تخطي إلى المحتوى الرئيسي
الدعم
تسجيل الدخول
تسجيل الدخول باستخدام حساب Microsoft
تسجيل الدخول أو إنشاء حساب.
مرحباً،
تحديد استخدام حساب مختلف!
لديك حسابات متعددة
اختر الحساب الذي تريد تسجيل الدخول باستخدامه.

الملخص

Windows تحديثات CVE-2021-42282 التي تم إصدارها في 9 نوفمبر 2021 عمليات التحقق التالية من السمات في Active Directory (AD):

  • اسم المستخدم الأساسي (UPN) وتفرد اسم الخدمة الأساسي (SPN) (جديد إلى Windows 8، Windows Server 2012، وال الإصدارات السابقة) 

  • تفرد الاسم المستعار SPN (الجديد لجميع Windows الإصدارات) 

تفرد اسم المستخدم الأساسي واسم الخدمة الأساسي

تضمن هذه الميزة أن تكون SPNs فريدة في غابة، مما يمنع أجهزة الكمبيوتر ووحدات التحكم بالمجال من إضافة SPNs المتكررة. توجد هذه الوظيفة بالفعل في Windows 8.1 والأعلى وقد تم وصفها في تفرد SPN و UPN.

تفرد الاسم المستعار SPN

تعرف السمة AD الموجودة أسماء مستعارة للعديد من فئات الخدمات الشائعة إلى SPN المضيف المكافئ لخدمات مثل CIFS وHTTP وRPC. يتم تعريف السمة AD كقائمة في سياق تسمية التكوين الغابات Active Directory. قد لا يقوم المستخدم الذي ليس لديه حقوق المسؤول ب إعادة تعيين SPN تم تعيينه ضمنيا إلى حساب آخر باستخدام هذا الاسم المستعار.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يتم تنفيذ عملية التحقق هذه بالإضافة إلى التحقق من تفرد UPN و SPN.

يتم بشكل افتراضي إجراء عمليات التحقق من تفرد أسماء SPN المستعارة. يمكنك إيقاف تشغيل عمليات التحقق هذه عن طريق تعديل الحرف 21 من السمة dSHeuristics ، التي يتم تفسيرها كسلسلة من الأحرف. لا تكون السمة dSHeuristics موجودة بشكل افتراضي، ولكن يمكنك إضافتها تحت الاسم المميز "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". الإعدادات المحتملة وقيم البت المناظرة لها هي كما يلي:

  • القيمة 0 – تعني فرض الكل (بدون تعيين بت 000) افتراضي

  • القيمة 1 – تعني تعطيل التحقق من تفرد UPN (مجموعة بت 0 - 001)

  • القيمة 2 – تعني تعطيل التحقق من تفرد SPN (مجموعة بت 1 - 010)

  • القيمة 3 – تعني تعطيل تفرد UPN والتحقق من تفرد SPN. (مجموعة بت 0 و1 - 011)

  • القيمة 4 – تعني تعطيل التحقق من تفرد أسماء SPN المستعارة (مجموعة بت 2 - 100)

  • القيمة 5 – تعني تعطيل التحقق من تفرد SPN المستعار و UPN (مجموعة بت 2 و0 - 101)

  • القيمة 6 - تعني تعطيل تفرد SPN المستعار و SPN (مجموعة البت 2 و بت 1 - 110)

  • القيمة 7 – تعني تعطيل الكل (تعيين كل البتات 111)

مثال: إذا لم يتم تمكين إعدادات dSHeuristics أخرى في غابتك وتريد تعطيل التحقق من تفرد أسماء SPN المستعارة فقط، يجب تعيين السمة dSHeuristics إلى: "000000000100000000024"

الأحرف التي تم تعيينها في هذه الحالة هي:
حرف 10: يجب تعيينه إلى 1 إذا كانت السمة dSHeuristics 10 أحرف على الأقل
حرف 20: يجب تعيينه إلى 2 إذا كانت السمة dSHeuristics 20 حرفا على الأقل
21st char: يجب تعيينها إلى قيمة في القائمة أعلاه؛ القيمة 4 تعني تعطيل تفرد أسماء SPN المستعارة.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. إذا تم تعيين السمة dSHeuristics بالفعل، فتأكد من دمج الإعدادات الموجودة في سلسلة سمة dSHeuristics الجديدة وتأكد من تعيين الأحرف 10 و20 و21 كما هو أعلاه. يجب أن تظل الأحرف الأخرى التي تم تعيينها بالفعل بدون تغيير.

