Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Σύνοψη

Windows ενημερώσεις για το CVE-2021-42282 που κυκλοφόρησε στις 9 Νοεμβρίου 2021 προσθέστε τα ακόλουθα στοιχεία επαλήθευσης για τα χαρακτηριστικά στην υπηρεσία καταλόγου Active Directory (AD):

  • Μοναδικότητα κύριου ονόματος χρήστη (UPN) και κύριας υπηρεσίας (SPN) (νέο στον Windows 8, Windows Server 2012 και προηγούμενες εκδόσεις) 

  • Μοναδικότητα ψευδωνύμου SPN (νέα σε όλες τις Windows εκδόσεις) 

Μοναδικό όνομα κύριου ονόματος χρήστη και κύριας υπηρεσίας

Αυτή η δυνατότητα εγγυάται ότι τα SPN είναι μοναδικά σε ένα δάσος, γεγονός που αποτρέπει τους υπολογιστές και τους ελεγκτές τομέα από την προσθήκη διπλότυπων SPN. Αυτή η λειτουργία υπάρχει ήδη στο Windows 8.1 και παραπάνω και περιγράφεται στη μοναδικότητα SPN και UPN.

Μοναδικότητα ψευδωνύμων SPN

Ένα υπάρχον χαρακτηριστικό AD ορίζει ψευδώνυμα για πολλές κοινές κατηγορίες υπηρεσίας στο ισοδύναμο HOST SPN για υπηρεσίες όπως CIFS, HTTP και RPC. Το χαρακτηριστικό AD ορίζεται ως μια λίστα στο περιβάλλον ονοματοθεσίας παραμέτρων ενός δάσους υπηρεσιών καταλόγου Active Directory. Ένας χρήστης που δεν έχει δικαιώματα διαχειριστή ενδέχεται να μην εκχωρήσει εκ νέου ένα SPN που έχει εκχωρηθεί σιωπηρά σε διαφορετικό λογαριασμό χρησιμοποιώντας αυτό το ψευδώνυμο.

Σημείωση Αυτή η επαλήθευση πραγματοποιείται μαζί με την επαλήθευση της μοναδικότητας των UPN και SPN.

Η επαλήθευση μοναδικού ψευδωνύμου SPN είναι ενεργοποιημένη από προεπιλογή. Μπορείτε να απενεργοποιήσετε αυτά τα στοιχεία επαλήθευσης τροποποιώντας τον 21ο χαρακτήρα του χαρακτηριστικού dSHeuristics , το οποίο ερμηνεύεται ως μια σειρά χαρακτήρων. Το χαρακτηριστικό dSHeuristics δεν υπάρχει από προεπιλογή, αλλά μπορείτε να το προσθέσετε με το αποκλειστικό όνομα "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Οι πιθανές ρυθμίσεις και οι αντίστοιχες τιμές bit τους έχουν ως εξής:

  • Τιμή 0 – σημαίνει Επιβολή όλων (δεν έχει οριστεί bit 000) Προεπιλογή

  • Τιμή 1 – σημαίνει απενεργοποίηση της επαλήθευσης μοναδικότητας UPN (ρύθμιση bit 0 - 001)

  • Τιμή 2 – σημαίνει απενεργοποίηση της επαλήθευσης μοναδικότητας SPN (σύνολο bit 1 - 010)

  • Τιμή 3 – σημαίνει απενεργοποίηση της επαλήθευσης μοναδικότητας UPN AND SPN Uniqueness. (bit 0 και 1 set - 011)

  • Τιμή 4 – σημαίνει απενεργοποίηση της επαλήθευσης μοναδικότητας του SPN Alias (σύνολο bit 2 - 100)

  • Τιμή 5 – σημαίνει απενεργοποίηση της επαλήθευσης μοναδικότητας SPN SPN AND UPN (ρύθμιση bit 2 και bit 0 - 101)

  • Τιμή 6 - σημαίνει απενεργοποίηση της μοναδικότητας SPN SPN AND SPN (σύνολο bit 2 και bit 1 - 110)

  • Τιμή 7 – σημαίνει Απενεργοποίηση όλων (όλα τα bit έχουν οριστεί ως 111)

Παράδειγμα: Εάν δεν έχετε άλλες ρυθμίσεις dSHeuristics ενεργοποιημένες στο δάσος και θέλετε να απενεργοποιήσετε την επαλήθευση μοναδικότητας ψευδωνύμων SPN, το χαρακτηριστικό dSHeuristics θα πρέπει να οριστεί σε: "000000000100000000024"

Οι χαρακτήρες που ορίζονται σε αυτή την περίπτωση είναι:
10ο char: Πρέπει να οριστεί σε 1 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 10 χαρακτήρες
20ο char: Πρέπει να οριστεί σε 2 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 20 χαρακτήρες
21ο char: Πρέπει να οριστεί σε μια τιμή στην παραπάνω λίστα. τιμή 4 σημαίνει απενεργοποίηση της μοναδικότητας του ψευδωνύμου SPN.

