Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Sammendrag

CVE-2021-42278 adresserer en sikkerhedssikkerhedsrisiko, der gør det muligt for mulige hackere at udgive sig for at være en domænecontroller ved hjælp af en computerkonto sAMAccountName spoofing.

Denne artikel indeholder yderligere oplysninger og et afsnit med ofte stillede spørgsmål til ACTIVE Directory Security Accounts Manager (SAM) og hardening af ændringer, der er foretaget i Windows-opdateringer, der blev udgivet d. 9. november 2021 og senere som dokumenteret i CVE-2021-42278.

Active Directory-valideringskontrol

Når du har installeret CVE-2021-42278,udfører Active Directory de valideringsinspektioner, der er angivet nedenfor, på attributterne sAMAccountName og UserAccountControl for computerkonti, der er oprettet eller ændret af brugere, der ikke har administratorrettigheder til computerkonti. 

  1. sAMAccountType-validering for bruger- og computerkonti

    • ObjectClass=Computer-konti (eller underklasse af computer) skal have UserAccountControl-flag UF_WORKSTATION_TRUST_ACCOUNT eller UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=User skal have UAC-flag af UF_NORMAL_ACCOUNT eller UF_INTERDOMAIN_TRUST_ACCOUNT

  2. sAMAccountName validering for computerkonti

    SAMAccountName for en computerkonto, hvis UserAccountControl-attribut indeholder flaget UF_WORKSTATION_TRUST_ACCOUNT skal slutte med et enkelt dollartegn ($). Hvis disse betingelser ikke er opfyldt, returnerer Active Directory 0x523 ERROR_INVALID_ACCOUNTNAME. Mislykkede valideringer logføres i hændelses-id'et Directory-Services-SAM 16991 i systemhændelsesloggen.

Hvis disse betingelser ikke er opfyldt, returnerer Active Directory en fejlkode for ACCESS_DENIED. Mislykkede valideringer logføres i hændelses-id'et Directory-Services-SAM 16990 i systemhændelsesloggen.

Overvågningshændelser

Objektklasse og UserAccountControl-valideringsfejl

Når objektklassen og valideringen UserAccountControl mislykkes, logføres følgende hændelse i systemloggen:

Hændelseslog

System

Hændelsestype

Fejl

Hændelseskilde

Directory-Services-SAM

Hændelses-id

16990

Hændelsestekst

Sikkerhedskontoadministratoren har blokeret en ikke-administrator i at oprette en Active Directory-konto i dette domæne med ikke-overensstemmende objektFlag af typen Class og userAccountControl-kontotype.

Detaljer:

Kontonavn: %1%n

Account objectClass: %2%n

userAccountControl: %3%n

Opkaldsadresse: %4%n

Sid på opkalds side: %5%n%n

Valideringsfejl i SAM-kontonavn

Når valideringen af SAM-kontonavn mislykkes, logføres følgende hændelse i systemloggen:

Hændelseslog

System

Hændelsestype

Fejl

Hændelseskilde

Directory-Services-SAM

Hændelses-id

16991

Hændelsestekst

Sikkerhedskontoadministratoren har blokeret en ikke-administrator i at oprette eller omdøbe en computerkonto ved hjælp af en ugyldig sAMAccountName. sAMAccountName på computerkonti skal slutte med et enkelt efterstillet $-tegn.

Forsøgte sAMAccountName: %1

Anbefalet sAMAccountName: %1$

Overvågningshændelser for oprettelse af computerkonto

Følgende eksisterende overvågningshændelser kan benyttes ved oprettelse af en computerkonto:

  • 4741(S): Der blev oprettet en computerkonto

  • 4742(S): En computerkonto blev ændret

  • 4743(S): En computerkonto blev slettet

Du kan finde flere oplysninger i Audit Computer Account Management.

Ofte stillede spørgsmål

K1. Hvordan påvirker denne opdatering eksisterende objekter i Active Directory?

A1. For eksisterende objekter sker valideringen, når brugere, der ikke har administratorrettigheder, ændrer attributterne sAMAccountName eller UserAccountControl.

K2. Hvad er et sAMAccountName?

A2. sAMAccountName er en entydig attribut på alle sikkerhedskontityper i Active Directory og omfatter brugere, grupper og computere. Navnebegrænsningerne for sAMAccountName er dokumenteret i 3.1.1.6 Attributbegrænsninger for oprindelige opdateringer.

Kv. 3. Hvad er en sAMAccountType?

A3. Du kan finde flere oplysninger i følgende dokumenter:

Der er tre mulige sAMAccountType-værdier, der svarer til fire mulige UserAccountcontrol-flag som følger:

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

K4. Hvad er de mulige værdier for UserAccountControl?

A4. Du kan finde flere oplysninger i følgende dokumenter:

Kv. 5. Hvordan finder jeg ikke-kompatible objekter, der allerede findes i mit miljø?

A5. Administratorer kan søge i deres katalog efter eksisterende ikke-kompatible konti ved hjælp af et PowerShell-script som eksemplerne nedenfor.

Sådan finder du computerkonti, der har et ikke-kompatibelt sAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Sådan finder du computerkonti, der har en ikke-kompatibel UserAccountControl sAMAccountType:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Ressourcer

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×