Σύνοψη
Το CVE-2021-42278 αντιμετωπίζει μια ευπάθεια παράκαμψης ασφαλείας που επιτρέπει στους πιθανούς εισβολείς να μιμούνται έναν ελεγκτή τομέα χρησιμοποιώντας την πλαστογράφηση sAMAccountName του λογαριασμού υπολογιστή.
Αυτό το άρθρο παρέχει πρόσθετες λεπτομέρειες και μια ενότητα με συνήθεις ερωτήσεις για τη διαχείριση λογαριασμών ασφαλείας Active Directory (SAM) που έγιναν από Windows ενημερώσεις που κυκλοφόρησαν στις 9 Νοεμβρίου 2021 και νεότερες, όπως τεκμηριωθούν στο CVE-2021-42278.
Έλεγχοι επικύρωσης υπηρεσίας καταλόγου Active Directory
Μετά την εγκατάσταση του CVE-2021-42278,η υπηρεσία καταλόγου Active Directory θα εκτελέσει τους ελέγχους επικύρωσης που αναφέρονται παρακάτω στα χαρακτηριστικά sAMAccountName και UserAccountControl των λογαριασμών υπολογιστή που έχουν δημιουργηθεί ή τροποποιηθεί από χρήστες οι οποίοι δεν έχουν δικαιώματα διαχειριστή για λογαριασμούς υπολογιστή.
-
Επικύρωση sAMAccountType για λογαριασμούς χρηστών και υπολογιστών
-
Οι λογαριασμοί ObjectClass=Computer (ή δευτερεύουσα κλάση υπολογιστή) πρέπει να έχουν σημαίες UserAccountControl για UF_WORKSTATION_TRUST_ACCOUNT ή UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User πρέπει να έχουν σημαίες UAC UF_NORMAL_ACCOUNT ή UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
Επικύρωση sAMAccountName για λογαριασμούς υπολογιστών
Το sAMAccountName ενός λογαριασμού υπολογιστή του οποίου το χαρακτηριστικό UserAccountControl περιέχει τη σημαία UF_WORKSTATION_TRUST_ACCOUNT πρέπει να τελειώνει με ένα σύμβολο δολαρίου ($). Όταν δεν πληρούνται αυτές οι συνθήκες, η υπηρεσία καταλόγου Active Directory επιστρέφει τον κωδικό αποτυχίας 0x523 ERROR_INVALID_ACCOUNTNAME. Οι αποτυχημένες επικυρώσεις καταγράφονται στο αναγνωριστικό συμβάντος Directory-Services-SAM 16991 στο αρχείο καταγραφής συμβάντων συστήματος.
Όταν αυτές οι συνθήκες δεν πληρούνται, η υπηρεσία καταλόγου Active Directory επιστρέφει έναν κωδικό αποτυχίας ACCESS_DENIED. Οι αποτυχημένες επικυρώσεις καταγράφονται στο αναγνωριστικό συμβάντος Directory-Services-SAM 16990 στο αρχείο καταγραφής συμβάντων συστήματος.