لمزيد من المعلومات حول تكوين أحرف dSHeuristics، الرجاء الرجوع إلى المستندات التالية:

مزيد من المعلومات

ما هو اسم الخدمة الأساسي؟

الاسم الرئيسي للخدمة (SPN) هو معرف فريد لمثيل الخدمة. تستخدم مصادقة Kerberos SPNs لاقران مثيل خدمة مع حساب تسجيل الدخول إلى الخدمة. يسمح ذلك لتطبيق عميل بطلب مصادقة الخدمة على حساب حتى لو لم يكن اسم الحساب لدى العميل. الرجاء الاطلاع على الأسماء الأساسية للخدمة للحصول على مزيد من التفاصيل.

ما هو اسم المستخدم الأساسي؟

اسم المستخدم الأساسي (UPN) هو اسم تسجيل الدخول على نمط البريد الإلكتروني للمستخدم استنادا إلى RFC 822 القياسي عبر الإنترنت. لمزيد من التفاصيل، الرجاء الاطلاع على سمة اسم المستخدم-الأساسي.

المتداولة:

Q1 ماذا لو احتجت إلى تسجيل اسم مضيف مستعار مكرر ل SPN للحساب؟

A1 قم بتسجيل SPN المطلوب كمسؤول.

Q2 ماذا يحدث إذا قمت إيقاف تشغيل تفرد SPN أو UPN؟

A2 لا نوصي بذلك. إذا لم تكن SPNs فريدة، فإن الأمر يبدو كما لو أن أي من SPNs المكررة غير مسجلة على الإطلاق. يكون لتسجيل SPN مكرر نفس تأثير إلغاء تسجيل السجل الأصلي. إذا لم تكن UPNs فريدة، ستفشل عملية البحث التي يقوم بها المستخدم باستخدام UPNs المكررة.

Q3 ماذا يحدث إذا قمت إيقاف تشغيل تفرد الاسم المستعار SPN؟

A3 لا نوصي بذلك. قد يقوم أحد غير المسؤولين بتغيير دقة اسم مستعار موجود من الدقة الحالية إلى كمبيوتر تحت تحكم غير المسؤول. قد يعمل هذا الكمبيوتر كخدمة لأن مصادقة الخادم التي يوفرها Kerberos ستقبل الحساب الجديد كمضيف صحيح للخدمة بدلا من الحساب الأصلي مع HOST SPN.

Q4 كيف يمكن لمسؤول المجال العثور على شبكات SPN أو UPN مكررة موجودة بالفعل على الشبكة؟

A4 هذا الأمر غير عملي من دون كتابة النصية الموسعة لتسريح كافة SPNs و UPNs من المجال وربطها للعثور على التكرارات.

Q5 ماذا يحدث إذا كان لدي خليط من وحدات التحكم بالمجال التي تم تحديثها ولم يتم تحديثها أو عدم تطابق الإعدادات بين وحدات تحكم المجال؟

A5 لن يتم حظر النسخ المتماثل بسبب تكرار UPN أو SPNs. وبالتالي، يمكن تكرار التكرارات في وحدات التحكم بالمجالات الأخرى إذا تم إنشاء UPNs أو SPNs المكررة على وحدة تحكم مجال لا تملك التحديث.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟
بالضغط على "إرسال"، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. سيتمكن مسؤول تكنولوجيا المعلومات لديك من جمع هذه البيانات. بيان الخصوصية.

نشكرك على ملاحظاتك!

×