|
Změnit datum |
Změnit popis |
|
středa 3. února 2026 |
|
Shrnutí
Aktualizace Windows pro CVE-2021-42282 vydané 9. listopadu 2021 přidávají následující ověření atributů ve službě Active Directory (AD):
-
Jedinečnost hlavního názvu uživatele (UPN) a hlavního názvu služby (SPN) (nové verze Windows 8, Windows Server 2012 a starší verze)
-
Jedinečnost aliasu hlavního názvu služby (nové ve všech verzích Windows)
Hlavní název uživatele a jedinečný název instančního objektu
Tato funkce zaručuje, že hlavní názvy služeb jsou v doménové struktuře jedinečné, což brání počítačům a řadičům domény v přidávání duplicitních hlavních názvů služeb. Tato funkce již existuje v Windows 8.1 a vyšších verzích a je popsána v tématu o jedinečnosti hlavního názvu služby (SPN) a hlavního názvu uživatele (UPN).
Jedinečnost aliasu hlavního názvu služby (SPN)
Existující atribut AD definuje aliasy pro mnoho běžných tříd služby ekvivalentnímu hlavnímu názvu služby hostitele pro služby, jako jsou CIFS, HTTP a RPC. Atribut AD je definován jako seznam v názvovém kontextu konfigurace doménové struktury služby Active Directory. Uživatel, který nemá oprávnění správce, nemusí změnit přiřazení hlavního názvu služby (SPN), který je implicitně přiřazen k jinému účtu pomocí tohoto aliasování.
Poznámka Toto ověření se implementuje společně s ověřením jedinečnosti hlavního názvu uživatele (UPN) a hlavního názvu služby (SPN).
Ověřování jedinečnosti aliasu hlavního názvu služby (SPN) je ve výchozím nastavení zapnuté. Tato ověření můžete vypnout úpravou znaku 21statributu dSHeuristics , který se interpretuje jako řada znaků. Atribut dSHeuristics ve výchozím nastavení neexistuje, ale můžete ho přidat pod rozlišujícím názvem "CN=Directory Service,CN=systém Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Možná nastavení a jejich odpovídající hodnoty bitů jsou následující:
-
Hodnota 0 – znamená vynutit vše (bez bitů nastaveno 000) Výchozí
-
Hodnota 1 – znamená zakázat ověření jedinečnosti hlavního názvu uživatele (bit 0 – 001).
-
Hodnota 2 – znamená zakázání ověření jedinečnosti hlavního názvu služby (bit 1 – 010).
-
Hodnota 3 – znamená zákaz jedinečnosti hlavního názvu uživatele (UPN) a ověření jedinečnosti hlavního názvu služby (SPN). (bit 0 a 1 set - 011)
-
Hodnota 4 – znamená zákaz ověření jedinečnosti aliasu hlavního názvu služby (bit 2 nastavený – 100).
-
Hodnota 5 – znamená, že zakáže ověření jedinečnosti aliasu hlavního názvu služby a hlavního názvu uživatele (bit 2 a bit 0 – 101).
-
Hodnota 6 – znamená zakázání aliasu hlavního názvu služby a jedinečnosti hlavního názvu služby (bit 2 a bit 1 – 110)
-
Hodnota 7 – znamená Zakázat vše (všechny bity nastavené na 111)
Příklad: Pokud nemáte v doménové struktuře povolená žádná další nastavení dSHeuristics a chcete zakázat jenom ověření jedinečnosti aliasu hlavního názvu služby (SPN), měl by být atribut dSHeuristics nastavený na hodnotu 000000000100000000024. V tomto případě jsou nastavené znaky: 10. znak: Pokud má atribut dSHeuristics alespoň 10 znaků, musí být nastaven na hodnotu 1. 20. znak: Musí být nastaven na hodnotu 2, pokud má atribut dSHeuristics alespoň 20 znaků. 21. znak : Musí být nastaven na hodnotu ve výše uvedeném seznamu; hodnota 4 znamená zakázat jedinečnost aliasu hlavního názvu služby (SPN).
Poznámka Pokud je atribut dSHeuristics již nastavený, nezapomeňte sloučit existující nastavení do nového řetězce atributu dSHeuristics a ověřte, že 10. , 20. a 21. znak je nastavený výše. Ostatní znaky, které už jsou nastavené, by měly zůstat beze změny.
Další informace o konfiguraci znaků dSHeuristics najdete v následujících dokumentech:
Další informace
Co je hlavní název služby?
Hlavní název služby (SPN) je jedinečný identifikátor instance služby. Ověřování protokolem Kerberos používá hlavní názvy služeb (SPN) k přidružení instance služby k přihlašovacímu účtu služby. To umožňuje klientské aplikaci požádat, aby služba ověřila účet, i když klient nemá název účtu. Další podrobnosti najdete v tématu Hlavní názvy služeb .
Co je hlavní název uživatele?
Hlavní název uživatele (UPN) je přihlašovací jméno uživatele ve stylu e-mailu na základě internetového standardu RFC 822. Další podrobnosti najdete v tématu Atribut User-Principal-Name.
Nejčastější dotazy
Otázka 1 : Co když potřebuji zaregistrovat duplicitní hlavní název služby (SPN) aliasu hostitele pro účet?
A1 Zaregistrujte požadovaný hlavní název služby (SPN) jako správce služby Active Directory Enterprise.
Otázka 2 Co se stane, když vypnu jedinečnost hlavního názvu služby nebo hlavního názvu uživatele (UPN)?
A2 Toto nedoporučujeme. Pokud hlavní názvy služby (SPN) nejsou jedinečné, znamená to, že žádné hlavní názvy služby, které jsou duplicitní, nejsou vůbec zaregistrované. Registrace duplicitního hlavního názvu služby (SPN) má stejný účinek jako zrušení registrace původního hlavního názvu služby. Pokud nejsou názvy UPN jedinečné, vyhledávání uživatelů používající duplicitní názvy UPN se nezdaří.
Otázka 3 Co se stane, když vypnu jedinečnost aliasu hlavního názvu služby (SPN)?
A3 Toto nedoporučujeme. Nesprávce může změnit překlad existujícího hlavního názvu služby (SPN) aliasu z aktuálního rozlišení na počítač, který neřídí správce. Tento počítač může fungovat jako tato služba, protože ověřování serveru, které poskytuje protokol Kerberos, by přijalo nový účet jako správného hostitele služby místo původního účtu s hlavním názvem služby HOST.
Otázka 4: Jak může správce domény najít duplicitní hlavní názvy služeb (SPN) nebo hlavní názvy uživatelů (UPN) už v síti?
A4 To není praktické bez rozsáhlého skriptování, které vytvoří výčet všech hlavních názvů služeb (SPN) a hlavních názvů (UPN) z domény a koreluje k vyhledání duplicit.
Otázka 5 Co se stane, když mám kombinaci řadičů domény, které jsou aktualizované a neaktualizují se nebo se neshodují nastavení mezi řadiči domény?
A5 Replikace nebude blokována kvůli duplicitním hlavním názvům (UPN) nebo hlavních názvů služeb (SPN). Proto se duplicity můžou replikovat do jiných řadičů domény, pokud jsou duplicitní hlavní názvy uživatelů (UPN) nebo hlavní názvy služby vytvořeny na řadiči domény, který nemá aktualizaci.
