|
Rediger dato |
Skift beskrivelse |
|
3. februar 2026 |
|
Sammendrag
Windows-opdateringer til CVE-2021-42282, der er udgivet d. 9. november 2021, tilføjer følgende bekræftelser for attributter i Active Directory (AD):
-
Entydighed for brugerens hovednavn (UPN) og SPN (service principal name) (nyhed i Windows 8, Windows Server 2012 og tidligere versioner)
-
SPN-alias entydighed (nyt for alle Windows-versioner)
Entydighed for brugerens hovednavn og tjenesteprincipalnavn
Denne funktion garanterer, at SPN'er er entydige i et område, hvilket forhindrer computere og domænecontrollere i at tilføje dublerede SPN'er. Denne funktionalitet findes allerede i Windows 8.1 og nyere og er beskrevet i SPN og UPN-entydighed.
ENTYDIGHED FOR SPN-alias
En eksisterende AD-attribut definerer aliasser for mange almindelige tjenesteklasser til det tilsvarende HOST SPN for tjenester som CIFS, HTTP og RPC. AD-attributten er defineret som en liste i konfigurationsnavngivningskonteksten for en Active Directory-skov. En bruger, der ikke har administratorrettigheder, tildeler muligvis ikke et SPN, der implicit er tildelt en anden konto, ved hjælp af dette alias.
Bemærk! Denne bekræftelse implementeres ud over bekræftelsen for UPN- og SPN-entydighed.
Bekræftelser af entydighed for SPN-alias er som standard slået til. Du kan slå disse bekræftelser fra ved at ændre dSHeuristics-attributtens 21st-tegn, som fortolkes som en række tegn. Attributten dSHeuristics findes ikke som standard, men du kan tilføje den under det entydige navn "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Mulige indstillinger og deres tilsvarende bitværdier er som følger:
-
Værdi 0 – betyder Gennemtving alle (ingen bit angivet til 000) Standard
-
Værdi 1 – betyder Disable UPN Uniqueness verification (bit 0 set - 001)
-
Værdi 2 – betyder Disable SPN Uniqueness verification (bit 1 set - 010)
-
Værdi 3 – betyder Deaktiver UPN-entydighed OG SPN-entydighedsbekræftelse. (bit 0 og 1 sæt - 011)
-
Værdi 4 – betyder Disable SPN Alias Uniqueness verification (bit 2 set - 100)
-
Værdi 5 – betyder Deaktiver SPN-alias OG UPN Uniqueness-godkendelse (bit 2 og bit 0 angivet – 101)
-
Værdi 6 – betyder Deaktiver SPN-alias OG SPN-entydighed (bit 2 og bit 1-sæt - 110)
-
Værdi 7 – betyder Deaktiver alle (alle bitsæt 111)
Eksempel: Hvis du ikke har andre dSHeuristics-indstillinger aktiveret i din skov, og du kun vil deaktivere bekræftelse af entydighed for SPN-alias, skal attributten dSHeuristics angives til: "000000000100000000024" De tegn, der er angivet i dette tilfælde, er: 10. tegn: Skal være indstillet til 1, hvis attributten dSHeuristics er mindst 10 tegn 20. tegn: Skal være indstillet til 2, hvis attributten dSHeuristics er mindst 20 tegn 21st char: Skal angives til en værdi på listen ovenfor. værdi 4 betyder Deaktiver SPN-aliassens entydighed.
Bemærk! Hvis attributten dSHeuristics allerede er angivet, skal du sørge for at flette de eksisterende indstillinger ind i din nye dSHeuristics-attributstreng og bekræfte, at 10., 20. og 21. tegn er angivet som ovenfor. De andre tegn, der allerede er angivet, bør forblive uændrede.
Du kan finde flere oplysninger om konfiguration af dSHeuristics-tegn i følgende dokumenter:
Flere oplysninger
Hvad er en tjenestes hovednavn?
En tjenestes hovednavn (SPN) er et entydigt id for en tjenesteforekomst. Kerberos-godkendelse bruger SPN'er til at knytte en tjenesteforekomst til en tjenestelogonkonto. Dette giver et klientprogram mulighed for at anmode om, at tjenesten godkender en konto, selvom klienten ikke har kontonavnet. Se Tjenesteprincipalnavne for at få flere oplysninger.
Hvad er en brugers hovednavn?
En brugers hovednavn (UPN) er et logonnavn i mailformat for en bruger, der er baseret på internetstandarden RFC 822. Du kan finde flere oplysninger i attributten User-Principal-Name.
Ofte stillede spørgsmål
Q1 Hvad nu, hvis jeg har brug for at registrere et duplikeret HOST alias SPN til konto?
A1 Registrer det påkrævede SPN som Active Directory Enterprise-administrator.
Q2 Hvad sker der, hvis jeg deaktiverer SPN- eller UPN-entydighed?
A2 Vi anbefaler ikke dette. Hvis SPN'er ikke er entydige, er det, som om alle SPN'er, der er dubletter, slet ikke er registreret. Registrering af en dublet SPN har samme virkning som at fjerne registreringen af det oprindelige. Hvis UPN'er ikke er entydige, mislykkes brugeropslag ved hjælp af duplikerede UPN'er.
Q3 Hvad sker der, hvis jeg deaktiverer ENTYDIGHED for SPN-alias?
A3 Vi anbefaler ikke dette. En ikke-administrator kan ændre opløsningen på et eksisterende alias SPN fra dets aktuelle opløsning til en computer under ikke-administratorens kontrol. Computeren kan fungere som denne tjeneste, fordi den servergodkendelse, som Kerberos leverer, accepterer den nye konto som den korrekte vært for tjenesten i stedet for den oprindelige konto med HOST SPN.
Sp4 Hvordan kan en domæneadministrator finde dublerede SPN'er eller UPN'er, der allerede findes på netværket?
A4 Dette er ikke praktisk uden at skrive omfattende scripting for at optælle alle SPN'er og UPN'er fra domænet og korrelere for at finde dubletter.
Q5 Hvad sker der, hvis jeg har en blanding af domænecontrollere, der opdateres og ikke opdateres eller ikke stemmer overens mellem domænecontrollere?
A5 Replikering blokeres ikke på grund af duplikerede UPN'er eller SPN'er. Dubletter kan derfor replikeres til andre domænecontrollere, hvis de duplikerede UPN'er eller SPN'er oprettes på en domænecontroller, der ikke har opdateringen.
