Shrnutí
Windows aktualizace pro POLOŽKU CVE-2021-42282 vydané 9. listopadu 2021 přidávají následující ověření atributů ve službě Active Directory (AD):
-
Jedinečnost hlavního názvu uživatele (UPN) a hlavního názvu služby (SPN) (novinka v Windows 8, Windows Server 2012 a starších verzích)
-
Jedinečnost aliasu SPN (novinka ve všech Windows verzích)
Jedinečnost hlavního názvu uživatele a hlavního názvu služby
Tato funkce zaručuje, že názvy SPN jsou v doménové struktuře jedinečné, což zabraňuje počítačům a řadičům domény přidávat duplicitní názvy SPN. Tato funkce už existuje v Windows 8.1 a výše a je popsaná v jedinečných funkcích hlavní název služby a hlavní název uživatele.
Jedinečnost aliasu SPN
Existující atribut AD definuje aliasy pro mnoho běžných tříd služeb na ekvivalentní hlavní název SPN hostitele pro služby, jako je CIFS, HTTP a RPC. Atribut AD je definován jako seznam v kontextu pojmenování konfigurace doménové struktury služby Active Directory. Uživatel, který nemá oprávnění správce, nemusí znovu přiřadit hlavní název služby, který je implicitně přiřazený k jinému účtu pomocí tohoto aliasu.
Poznámka Toto ověření je implementováno kromě ověření jedinečnosti hlavní název uživatele a hlavní název služby (SPN).
Ověření jedinečnosti aliasu SPN je ve výchozím nastavení zachované. Tato ověření můžete vypnout úpravou 21. znaku atributu dSHeuristics , který se interpretuje jako řada znaků. Atribut dSHeuristics ve výchozím nastavení neexistuje, ale můžete ho přidat pod rozlišující název "CN=Adresářová služba,CN=systém Windows NT;CN=Services,CN=Configuration,DC=support,DC=local". Možná nastavení a jejich odpovídající bitové hodnoty jsou následující:
-
Hodnota 0 – znamená Vynucovat vše (žádné bity nastavené 000) Výchozí
-
Hodnota 1 – znamená zakázat ověření jedinečnosti ŘSD (bit 0 set - 001)
-
Hodnota 2 – znamená zakázat ověření jedinečnosti SPN (bit 1 set - 010)
-
Hodnota 3 – znamená zakázat jedinečnost hlavní název uživatele (UPN) a ověření jedinečnosti SPN. (bit 0 a 1 set – 011)
-
Hodnota 4 – znamená zakázat ověření jedinečnosti aliasu SPN (bit 2 set - 100)
-
Hodnota 5 – znamená zakázat ověření jedinečnosti SPN Alias AND UPN (bit 2 a bit 0 set - 101)
-
Hodnota 6 – znamená zakázat alias SPN a jedinečnost SPN (bit 2 a bit 1 set - 110)
-
Hodnota 7 – znamená Zakázat vše (všechny bity nastavené 111)
Příklad: Pokud nemáte v doménové struktuře povolené žádné jiné nastavení dSHeuristics a chcete ověřování jedinečnosti aliasu SPN zakázat, měl by být atribut dSHeuristics nastavený na hodnotu : "000000000100000000024"
Znaky nastavené v tomto případě jsou: 10. znak: Pokud je atribut dSHeuristics nejméně 10 znaků, musí být nastaven na hodnotu 1. 20. znak: Pokud má atribut dSHeuristics hodnotu nejméně 20 znaků, musí být nastavena na hodnotu 2. 21. znak: Musí být nastavena na hodnotu v seznamu výše; hodnota 4 znamená Zakázat jedinečnost aliasu SPN.Poznámka Pokud je atribut dSHeuristics už nastavený, nezapomeňte sloučit existující nastavení do nového řetězce atributu dSHeuristics a potvrdit, že jsou 10, 20. a 21. znaky nastavené výše. Ostatní znaky, které už jsou nastavené, by měly zůstat beze změny.
Další informace o konfiguraci znaků dSHeuristics najdete v následujících dokumentech:
Více informací
Co je hlavní název služby?
Hlavní název služby (SPN) je jedinečný identifikátor instance služby. Ověřování protokolem Kerberos používá k přidružení instance služby k přihlašovacímu účtu služby sítě SPN. Klientská aplikace tak může požádat, aby služba ověřila účet, i když klient nemá název účtu. Další podrobnosti najdete v tématu Hlavní názvy služeb.
Co je hlavní uživatelské jméno?
Hlavní uživatelské jméno (UPN) je přihlašovací jméno ve stylu e-mailu pro uživatele založené na internetovém standardu RFC 822. Další podrobnosti najdete v tématu Atribut User-Principal-Name.
Časté dotazy
Otázka 1 Co když potřebuji zaregistrovat duplicitní název SPN aliasu HOST pro účet?
A1 Zaregistrujte požadovaný hlavní název služby jako správce.
Otázka: Co se stane, když vypnu jedinečnost hlavní název služby nebo hlavní název uživatele?
A2 Nedoporučujeme to. Pokud názvy SPN nejsou jedinečné, je to, jako by všechny názvy SPN, které jsou duplicitní, nebyly vůbec registrovány. Registrace duplicitního názvu SPN má stejný účinek jako zrušení registrace původního názvu služby. Pokud nejsou názvy UPN jedinečné, vyhledávání uživatelů používající duplicitní názvy UPN se nezdaří.
Otázka 3 Co se stane, když vypnem jedinečnost aliasu SPN?
A3 Nedoporučujeme to. Neschůdce může změnit rozlišení existujícího aliasu SPN z aktuálního rozlišení na počítač, který není správcem ovládacího prvku. Tento počítač může fungovat jako tato služba, protože ověřování serveru, které kerberos poskytuje, by přijalo nový účet jako správného hostitele služby místo původního účtu s hlavní název hostitele.
Otázka 4: Jak může správce domény najít duplicitní názvy SPN nebo názvy UPN, které už v síti jsou?
A4 To není praktické, aniž byste napsali rozsáhlé skripty, které by vyjmenovály všechny názvy SPN a hlavní názvy uživatelů z domény a korelaci a našli duplicity.
Otázka 5 Co se stane, když mám kombinaci aktualizovaných řadičů domény, které nejsou aktualizovány nebo neodpovídají nastavení mezi řadiči domény?
A5 Replikace nebude blokována kvůli duplicitním názvům UPN nebo SPN. Duplikáty se proto mohou replikovat do jiných řadičů domény, pokud jsou duplicitní názvy UPN nebo SPN vytvořené na řadiči domény, který aktualizaci nemá.