Applies ToWindows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Σύνοψη

Το CVE-2021-42278 αντιμετωπίζει μια ευπάθεια παράκαμψης ασφαλείας που επιτρέπει στους πιθανούς εισβολείς να μιμούνται έναν ελεγκτή τομέα χρησιμοποιώντας την πλαστογράφηση sAMAccountName του λογαριασμού υπολογιστή.

Αυτό το άρθρο παρέχει πρόσθετες λεπτομέρειες και μια ενότητα με συνήθεις ερωτήσεις για τη διαχείριση λογαριασμών ασφαλείας Active Directory (SAM) που έγιναν από Windows ενημερώσεις που κυκλοφόρησαν στις 9 Νοεμβρίου 2021 και νεότερες, όπως τεκμηριωθούν στο CVE-2021-42278.

Έλεγχοι επικύρωσης υπηρεσίας καταλόγου Active Directory

Μετά την εγκατάσταση του CVE-2021-42278,η υπηρεσία καταλόγου Active Directory θα εκτελέσει τους ελέγχους επικύρωσης που αναφέρονται παρακάτω στα χαρακτηριστικά sAMAccountName και UserAccountControl των λογαριασμών υπολογιστή που έχουν δημιουργηθεί ή τροποποιηθεί από χρήστες οι οποίοι δεν έχουν δικαιώματα διαχειριστή για λογαριασμούς υπολογιστή. 

  1. Επικύρωση sAMAccountType για λογαριασμούς χρηστών και υπολογιστών

    • Οι λογαριασμοί ObjectClass=Computer (ή δευτερεύουσα κλάση υπολογιστή) πρέπει να έχουν σημαίες UserAccountControl για UF_WORKSTATION_TRUST_ACCOUNT ή UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=User πρέπει να έχουν σημαίες UAC UF_NORMAL_ACCOUNT ή UF_INTERDOMAIN_TRUST_ACCOUNT

  2. Επικύρωση sAMAccountName για λογαριασμούς υπολογιστών

    Το sAMAccountName ενός λογαριασμού υπολογιστή του οποίου το χαρακτηριστικό UserAccountControl περιέχει τη σημαία UF_WORKSTATION_TRUST_ACCOUNT πρέπει να τελειώνει με ένα σύμβολο δολαρίου ($). Όταν δεν πληρούνται αυτές οι συνθήκες, η υπηρεσία καταλόγου Active Directory επιστρέφει τον κωδικό αποτυχίας 0x523 ERROR_INVALID_ACCOUNTNAME. Οι αποτυχημένες επικυρώσεις καταγράφονται στο αναγνωριστικό συμβάντος Directory-Services-SAM 16991 στο αρχείο καταγραφής συμβάντων συστήματος.

Όταν αυτές οι συνθήκες δεν πληρούνται, η υπηρεσία καταλόγου Active Directory επιστρέφει έναν κωδικό αποτυχίας ACCESS_DENIED. Οι αποτυχημένες επικυρώσεις καταγράφονται στο αναγνωριστικό συμβάντος Directory-Services-SAM 16990 στο αρχείο καταγραφής συμβάντων συστήματος.

Συμβάντα ελέγχου

Αποτυχία επικύρωσης object class και UserAccountControl

Όταν αποτύχει η κλάση αντικειμένου και ο χρήστηςAccountControl, το ακόλουθο συμβάν θα καταγραφεί στο αρχείο καταγραφής συστήματος:

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Σφάλμα

Προέλευση συμβάντος

Directory-Services-SAM

Αναγνωριστικό συμβάντος

16990

Κείμενο συμβάντος

Ο διαχειριστής λογαριασμού ασφαλείας απέκλεισε ένα λογαριασμό που δεν είναι διαχειριστής από τη δημιουργία ενός λογαριασμού υπηρεσίας καταλόγου Active Directory σε αυτόν τον τομέα με ασυμφωνίες objectClass και userAccountControl σημαίες τύπου λογαριασμού.

