Обобщена информация
Windows актуализации за CVE-2021-42282, издадени на 9 ноември 2021 г., добавете следните проверки за атрибути в Active Directory (AD):
-
Уникалност на основното име на потребителя (UPN) и основното име на услугата (SPN) (ново за Windows 8, Windows Server 2012 и по-стари издания)
-
SPN псевдоним уникалност (ново за всички Windows версии)
Уникалност на основното име на потребителя и основното име на услугата
Тази функция гарантира, че SPN мрежите са уникални в гора, което не позволява на компютрите и домейн контролерите да добавят дублирани SPN. Тази функционалност вече съществува в Windows 8.1 и по-горе и е описана в SPN и UPN уникалност.
SPN псевдоним уникалност
Съществуващ атрибут AD дефинира псевдонимите за много често срещани класове услуги на еквивалентната HOST SPN за услуги като CIFS, HTTP и RPC. Атрибутът AD се дефинира като списък в контекста на конфигуриране на именуване на гора на Active Directory. Потребител, който няма права на администратор, може да не възложи повторно SPN, който е имплицитно присвоен на друг акаунт, като използва този псевдоним.
Забележка Тази проверка се изпълнява в допълнение към проверката за уникалност на UPN и SPN.
Проверките за уникалност на псевдонима на SPN са по подразбиране. Можете да изключите тези проверки, като промените 21-вия знакна атрибута dSHeuristics, който се интерпретира като серия от знаци. Атрибутът dSHeuristics не съществува по подразбиране, но можете да го добавите под отличителното име "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Възможните настройки и съответните им бит стойности са следните:
-
Стойност 0 – означава Прилагане на всички (без набор от бита 000) По подразбиране
-
Стойност 1 – означава Забраняване на потвърждаването на UPN уникалност (бит 0 набор – 001)
-
Стойност 2 – означава Забраняване на проверката за уникалност на SPN (бит 1 набор – 010)
-
Стойност 3 – означава Забраняване на upn uniqueness and SPN Uniqueness verification. (бит 0 и 1 набор – 011)
-
Стойност 4 – означава Забраняване на проверката на уникалността на SPN псевдонима (бит 2 набор – 100)
-
Стойност 5 – означава Забраняване на spn alias AND UPN проверка на уникалността (бит 2 и бит 0 набор – 101)
-
Стойност 6 – означава Забраняване на SPN псевдонима AND SPN Uniqueness (бит 2 и бит 1 набор – 110)
-
Стойност 7 – означава Забраняване на всички (всички бита, зададени 111)
Пример: Ако в гората ви не са разрешени други настройки за dSHeuristics и искате само да забраните проверката на уникалността на псевдонимите на SPN, атрибутът dSHeuristics трябва да бъде зададен на: "000000000100000000024"
Знаците, които са зададени в този случай, са:
10-и знак: Трябва да бъде зададен на 1, ако атрибутът dSHeuristics е най-малко 10 знака
20-и знак: Трябва да бъде зададен на 2, ако атрибутът dSHeuristics е най-малко 20 знака
21-ви знак: Трябва да бъде зададена стойност в списъка по-горе; стойност 4 означава Забраняване на spn alias Uniqueness.
Забележка Ако атрибутът dSHeuristics вече е зададен, уверете се, че сте обединили съществуващите настройки в новия низа на атрибута dSHeuristics и се уверете, че 10-ият, 20-ият и 21-ият знак са зададени по-горе. Другите знаци, които вече са зададени, трябва да останат непроменени.
За повече информация относно конфигурирането на знаците за dSHeuristics вижте следните документи:
Допълнителна информация
Какво представлява основното име на услугата?
Основното име на услугата (SPN) е уникален идентификатор за екземпляр на услуга. Удостоверяването на Kerberos използва SPN, за да свърже екземпляр на услуга с акаунт за влизане в услугата. Това позволява на клиентско приложение да поиска услугата да удостовери акаунт дори ако клиентът няма името на акаунта. Вижте Основни имена на услуги за повече подробности.
Какво е основно потребителско име?
Основно потребителско име (UPN) е име за влизане в имейл стил за потребител, базирано на интернет стандартния RFC 822. За повече подробности вижте атрибута Потребителско-основно име.
Често задавани въпроси
В1 Какво става, ако трябва да регистрирам дублиран ПСЕВДОНИМ HOST SPN за акаунт?
A1 Регистрирайте необходимата SPN като администратор.
Q2 Какво се случва, ако изключа SPN или UPN уникалността?
A2 Не препоръчваме това. Ако SPN не са уникални, значи все едно всички SPN, които са дублирани, изобщо не са регистрирани. Регистрирането на дублирана SPN има същия ефект като дерегистрирането на първоначалната. Ако UPN не са уникални, потребителските справки, използващи дублирани UPN, ще бъдат неуспешни.
Q3 Какво се случва, ако изключа spN псевдоним уникалността?
A3 Не препоръчваме това. Не администратор може да промени разделителната способност на съществуващ псевдоним SPN от текущата му разделителна способност на компютър под контролата, която не е администратор. Този компютър може да действа като тази услуга, тъй като удостоверяването на сървъра, което предоставя Kerberos, ще приеме новия акаунт като правилния хост за услугата вместо първоначалния акаунт с HOST SPN.
В4 Как може администратор на домейн да намери дублирани SPN или UPN мрежи, които вече присъстват в мрежата?
A4 Това не е практично, без да пишете обширни скриптове, за да изброите всички SPN и UPN от домейна и да се съпочете с намирането на дубликати.
В5 Какво се случва, ако имам смесица от домейн контролери, които се актуализират и не се актуализират или не са различили настройките между домейн контролерите?
A5 Репликацията няма да бъде блокирана поради дублирани UPN или SPN. Следователно дубликатите могат да се възпроизвеждат на други домейн контролери, ако дублираните UPN или SPN мрежи са създадени на домейнов контролер, който няма актуализацията.