Συμβάντα ελέγχου
Αποτυχία επικύρωσης object class και UserAccountControl
Όταν αποτύχει η κλάση αντικειμένου και ο χρήστηςAccountControl, το ακόλουθο συμβάν θα καταγραφεί στο αρχείο καταγραφής συστήματος:
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
Directory-Services-SAM |
|
Αναγνωριστικό συμβάντος |
16990 |
|
Κείμενο συμβάντος |
Ο διαχειριστής λογαριασμού ασφαλείας απέκλεισε ένα λογαριασμό που δεν είναι διαχειριστής από τη δημιουργία ενός λογαριασμού υπηρεσίας καταλόγου Active Directory σε αυτόν τον τομέα με ασυμφωνίες objectClass και userAccountControl σημαίες τύπου λογαριασμού. Λεπτομέρειες: Όνομα λογαριασμού: %1%n Αντικείμενο λογαριασμούClass: %2%n χρήστηςAccountControl: %3%n Διεύθυνση καλούντος: %4%n Καλών SID: %5%n%n |
Αποτυχία επικύρωσης ονόματος λογαριασμού SAM
Όταν αποτύχει η επικύρωση ονόματος λογαριασμού SAM, το παρακάτω συμβάν θα καταγραφεί στο αρχείο καταγραφής συστήματος:
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
Directory-Services-SAM |
|
Αναγνωριστικό συμβάντος |
16991 |
|
Κείμενο συμβάντος |
Ο διαχειριστής λογαριασμού ασφαλείας αποκλείστηκε από τη δημιουργία ή τη μετονομασία ενός λογαριασμού υπολογιστή από έναν μη έγκυρο sAMAccountName. Οι λογαριασμοί sAMAccountName σε υπολογιστές πρέπει να τελειώνουν με ένα τελικό σύμβολο $. Επιχειρήθηκε sAMAccountName: %1 Προτεινόμενο sAMAccountName: %1$ |
Συμβάντα ελέγχου επιτυχημένης δημιουργίας λογαριασμού υπολογιστή
Τα ακόλουθα υπάρχοντα συμβάντα ελέγχου είναι διαθέσιμα για επιτυχή δημιουργία λογαριασμού υπολογιστή:
-
4741(S): Δημιουργήθηκε ένας λογαριασμός υπολογιστή
-
4742(S): Άλλαξε ένας λογαριασμός υπολογιστή
-
4743(S): Διαγράφηκε ένας λογαριασμός υπολογιστή
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διαχείριση λογαριασμών υπολογιστή ελέγχου.
Συνήθεις ερωτήσεις
Q1. Πώς επηρεάζει αυτή η ενημέρωση τα υπάρχοντα αντικείμενα στην υπηρεσία καταλόγου Active Directory;
A1. Για τα υπάρχοντα αντικείμενα, η επικύρωση πραγματοποιείται όταν οι χρήστες που δεν έχουν δικαιώματα διαχειριστή τροποποιούν τα χαρακτηριστικά sAMAccountName ή UserAccountControl.
Τ2. Τι είναι ένας sAMAccountName;
A2. Το sAMAccountName είναι ένα μοναδικό χαρακτηριστικό σε όλες τις αρχές ασφαλείας στην υπηρεσία καταλόγου Active Directory και περιλαμβάνει χρήστες, ομάδες και υπολογιστές. Οι περιορισμοί ονομάτων για τον sAMAccountName τεκμηριώνονται στην έκδοση 3.1.1.6 Περιορισμοί χαρακτηριστικών για ενημερώσεις προέλευσης.
Τ3. Τι είναι ο τύπος sAMAccountType;
A3. Για περισσότερες πληροφορίες, διαβάστε τα ακόλουθα έγγραφα:
Υπάρχουν τρεις πιθανές τιμές sAMAccountType που αντιστοιχούν σε τέσσερις πιθανές σημαίες userAccountcontrol ως εξής:
|
Useraccountcontrol |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
Τ4. Ποιες είναι οι πιθανές τιμές για τον UserAccountControl;
A4. Για περισσότερες πληροφορίες, διαβάστε τα ακόλουθα έγγραφα:
Τ5. Πώς μπορώ να βρω μη συμβατά αντικείμενα που υπάρχουν ήδη στο περιβάλλον μου;
A5. Οι διαχειριστές μπορούν να αναζητήσουν υπάρχοντες λογαριασμούς που δεν είναι συμβατοί με τον κατάλογό τους χρησιμοποιώντας μια δέσμη ενεργειών του PowerShell, όπως τα παρακάτω παραδείγματα.
Για να βρείτε λογαριασμούς υπολογιστή που έχουν έναν μη συμβατό sAMAccountName:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Για να βρείτε λογαριασμούς υπολογιστών που έχουν έναν μη συμβατό UserAccountControl sAMAccountType:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