Λεπτομέρειες:

Όνομα λογαριασμού: %1%n

Αντικείμενο λογαριασμούClass: %2%n

χρήστηςAccountControl: %3%n

Διεύθυνση καλούντος: %4%n

Καλών SID: %5%n%n

Αποτυχία επικύρωσης ονόματος λογαριασμού SAM

Όταν αποτύχει η επικύρωση ονόματος λογαριασμού SAM, το παρακάτω συμβάν θα καταγραφεί στο αρχείο καταγραφής συστήματος:

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Σφάλμα

Προέλευση συμβάντος

Directory-Services-SAM

Αναγνωριστικό συμβάντος

16991

Κείμενο συμβάντος

Ο διαχειριστής λογαριασμού ασφαλείας αποκλείστηκε από τη δημιουργία ή τη μετονομασία ενός λογαριασμού υπολογιστή από έναν μη έγκυρο sAMAccountName. Οι λογαριασμοί sAMAccountName σε υπολογιστές πρέπει να τελειώνουν με ένα τελικό σύμβολο $.

Επιχειρήθηκε sAMAccountName: %1

Προτεινόμενο sAMAccountName: %1$

Συμβάντα ελέγχου επιτυχημένης δημιουργίας λογαριασμού υπολογιστή

Τα ακόλουθα υπάρχοντα συμβάντα ελέγχου είναι διαθέσιμα για επιτυχή δημιουργία λογαριασμού υπολογιστή:

  • 4741(S): Δημιουργήθηκε ένας λογαριασμός υπολογιστή

  • 4742(S): Άλλαξε ένας λογαριασμός υπολογιστή

  • 4743(S): Διαγράφηκε ένας λογαριασμός υπολογιστή

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διαχείριση λογαριασμών υπολογιστή ελέγχου.

Συνήθεις ερωτήσεις

Q1. Πώς επηρεάζει αυτή η ενημέρωση τα υπάρχοντα αντικείμενα στην υπηρεσία καταλόγου Active Directory;

A1. Για τα υπάρχοντα αντικείμενα, η επικύρωση πραγματοποιείται όταν οι χρήστες που δεν έχουν δικαιώματα διαχειριστή τροποποιούν τα χαρακτηριστικά sAMAccountName ή UserAccountControl.

Τ2. Τι είναι ένας sAMAccountName;

A2. Το sAMAccountName είναι ένα μοναδικό χαρακτηριστικό σε όλες τις αρχές ασφαλείας στην υπηρεσία καταλόγου Active Directory και περιλαμβάνει χρήστες, ομάδες και υπολογιστές. Οι περιορισμοί ονομάτων για τον sAMAccountName τεκμηριώνονται στην έκδοση 3.1.1.6 Περιορισμοί χαρακτηριστικών για ενημερώσεις προέλευσης.

Τ3. Τι είναι ο τύπος sAMAccountType;

A3. Για περισσότερες πληροφορίες, διαβάστε τα ακόλουθα έγγραφα:

Υπάρχουν τρεις πιθανές τιμές sAMAccountType που αντιστοιχούν σε τέσσερις πιθανές σημαίες userAccountcontrol ως εξής:

Useraccountcontrol

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

Τ4. Ποιες είναι οι πιθανές τιμές για τον UserAccountControl;

A4. Για περισσότερες πληροφορίες, διαβάστε τα ακόλουθα έγγραφα:

Τ5. Πώς μπορώ να βρω μη συμβατά αντικείμενα που υπάρχουν ήδη στο περιβάλλον μου;

A5. Οι διαχειριστές μπορούν να αναζητήσουν υπάρχοντες λογαριασμούς που δεν είναι συμβατοί με τον κατάλογό τους χρησιμοποιώντας μια δέσμη ενεργειών του PowerShell, όπως τα παρακάτω παραδείγματα.

Για να βρείτε λογαριασμούς υπολογιστή που έχουν έναν μη συμβατό sAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Για να βρείτε λογαριασμούς υπολογιστών που έχουν έναν μη συμβατό UserAccountControl sAMAccountType:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Πόροι

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.