecta a Firepower User Agent (UA), ya que aprovecha la ID de evento 4624 para crear asignaciones de usuario y este tipo de evento no se ve afectado por esta actualización de seguridad.

Problema: Las asignaciones de usuario a IP ya no aparecen en Cisco CDA después de marzo de 2017 Microsoft Update

Una reciente actualización de seguridad de Microsoft ha causado problemas en varios entornos de clientes en los que sus controladores de dominio dejan de registrar estas ID de eventos 4768.  Los KB infractores se enumeran a continuación:

KB4012212 (2008) / KB4012213 (2012)
KB4012215 (2008) / KB4012216 (2012)


Para confirmar que este problema no está con la configuración de registro en el controlador de dominio, asegúrese de que el registro de auditoría adecuado esté habilitado en la política de seguridad local.  Los elementos en negrita de esta salida deben estar habilitados para el registro correcto de 4768 ID de eventos. Esto debe ejecutarse desde el símbolo del sistema de cada DC que no esté registrando eventos:

C:\Users\Administrator>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure

...output truncated...

Account Logon
  Kerberos Service Ticket Operations      Success and Failure
  Other Account Logon Events              Success and Failure
  Kerberos Authentication Service         Success and Failure
  Credential Validation                   Success and Failure

C:\Users\Administrator>

Si ve que no se ha configurado el registro de auditoría adecuado, navegue hasta Política de seguridad local > Configuración de seguridad > Políticas locales > Política de auditoría y asegúrese de que Eventos de inicio de sesión de cuenta de auditoría esté establecido en Éxito, como se muestra en la imagen:

Soluciones alternativas potenciales

(Actualizado el 31/03/2017)

Como solución temporal actual, algunos usuarios han podido desinstalar los KB mencionados anteriormente y los ID de evento 4768 reanudaron el registro. Esto ha resultado eficaz para todos los clientes de Cisco hasta el momento.

Microsoft también ha ofrecido la siguiente solución a algunos clientes que han superado este problema, como se ve en los foros de soporte.  Tenga en cuenta que esto todavía no se ha probado o verificado completamente en los laboratorios de Cisco:

Las cuatro políticas de auditoría que debe habilitar como solución alternativa al error se encuentran en Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Logon. Las cuatro políticas bajo ese encabezado deben estar habilitadas para el éxito y el fracaso:


Validación de credenciales de auditoría
Servicio de autenticación Kerberos de auditoría
Auditoría de operaciones de notificaciones del servicio Kerberos
Auditar eventos de inicio de sesión en otra cuenta


Cuando habilita estas cuatro políticas, debe empezar a ver los eventos 4768/4769 Success de nuevo.

Consulte la imagen anterior que muestra Advanced Audit Policy Configuration en la parte inferior del panel izquierdo.

Solución

A la fecha de esta publicación inicial (28/03/2017), todavía no conocemos una solución permanente de Microsoft. Sin embargo, son conscientes de este problema y están trabajando en una solución.  

Hay varios subprocesos que siguen este problema:

Reddit:

https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/

UltimateWindowsSecurity.com:

http://forum.ultimatewindowssecurity.com/Topic7340-276-1.aspx

Microsoft TechNet:

https://social.technet.microsoft.com/Forums/systemcenter/en-US/4136ade9-d287-4a42-b5cb-d6042d227e4f/kb4012216-issue-with-event-id-4768?forum=winserver8gen

Este documento se actualiza a medida que se dispone de más información o que Microsoft anuncia una solución permanente para este problema.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
08-Apr-2017
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Kevin Klous
    Cisco TAC Engineer
  • Jeff Richmond
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos