Les mappages utilisateur-IP n'apparaissent plus dans Cisco CDA après mars 2017 Microsoft Update

Options de téléchargement

  • PDF     (210.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (130.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (136.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:13 avril 2017
ID du document:210535

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment surmonter le problème de la mise à jour de sécurité Microsoft de mars 2017, qui rompt la fonctionnalité CDA i.e. Les mappages utilisateur n'apparaissent plus dans l'agent CDA (Context Directory Agent) SWT.

Informations générales

Cisco CDA s'appuie sur l'ID d'événement 4768 renseigné sur toutes les versions des contrôleurs de domaine Windows 2008 et 2012. Ces événements indiquent que les événements de connexion utilisateur ont réussi. Si les événements d'ouverture de session réussis ne sont pas vérifiés dans la stratégie de sécurité locale ou si ces ID d'événement ne sont pas renseignés pour une autre raison, les requêtes WMI de CDA pour ces événements ne retourneront aucune donnée. Par conséquent, les mappages utilisateur ne seront pas créés dans CDA et par conséquent, les informations de mappage utilisateur ne seront pas envoyées de CDA à l'ASA (Adaptive Security Appliance). Dans les cas où les clients exploitent des stratégies utilisateur ou de groupe à partir d'AD dans Cloud Web Security (CWS), les informations utilisateur n'apparaissent pas dans la sortie whoami.scansafe.net

Remarque : ceci n'affecte pas l'agent utilisateur Firepower, car il utilise l'ID d'événement 4624 pour créer des mappages utilisateur et ce type d'événement n'est pas affecté par cette mise à jour de sécurité.

Problème : Les mappages utilisateur-IP n'apparaissent plus dans Cisco CDA après mars 2017 Microsoft Update

Une mise à jour récente de la sécurité Microsoft a causé des problèmes dans plusieurs environnements clients où leurs contrôleurs de domaine arrêtent de consigner ces ID d'événement 4768.  Les Ko incriminés sont répertoriés ci-dessous :

KB4012212 (2008) / KB4012213 (2012)
KB4012215 (2008) / KB4012216 (2012)


Pour confirmer que ce problème ne concerne pas la configuration de journalisation sur le contrôleur de domaine, assurez-vous que la journalisation d'audit appropriée est activée dans la stratégie de sécurité locale.  Les éléments en gras de cette sortie ci-dessous doivent être activés pour la journalisation correcte des ID d'événement 4768. Cette opération doit être exécutée à partir de l'invite de commande de chaque contrôleur de domaine qui ne consigne pas les événements :

C:\Users\Administrator>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure

...output truncated...

Account Logon
  Kerberos Service Ticket Operations      Success and Failure
  Other Account Logon Events              Success and Failure
  Kerberos Authentication Service         Success and Failure
  Credential Validation                   Success and Failure

C:\Users\Administrator>

Si vous constatez que la journalisation d'audit appropriée n'est pas configurée, accédez à Stratégie de sécurité locale > Paramètres de sécurité > Stratégies locales > Stratégie d'audit et assurez-vous que les événements d'ouverture de session du compte d'audit sont définis sur Réussite, comme l'illustre l'image :

Solutions potentielles

(Mise à jour le 31/03/2017)

Comme solution de contournement actuelle, certains utilisateurs ont pu désinstaller les Ko mentionnés ci-dessus et les ID d'événement 4768 ont repris la journalisation. Jusqu'à présent, cela s'est avéré efficace pour tous les clients Cisco.

Microsoft a également fourni la solution de contournement suivante à certains clients qui abordent ce problème, comme le montrent les forums de support.  Notez que ceci n'a pas encore été entièrement testé ou vérifié dans les laboratoires Cisco :

Les quatre stratégies d'audit que vous devez activer pour contourner le bogue sont sous Ordinateur Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Logon. Les quatre stratégies sous cette rubrique doivent être activées pour Réussite et Échec :


Validation des identifiants d'audit
Service d'authentification Kerberos d'audit
Audit des opérations de ticket de service Kerberos
Audit des autres événements de connexion au compte


Lorsque vous activez ces quatre stratégies, vous devriez recommencer à voir les événements 4768/4769 Success.

Reportez-vous à l'image ci-dessus qui montre Configuration avancée de la stratégie d'audit en bas du volet gauche.

Solution

À la date de cette publication initiale (3/28/2017), nous ne connaissons pas encore de correctif permanent de Microsoft. Cependant, ils sont conscients de ce problème et travaillent à une solution.  

Plusieurs threads suivent ce problème :

Reddit :

https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/

UltimateWindowsSecurity.com:

http://forum.ultimatewindowssecurity.com/Topic7340-276-1.aspx

Microsoft TechNet :

https://social.technet.microsoft.com/Forums/systemcenter/en-US/4136ade9-d287-4a42-b5cb-d6042d227e4f/kb4012216-issue-with-event-id-4768?forum=winserver8gen

Ce document est mis à jour à mesure que davantage d'informations deviennent disponibles ou si Microsoft annonce une correction permanente pour ce problème.

Historique de révision

Révision Date de publication Commentaires
1.0
08-Apr-2017
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Kevin Klous
    Cisco TAC Engineer
  • Jeff Richmond
    Cisco TAC Engineer

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits