Sammendrag
CVE-2021-42278 adresserer en sikkerhedssikkerhedsrisiko, der gør det muligt for mulige hackere at udgive sig for at være en domænecontroller ved hjælp af en computerkonto sAMAccountName spoofing.
Denne artikel indeholder yderligere oplysninger og et afsnit med ofte stillede spørgsmål til ACTIVE Directory Security Accounts Manager (SAM) og hardening af ændringer, der er foretaget i Windows-opdateringer, der blev udgivet d. 9. november 2021 og senere som dokumenteret i CVE-2021-42278.
Active Directory-valideringskontrol
Når du har installeret CVE-2021-42278,udfører Active Directory de valideringsinspektioner, der er angivet nedenfor, på attributterne sAMAccountName og UserAccountControl for computerkonti, der er oprettet eller ændret af brugere, der ikke har administratorrettigheder til computerkonti.
-
sAMAccountType-validering for bruger- og computerkonti
-
ObjectClass=Computer-konti (eller underklasse af computer) skal have UserAccountControl-flag UF_WORKSTATION_TRUST_ACCOUNT eller UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User skal have UAC-flag af UF_NORMAL_ACCOUNT eller UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
sAMAccountName validering for computerkonti
SAMAccountName for en computerkonto, hvis UserAccountControl-attribut indeholder flaget UF_WORKSTATION_TRUST_ACCOUNT skal slutte med et enkelt dollartegn ($). Hvis disse betingelser ikke er opfyldt, returnerer Active Directory 0x523 ERROR_INVALID_ACCOUNTNAME. Mislykkede valideringer logføres i hændelses-id'et Directory-Services-SAM 16991 i systemhændelsesloggen.
Hvis disse betingelser ikke er opfyldt, returnerer Active Directory en fejlkode for ACCESS_DENIED. Mislykkede valideringer logføres i hændelses-id'et Directory-Services-SAM 16990 i systemhændelsesloggen.
Overvågningshændelser
Objektklasse og UserAccountControl-valideringsfejl
Når objektklassen og valideringen UserAccountControl mislykkes, logføres følgende hændelse i systemloggen:
Hændelseslog |
System |
Hændelsestype |
Fejl |
Hændelseskilde |
Directory-Services-SAM |
Hændelses-id |
16990 |
Hændelsestekst |
Sikkerhedskontoadministratoren har blokeret en ikke-administrator i at oprette en Active Directory-konto i dette domæne med ikke-overensstemmende objektFlag af typen Class og userAccountControl-kontotype. Detaljer: Kontonavn: %1%n Account objectClass: %2%n userAccountControl: %3%n Opkaldsadresse: %4%n Sid på opkalds side: %5%n%n |
Valideringsfejl i SAM-kontonavn
Når valideringen af SAM-kontonavn mislykkes, logføres følgende hændelse i systemloggen:
Hændelseslog |
System |
Hændelsestype |
Fejl |
Hændelseskilde |
Directory-Services-SAM |
Hændelses-id |
16991 |
Hændelsestekst |
Sikkerhedskontoadministratoren har blokeret en ikke-administrator i at oprette eller omdøbe en computerkonto ved hjælp af en ugyldig sAMAccountName. sAMAccountName på computerkonti skal slutte med et enkelt efterstillet $-tegn. Forsøgte sAMAccountName: %1 Anbefalet sAMAccountName: %1$ |
Overvågningshændelser for oprettelse af computerkonto
Følgende eksisterende overvågningshændelser kan benyttes ved oprettelse af en computerkonto:
-
4741(S): Der blev oprettet en computerkonto
-
4742(S): En computerkonto blev ændret
-
4743(S): En computerkonto blev slettet
Du kan finde flere oplysninger i Audit Computer Account Management.
Ofte stillede spørgsmål
K1. Hvordan påvirker denne opdatering eksisterende objekter i Active Directory?
A1. For eksisterende objekter sker valideringen, når brugere, der ikke har administratorrettigheder, ændrer attributterne sAMAccountName eller UserAccountControl.
K2. Hvad er et sAMAccountName?
A2. sAMAccountName er en entydig attribut på alle sikkerhedskontityper i Active Directory og omfatter brugere, grupper og computere. Navnebegrænsningerne for sAMAccountName er dokumenteret i 3.1.1.6 Attributbegrænsninger for oprindelige opdateringer.
Kv. 3. Hvad er en sAMAccountType?
A3. Du kan finde flere oplysninger i følgende dokumenter:
Der er tre mulige sAMAccountType-værdier, der svarer til fire mulige UserAccountcontrol-flag som følger:
userAccountControl |
sAMAccountType |
---|---|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
K4. Hvad er de mulige værdier for UserAccountControl?
A4. Du kan finde flere oplysninger i følgende dokumenter:
Kv. 5. Hvordan finder jeg ikke-kompatible objekter, der allerede findes i mit miljø?
A5. Administratorer kan søge i deres katalog efter eksisterende ikke-kompatible konti ved hjælp af et PowerShell-script som eksemplerne nedenfor.
Sådan finder du computerkonti, der har et ikke-kompatibelt sAMAccountName:
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Sådan finder du computerkonti, der har en ikke-kompatibel UserAccountControl sAMAccountType:
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |