Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí

CVE-2021-42278 řeší chybu zabezpečení, která umožňuje potenciálním útočníkům zosobnit řadič domény pomocí falšování falšování uživatelského účtu počítače sAMAccountName.

Tento článek obsahuje další podrobnosti Windows část s častými otázkami týkající se změn vytvrzených aktualizací Windows vydaných 9. listopadu 2021 Windows novějších verzí, jak je dokumentované v článku CVE-2021-42278.

Kontroly ověření služby Active Directory

Po instalaci aplikace CVE-2021-42278provede služba Active Directory níže uvedené kontroly ověření atributů sAMAccountName a UserAccountControl účtů počítačů vytvořených nebo upravených uživateli, kteří nemají oprávnění správce pro účty počítačů. 

  1. sAMAccountType validation for user and computer accounts

    • ObjectClass=Účty počítače (nebo podtřídy počítače) musí mít příznaky UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT nebo UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=Uživatel musí mít příznaky UAC UF_NORMAL_ACCOUNT nebo UF_INTERDOMAIN_TRUST_ACCOUNT

  2. sAMAccountName validation for computer accounts

    SAMAccountName účtu počítače, jehož atribut UserAccountControl obsahuje příznak UF_WORKSTATION_TRUST_ACCOUNT musí končit jedním znakem dolaru ($). Pokud tyto podmínky nejsou splněné, vrátí služba Active Directory kód chyby 0x523 ERROR_INVALID_ACCOUNTNAME. Neúspěšná ověření jsou v protokolu systémových událostí zaznamenána v id události Directory-Services-SAM 16991.

Pokud tyto podmínky nejsou splněné, vrátí služba Active Directory kód chyby ACCESS_DENIED. Neúspěšná ověření jsou v protokolu systémových událostí zaznamenána v id události Directory-Services-SAM 16990.

Události auditování

Třída objektu a chyba ověření UserAccountControl

Když se ověření třídy Object a UserAccountControl nepodaří, zaprotokoluje se do systémového protokolu následující událost:

Protokol událostí

Systém

Typ události

Chyba

Zdroj události

Directory-Services-SAM

ID události

16990

Text události

Správce účtů zabezpečení zablokoval jinému správci vytvoření účtu služby Active Directory v této doméně s neodpovídající příznaky typu objectClass a userAccountControl.

Podrobnosti:

Název účtu: %1%n

Objekt účtuClass: %2%n

userAccountControl: %3%n

Adresa volajícího: %4%n

Identifikátor SID volajícího: %5%n%n

Chyba ověření názvu účtu SAM

Když ověření názvu účtu SAM selže, do systémového protokolu se zaprotokoluje následující událost:

Protokol událostí

Systém

Typ události

Chyba

Zdroj události

Directory-Services-SAM

ID události

16991

Text události

Správce účtů zabezpečení zablokoval, aby správce nevytvářel nebo přejmenováoval účet počítače pomocí neplatného názvu účtu sAMAccountName. sAMAccountName v účtech počítačů musí končit jedním koncovým znakem $.

Pokus o sAMAccountName: %1

Doporučené sAMAccountName: %1$

Úspěšné události auditování vytvoření účtu počítače

Pro úspěšné vytvoření účtu počítače jsou k dispozici následující existující události auditování:

  • 4741(S): Byl vytvořen účet počítače.

  • 4742(S): Účet počítače se změnil

  • 4743(S): Účet počítače byl odstraněn.

Další informace najdete v tématu Auditování správy účtů počítače.

Nejčastější dotazy

Q1. Jak tato aktualizace ovlivní existující objekty ve službě Active Directory?

A1. U existujících objektů ověření nastane, když uživatelé, kteří nemají oprávnění správce, upraví atributy sAMAccountName nebo UserAccountControl.

2. Co je sAMAccountName?

A2. sAMAccountName je jedinečný atribut u všech objektů zabezpečení ve službě Active Directory a zahrnuje uživatele, skupiny a počítače. Omezení názvů pro sAMAccountName jsou dokumentována v části 3.1.1.6 Omezeníatributů pro původní aktualizace .

Q3. Co je sAMAccountType?

A3. Další informace najdete v následujících dokumentech:

Existují tři možné hodnoty sAMAccountType, které odpovídají čtyřem možným příznakům ovládacího prvku UserAccount takto:

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

Q4. Jaké jsou možné hodnoty pro UserAccountControl?

A4. Další informace najdete v následujících dokumentech:

5. otázka. Jak najdu nevyhovující objekty, které už v mém prostředí existují?

A5. Správci můžou pomocí skriptu PowerShellu, jako jsou následující příklady, hledat v adresáři stávající účty, které nevyhovují předpisům.

Vyhledání počítačových účtů, které mají nevyhovující sAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Vyhledání počítačových účtů, které mají nevyhovující useraccountcontrol sAMAccountType:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Zdroje informací

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×