تخطي إلى المحتوى الرئيسي
الدعم
تسجيل الدخول
تسجيل الدخول باستخدام حساب Microsoft
تسجيل الدخول أو إنشاء حساب.
مرحباً،
تحديد استخدام حساب مختلف!
لديك حسابات متعددة
اختر الحساب الذي تريد تسجيل الدخول باستخدامه.

الملخص

يعالج CVE-2021-42278 ثغرة أمنية في تجاوز الأمان تسمح للمهاجمين المحتملين بانتحال شخصية وحدة تحكم المجال باستخدام sAMAccountName لحساب الكمبيوتر.

توفر هذه المقالة تفاصيل إضافية وقسم الأسئلة المتكررة لمدير حسابات أمان Active Directory (SAM) التي تم إدخالها بواسطة تحديثات Windows التي تم إصدارها في 9 نوفمبر 2021 واللاحقة كما هو موثق في CVE-2021-42278.

اختبارات التحقق من صحة Active Directory

بعد تثبيت CVE-2021-42278،سيجر Active Directory عمليات فحص التحقق من الصحة المذكورة أدناه على سمات sAMAccountName و UserAccountControl الخاصة وحسابات الكمبيوتر التي أنشأها أو عدلها المستخدمون الذين ليس لديهم حقوق مسؤول حسابات الجهاز. 

  1. التحقق من صحة sAMAccountType حسابات المستخدمين والكمبيوتر

    • يجب أن يكون لدى حسابات ObjectClass=Computer (أو الفئة الفرعية للكمبيوتر) علامة UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT أو UF_SERVER_TRUST_ACCOUNT

    • يجب أن يكون لدى ObjectClass=User علامة UAC UF_NORMAL_ACCOUNT أو UF_INTERDOMAIN_TRUST_ACCOUNT

  2. التحقق من صحة sAMAccountName للحسابات على الكمبيوتر

    يجب أن تنتهي علامة sAMAccountName لحساب الكمبيوتر الذي تحتوي السمة UserAccountControl الخاصة به على علامة UF_WORKSTATION_TRUST_ACCOUNT ب علامة دولار واحدة ($). عند عدم وُف هذه الشروط، يرجع Active Directory رمز الفشل 0x523 ERROR_INVALID_ACCOUNTNAME. يتم تسجيل عمليات التحقق من الصحة الفاشلة في "دليل-خدمات-SAM" لمعين الحدث 16991 في سجل أحداث النظام.

عند عدم وجود هذه الشروط، يرجع Active Directory رمز فشل ACCESS_DENIED. يتم تسجيل عمليات التحقق من الصحة الفاشلة في "دليل-خدمات-SAM" في سجل أحداث النظام.

أحداث التدقيق

فشل التحقق من صحة فئة الكائن و UserAccountControl

عند فشل التحقق من صحة فئة الكائن و UserAccountControl، سيتم تسجيل الحدث التالي في سجل النظام:

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Directory-Services-SAM

معرف الحدث

16990

نص الحدث

منعت إدارة حساب الأمان أحد غير المسؤولين من إنشاء حساب Active Directory في هذا المجال مع علامة نوع حساب ObjectClass و userAccountControl غير المطابقين.

التفاصيل‬:

اسم الحساب: ٪1٪n

Account objectClass: ٪2٪n

userAccountControl: ٪3٪n

عنوان المتصل: ٪4٪n

المتصل SID: ٪5٪n٪n

فشل التحقق من صحة اسم حساب SAM

عند فشل التحقق من صحة اسم حساب SAM، سيتم تسجيل الحدث التالي في سجل النظام:

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Directory-Services-SAM

معرف الحدث

16991

نص الحدث

منعت إدارة حساب الأمان أحد غير المسؤولين من إنشاء حساب كمبيوتر أو إعادة تسمية حساب باستخدام sAMAccountName غير صالح. يجب أن ينتهي sAMAccountName على حسابات الكمبيوتر ب علامة $واحدة زائدة.

حاول sAMAccountName: ٪1

sAMAccountName الموصى به: ٪1$

أحداث تدقيق إنشاء حساب كمبيوتر ناجحة

تتوفر أحداث التدقيق الموجودة التالية لإنشاء حساب كمبيوتر بنجاح:

  • 4741(S): تم إنشاء حساب كمبيوتر

  • 4742(S): تم تغيير حساب كمبيوتر

  • 4743(S): تم حذف حساب كمبيوتر

لمزيد من المعلومات، راجع تدقيق إدارة حساب الكمبيوتر.

الأسئلة المتداولة

الربع الأول. كيف يؤثر هذا التحديث على العناصر الموجودة في Active Directory؟

A1. بالنسبة إلى العناصر الموجودة، يحدث التحقق من الصحة عندما يقوم المستخدمون الذين ليس لديهم حقوق المسؤول بتعديل سمات sAMAccountName أو UserAccountControl.

Q2. ما هو sAMAccountName؟

A2. sAMAccountName هي سمة فريدة لكل أساسيات الأمان في Active Directory وتتضمن المستخدمين والمجموعات وأجهزة الكمبيوتر. تم توثيق قيود الاسم ل sAMAccountName في 3.1.1.6قيود السمات للتحديثات الأساسية .

Q3. ما هو sAMAccountType؟

A3. لمزيد من المعلومات، يرجى قراءة المستندات التالية:

هناك ثلاث قيم sAMAccountType محتملة تتوافق مع أربع من أعلام UserAccountcontrol المحتملة كما يلي:

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

Q4. ما هي القيم المحتملة ل UserAccountControl؟

A4. لمزيد من المعلومات، يرجى قراءة المستندات التالية:

Q5. كيف يمكنني العثور على كائنات غير متوافقة موجودة بالفعل في بيئتي؟

A5. يمكن للمسؤولين البحث في دليلهم عن حسابات غير متوافقة موجودة باستخدام برنامج PowerShell النصي مثل الأمثلة أدناه.

للعثور على حسابات الكمبيوتر التي لديها sAMAccountNameغير متوافق:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

للعثور على حسابات الكمبيوتر التي لديها UserAccountControl sAMAccountType غير متوافق:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

الموارد

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟
بالضغط على "إرسال"، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. سيتمكن مسؤول تكنولوجيا المعلومات لديك من جمع هذه البيانات. بيان الخصوصية.

نشكرك على ملاحظاتك!

×