Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Oversigt

Windows opdateringer til CVE-2021-42282, der blev udgivet d. 9. november 2021, tilføje følgende godkendelser for attributter i Active Directory (AD):

  • Brugerens hovednavn (UPN) og tjenestens hovednavn (SPN) entydighed (nyt for Windows 8, Windows Server 2012 og tidligere versioner) 

  • SPN alias entydighed (nyt for alle Windows versioner) 

Brugerens hovednavn og tjenestens hovednavn entydighed

Denne funktion sikrer, at SPN'er er unikke i en skov, hvilket forhindrer computere og domænecontrollere i at tilføje duplikerede SPN'er. Denne funktionalitet findes allerede i Windows 8.1 og derover og er beskrevet i SPN- og UPN-entydighed.

SPN alias-entydighed

En eksisterende AD-attribut definerer aliasser for mange almindelige tjenesteklasser til det tilsvarende HOST SPN for tjenester som F.eks. CIFS, HTTP og RPC. AD-attributten er defineret som en liste i konfigurationens navngivningskontekst for et Active Directory-område. En bruger, der ikke har administratorrettigheder, tildeler muligvis ikke et SPN, der implicit er tildelt en anden konto ved hjælp af dette alias.

Bemærk Denne bekræftelse implementeres ud over bekræftelsen for UPN- og SPN-entydighed.

SPN-aliasser entydighedsbekræftelser er som standard angivet til. Du kan deaktivere disse bekræftelser ved at ændre det 21. tegn for dSHeuristics-attributten, der fortolkes som en række tegn. Attributten dSHeuristics findes ikke som standard, men du kan tilføje den under det entydige navn "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Mulige indstillinger og deres tilsvarende bitværdier er som følger:

  • Værdi 0 – betyder Gennemtving alle (ingen bit angivet 000) Standard

  • Værdi 1 – betyder Deaktiver UPN-entydighedsbekræftelse (bit 0 angivet - 001)

  • Værdi 2 – betyder Deaktiver SPN-entydighedsbekræftelse (bit 1 sæt - 010)

  • Værdi 3 – betyder Deaktiver UPN-entydighed OG SPN-entydighedsbekræftelse. (bit 0 og 1 sæt - 011)

  • Værdi 4 – betyder Deaktiver SPN Alias Entydighedsbekræftelse (bit 2 angivet - 100)

  • Værdi 5 – betyder Deaktiver SPN-alias OG UPN-entydighedsbekræftelse (bit 2 og bit 0 angivet - 101)

  • Værdi 6 – betyder Deaktiver SPN-alias OG SPN-entydighed (bit 2 og bit 1 sæt - 110)

  • Værdi 7 – betyder Deaktiver alle (alle bit indstillet 111)

Eksempel: Hvis du ikke har nogen andre dSHeuristics-indstillinger aktiveret i din skov, og du kun vil deaktivere godkendelse af SPN-alias entydighed, skal attributten dSHeuristics være indstillet til: "000000000100000000024"

De tegn, der er angivet i dette tilfælde, er:
10. tegn: Skal være indstillet til 1, hvis dSHeuristics-attributten er mindst 10 tegn
20. tegn: Skal være indstillet til 2, hvis dSHeuristics-attributten er mindst 20 tegn
21st tegn: Skal være indstillet til en værdi på listen ovenfor. værdi 4 betyder Deaktiver SPN Alias Entydighed.

Bemærk Hvis attributten dSHeuristics allerede er angivet, skal du flette de eksisterende indstillinger i den nye dSHeuristics-attributstreng og bekræfte, at de 10., 20. og 21. tegn er angivet som ovenfor. De andre tegn, der allerede er angivet, bør forblive uændrede.

Du kan finde flere oplysninger om konfiguration af dSHeuristics-tegnene i følgende dokumenter:

Flere oplysninger

Hvad er en tjenestes hovednavn?

En tjenestes hovednavn (SPN) er et entydig identifier for en tjenesteforekomst. Kerberos-godkendelse bruger SPN'er til at knytte en tjenesteforekomst til en tjenestes logonkonto. Dette giver et klientprogram mulighed for at anmode om, at tjenesten godkender en konto, selvom klienten ikke har kontonavnet. Se Tjenestens hovednavne for at få mere at vide.

Hvad er brugerens hovednavn?

En brugers hovednavn (UPN) er et mail-type logonnavn for en bruger baseret på internetstandard RFC 822. Se attributten User-Principal-Name for at få flere oplysninger.

Ofte stillede spørgsmål

Sp1 Hvad nu, hvis jeg har brug for at registrere et duplikeret HOST alias SPN for konto?

A1 Registrer det nødvendige SPN som administrator.

Kv. 2 Hvad sker der, hvis jeg deaktiverer spn- eller UPN-entydighed?

A2 Vi anbefaler ikke dette. Hvis SPN'er ikke er entydige, er det, som om alle SPN'er, der er dubletter, slet ikke er registreret. Registrering af en dubleret SPN har samme effekt som at fjerne registrering af det oprindelige. Hvis UPN'er ikke er entydige, kan brugeropslag, der bruger duplikerede UPN'er, mislykkes.

Sp3 Hvad sker der, hvis jeg deaktiverer SPN-aliassens entydighed?

A3 Vi anbefaler ikke dette. En ikke-administrator kan ændre opløsningen på et eksisterende alias SPN fra den aktuelle opløsning til en computer, der ikke er administrator. Denne computer fungerer muligvis som denne tjeneste, fordi den servergodkendelse, som Kerberos leverer, accepterer den nye konto som den korrekte vært for tjenesten i stedet for den oprindelige konto med HOST SPN.

Sp4 Hvordan kan en domæneadministrator finde dublerede SPN'er eller UPN'er, der allerede findes på netværket?

A4 Dette er ikke praktisk uden at skrive omfattende scripting for at optæller alle SPN'er og UPN'er fra domænet og korrelere for at finde dubletter.

Sp5 Hvad sker der, hvis jeg har en blanding af domænecontrollere, der opdateres og ikke opdateres, eller ikke-opdaterede eller ikke-opdaterede indstillinger mellem domænecontrollere?

A5 Replikering blokeres ikke på grund af duplikerede UPN'er eller SPN'er. Dubletter kan derfor replikere til andre domænecontrollere, hvis de duplikerede UPN'er eller SPN'er oprettes på en domænecontroller, der ikke har opdateringen.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×