|
Промяна на датата |
Промяна на описанието |
|
3 февруари 2026 г. |
|
Резюме
Актуализации на Windows за CVE-2021-42282 , издадени на 9 ноември 2021 г., добавете следните проверки за атрибутите в Active Directory (AD):
-
Уникалност на основно потребителско име (UPN) и основно име на услуга (SPN) (ново в Windows 8, Windows Server 2012 г. и по-стари издания)
-
Уникалност на псевдоними в SPN (нови за всички версии на Windows)
Уникалност на основно потребителско име и основно име на услуга
Тази функция гарантира, че SPN са уникални в гора, което предотвратява добавянето на дублирани SPN от компютри и домейнови контролери. Тази функционалност вече съществува в Windows 8.1 и по-нови версии и е описана в SPN и UPN уникалност.
Уникалност на SPN псевдоним
Съществуващият атрибут AD дефинира псевдонимите за много често срещани класове услуги към еквивалентния HOST SPN за услуги като CIFS, HTTP и RPC. Атрибутът AD се дефинира като списък в контекста на наименуване на конфигурация на структура на Active Directory. Потребител, който няма права на администратор, може да не присвои повторно SPN, който е неявно присвоен на друг акаунт с помощта на този псевдоним.
Забележка Тази проверка е внедрена в допълнение към проверката за уникалност на UPN и SPN.
Проверките за уникалност на псевдонимите на SPN са включена по подразбиране. Можете да изключите тези проверки, като промените21-ия знак на атрибута dSHeuristics , който се интерпретира като поредица от знаци. Атрибутът dSHeuristics не съществува по подразбиране, но можете да го добавите под отличаващото име "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Възможните настройки и съответните им битове стойности са както следва:
-
Стойност 0 – означава Налагане на всички (не са зададени битове 000) по подразбиране
-
Стойност 1 – означава забраняване на проверката за уникалност на UPN (набор бит 0 – 001)
-
Стойност 2 – означава забраняване на проверката за уникалност на SPN (бит 1 – 010)
-
Стойност 3 – означава забраняване на проверката за уникалност на UPN И SPN уникалност. (бит 0 и 1 набор – 011)
-
Стойност 4 – означава забраняване на проверката за уникалност на псевдоними на SPN (набор бит 2 – 100)
-
Стойност 5 – означава забраняване на псевдонима на SPN И проверката за UPN уникалност (бит 2 и бит 0, зададен със 101)
-
Стойност 6 – означава забраняване на spn псевдоним и SPN уникалност (бит 2 и бит 1 набор – 110)
-
Стойност 7 – означава "Забрани всички" (всички битове са зададени 111)
Пример: Ако нямате други настройки за dSHeuristics, разрешени във вашата гора, и искате да забраните само проверката за уникалност на псевдоними на SPN, атрибутът dSHeuristics трябва да бъде зададен на: "000000000100000000024" Знаците, които са зададени в този случай, са:10-и знак: Трябва да бъде зададен на 1, ако атрибутът dSHeuristics е най-малко 10 знака20-и знак: Трябва да се зададе на 2, ако атрибутът dSHeuristics е поне 20 знака 21st char: Трябва да се зададе стойност в списъка по-горе; стойност 4 означава Забраняване на уникалността на псевдоними на SPN.
Забележка Ако атрибутът dSHeuristics вече е зададен, не забравяйте да обедините съществуващите настройки в новия низ на атрибута dSHeuristics и да се уверите, че 10-ти, 20-ият и 21-ия знак са зададени по-горе. Другите знаци, които вече са зададени, трябва да останат непроменени.
За повече информация относно конфигурирането на знаците за dSHeuristics вижте следните документи:
Още информация
Какво е основно име на услуга?
Основно име на услуга (SPN) е уникален идентификатор за екземпляр на услуга. Удостоверяването Kerberos използва SPN за свързване на екземпляр на услуга с акаунт за влизане на услуга. Това позволява на клиентско приложение да поиска услугата да удостовери акаунт дори ако клиентът няма името на акаунта. Вижте Основни имена на услуги за повече подробности.
Какво е основно потребителско име?
Основното потребителско име (UPN) е име за влизане в имейл стил за потребител, базирано на стандартния за интернет RFC 822. За повече подробности вижте атрибута User-Principal-Name.
Често задавани въпроси
В1 Какво да направя, ако трябва да регистрирам дублиран HOST alias SPN за акаунт?
A1 Регистрирайте необходимия SPN като администратор на Active Directory Enterprise.
В2 Какво се случва, ако изключа SPN или UPN уникалността?
A2 Не препоръчваме това. Ако SPN не са уникални, то все едно всички SPN, които са дубликати, изобщо не са регистрирани. Регистрирането на дублиран SPN има същия ефект като премахването на регистрацията на първоначалния spN. Ако UPN не са уникални, потребителските справки, използващи дублирани UPN, ще бъдат неуспешни.
В3 Какво се случва, ако изключа уникалността на SPN псевдонимите?
A3 Не препоръчваме това. Не администратор може да промени решението на съществуващ ПСЕВДОНИМ SPN от текущата си разделителна способност на компютър под контрола, която не е на администратор. Този компютър може да действа като тази услуга, защото удостоверяването на сървъра, което предоставя Kerberos, ще приеме новия акаунт като правилен хост за услугата вместо първоначалния акаунт с HOST SPN.
В4 Как може администратор на домейн да открие дублирани SPN или UPN, които вече са налични в мрежата?
A4 Това не е практично, без да се напишат подробни скриптове за изброяване на всички SPN и UPN от домейна и да се съпоставят с намирането на дубликати.
Q5 Какво се случва, ако имам смесица от домейнови контролери, които се актуализират и не се актуализират или несъвпадат настройки между домейнови контролери?
A5 Репликацията няма да бъде блокирана поради дублирани UPN или SPN. Следователно дубликати могат да репликира други домейнови контролери, ако дублирани UPN или SPN са създадени на домейнов контролер, който няма актуализацията.