Σημείωση Εάν το χαρακτηριστικό dSHeuristics έχει ήδη ρυθμιστεί, φροντίστε να συγχωνεύσετε τις υπάρχουσες ρυθμίσεις στη νέα συμβολοσειρά χαρακτηριστικού dSHeuristics και να επιβεβαιώσετε ότι οι 10οι, 20οι και 21οι χαρακτήρες έχουν οριστεί όπως παραπάνω. Οι άλλοι χαρακτήρες που έχουν ήδη οριστεί θα πρέπει να παραμείνουν αμετάβλητοι.

Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση των χαρακτήρων dSHeuristics ανατρέξτε στα ακόλουθα έγγραφα:

Περισσότερες πληροφορίες

Τι είναι το κύριο όνομα μιας υπηρεσίας;

Ένα κύριο όνομα υπηρεσίας (SPN) είναι ένα μοναδικό αναγνωριστικό για μια παρουσία υπηρεσίας. Ο έλεγχος ταυτότητας του Kerberos χρησιμοποιεί SPN για να συσχετίσει μια παρουσία υπηρεσίας με ένα λογαριασμό εισόδου υπηρεσίας. Αυτό επιτρέπει σε μια εφαρμογή-πελάτη να ζητήσει από την υπηρεσία έλεγχο ταυτότητας ενός λογαριασμού, ακόμη και εάν το όνομα του λογαριασμού δεν διαθέτει το όνομα του λογαριασμού. Για περισσότερες λεπτομέρειες, ανατρέξτε στο θέμα Κύρια ονόματα υπηρεσίας .

Τι είναι το κύριο όνομα χρήστη;

Ένα κύριο όνομα χρήστη (UPN) είναι ένα όνομα εισόδου σε στυλ ηλεκτρονικού ταχυδρομείου για έναν χρήστη που βασίζεται στο πρότυπο Internet RFC 822. Για περισσότερες λεπτομέρειες, ανατρέξτε στο θέμα Χαρακτηριστικό user-Principal-Name.

Συνήθεις ερωτήσεις

Ε1 Τι γίνεται εάν πρέπει να καταχωρήσω ένα διπλότυπο ψευδώνυμο HOST SPN για λογαριασμό;

A1 Καταχωρήστε το απαιτούμενο SPN ως διαχειριστή.

Ε2 Τι συμβαίνει εάν απενεργοποιήσω τη μοναδικότητα SPN ή UPN;

A2 Δεν συνιστάται κάτι τέτοιο. Εάν τα SPN δεν είναι μοναδικά, τότε, τα SPN που είναι διπλότυπα δεν έχουν καταχωρηθεί. Η καταχώρηση ενός διπλότυπου SPN έχει το ίδιο αποτέλεσμα με την κατάργηση της εγγραφής του αρχικού. Εάν τα UPN δεν είναι μοναδικά, οι αναζητήσεις χρηστών με διπλότυπα UPN θα αποτύχουν.

Ε3 Τι συμβαίνει εάν απενεργοποιήσω τη μοναδικότητα του ψευδωνύμου SPN;

A3 Δεν συνιστάται κάτι τέτοιο. Ένας χρήστης που δεν είναι διαχειριστής μπορεί να αλλάξει την ανάλυση ενός υπάρχοντος ψευδώνυμου SPN από την τρέχουσα ανάλυση σε έναν υπολογιστή κάτω από το στοιχείο ελέγχου που δεν είναι διαχειριστής. Αυτός ο υπολογιστής μπορεί να λειτουργεί ως αυτή η υπηρεσία, επειδή ο έλεγχος ταυτότητας του διακομιστή που παρέχει το Kerberos αποδέχεται το νέο λογαριασμό ως τον σωστό κεντρικό υπολογιστή για την υπηρεσία αντί για τον αρχικό λογαριασμό με το HOST SPN.

Ε4 Πώς μπορεί ένας διαχειριστής τομέα να βρει διπλότυπα SPN ή UPN που υπάρχουν ήδη στο δίκτυο;

A4 Αυτό δεν είναι πρακτικό χωρίς τη σύνταξη εκτεταμένης δέσμης ενεργειών για την απαρίθμηση όλων των SPN και των UPN από τον τομέα και τη συσχέτιση για την εύρεση διπλότυπων.

Ε5 Τι συμβαίνει εάν έχω ένα συνδυασμό ελεγκτών τομέα που ενημερώνονται και δεν ενημερώνονται ή δεν αντιμετωπίζουν ασυμφωνία ρυθμίσεων μεταξύ των ελεγκτών τομέα;

A5 Η αναπαραγωγή δεν θα αποκλειστεί λόγω διπλότυπων UPN ή SPN. Επομένως, τα διπλότυπα μπορούν να αναπαραχθούν σε άλλους ελεγκτές τομέα εάν τα διπλότυπα UPN ή SPN δημιουργηθούν σε έναν ελεγκτή τομέα που δεν διαθέτει την ενημέρωση.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×