Shrnutí
CVE-2021-42278 řeší chybu zabezpečení, která umožňuje potenciálním útočníkům zosobnit řadič domény pomocí falšování falšování uživatelského účtu počítače sAMAccountName.
Tento článek obsahuje další podrobnosti Windows část s častými otázkami týkající se změn vytvrzených aktualizací Windows vydaných 9. listopadu 2021 Windows novějších verzí, jak je dokumentované v článku CVE-2021-42278.
Kontroly ověření služby Active Directory
Po instalaci aplikace CVE-2021-42278provede služba Active Directory níže uvedené kontroly ověření atributů sAMAccountName a UserAccountControl účtů počítačů vytvořených nebo upravených uživateli, kteří nemají oprávnění správce pro účty počítačů.
-
sAMAccountType validation for user and computer accounts
-
ObjectClass=Účty počítače (nebo podtřídy počítače) musí mít příznaky UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT nebo UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=Uživatel musí mít příznaky UAC UF_NORMAL_ACCOUNT nebo UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
sAMAccountName validation for computer accounts
SAMAccountName účtu počítače, jehož atribut UserAccountControl obsahuje příznak UF_WORKSTATION_TRUST_ACCOUNT musí končit jedním znakem dolaru ($). Pokud tyto podmínky nejsou splněné, vrátí služba Active Directory kód chyby 0x523 ERROR_INVALID_ACCOUNTNAME. Neúspěšná ověření jsou v protokolu systémových událostí zaznamenána v id události Directory-Services-SAM 16991.
Pokud tyto podmínky nejsou splněné, vrátí služba Active Directory kód chyby ACCESS_DENIED. Neúspěšná ověření jsou v protokolu systémových událostí zaznamenána v id události Directory-Services-SAM 16990.
Události auditování
Třída objektu a chyba ověření UserAccountControl
Když se ověření třídy Object a UserAccountControl nepodaří, zaprotokoluje se do systémového protokolu následující událost:
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
Directory-Services-SAM |
ID události |
16990 |
Text události |
Správce účtů zabezpečení zablokoval jinému správci vytvoření účtu služby Active Directory v této doméně s neodpovídající příznaky typu objectClass a userAccountControl. Podrobnosti: Název účtu: %1%n Objekt účtuClass: %2%n userAccountControl: %3%n Adresa volajícího: %4%n Identifikátor SID volajícího: %5%n%n |
Chyba ověření názvu účtu SAM
Když ověření názvu účtu SAM selže, do systémového protokolu se zaprotokoluje následující událost:
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
Directory-Services-SAM |
ID události |
16991 |
Text události |
Správce účtů zabezpečení zablokoval, aby správce nevytvářel nebo přejmenováoval účet počítače pomocí neplatného názvu účtu sAMAccountName. sAMAccountName v účtech počítačů musí končit jedním koncovým znakem $. Pokus o sAMAccountName: %1 Doporučené sAMAccountName: %1$ |
Úspěšné události auditování vytvoření účtu počítače
Pro úspěšné vytvoření účtu počítače jsou k dispozici následující existující události auditování:
-
4741(S): Byl vytvořen účet počítače.
-
4742(S): Účet počítače se změnil
-
4743(S): Účet počítače byl odstraněn.
Další informace najdete v tématu Auditování správy účtů počítače.
Nejčastější dotazy
Q1. Jak tato aktualizace ovlivní existující objekty ve službě Active Directory?
A1. U existujících objektů ověření nastane, když uživatelé, kteří nemají oprávnění správce, upraví atributy sAMAccountName nebo UserAccountControl.
2. Co je sAMAccountName?
A2. sAMAccountName je jedinečný atribut u všech objektů zabezpečení ve službě Active Directory a zahrnuje uživatele, skupiny a počítače. Omezení názvů pro sAMAccountName jsou dokumentována v části 3.1.1.6 Omezeníatributů pro původní aktualizace .
Q3. Co je sAMAccountType?
A3. Další informace najdete v následujících dokumentech:
Existují tři možné hodnoty sAMAccountType, které odpovídají čtyřem možným příznakům ovládacího prvku UserAccount takto:
userAccountControl |
sAMAccountType |
---|---|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
Q4. Jaké jsou možné hodnoty pro UserAccountControl?
A4. Další informace najdete v následujících dokumentech:
5. otázka. Jak najdu nevyhovující objekty, které už v mém prostředí existují?
A5. Správci můžou pomocí skriptu PowerShellu, jako jsou následující příklady, hledat v adresáři stávající účty, které nevyhovují předpisům.
Vyhledání počítačových účtů, které mají nevyhovující sAMAccountName:
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Vyhledání počítačových účtů, které mají nevyhovující useraccountcontrol sAMAccountType:
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |