Ενημερώθηκε στις 20/03/2024 – Προστέθηκαν αναφορές LDS
Σύνοψη
Το CVE-2021-42291 επιλύει μια ευπάθεια παράκαμψης ασφαλείας που επιτρέπει σε ορισμένους χρήστες να ορίζουν αυθαίρετες τιμές σε χαρακτηριστικά ευαίσθητα στην ασφάλεια συγκεκριμένων αντικειμένων που είναι αποθηκευμένα στην υπηρεσία καταλόγου Active Directory (AD) ή στην υπηρεσία καταλόγου ελαφρύ (LDS). Για να εκμεταλλευτεί αυτή την ευπάθεια, ένας χρήστης πρέπει να έχει επαρκή δικαιώματα για να δημιουργήσει ένα αντικείμενο που προέρχεται από υπολογιστή, όπως δικαιώματα CreateChild που έχουν εκχωρηθεί από ένα χρήστη για αντικείμενα υπολογιστή. Αυτός ο χρήστης θα μπορούσε να δημιουργήσει ένα λογαριασμό υπολογιστή χρησιμοποιώντας ένα ελαφρύ πρωτόκολλο πρόσβασης καταλόγου (LDAP) Προσθήκη κλήσης που επιτρέπει υπερβολικά επιτρεπτή πρόσβαση στο χαρακτηριστικό securityDescriptor . Επιπλέον, οι δημιουργοί και οι κάτοχοι μπορούν να τροποποιήσουν χαρακτηριστικά ευαίσθητα στην ασφάλεια μετά τη δημιουργία ενός λογαριασμού. Αυτό μπορεί να αξιοποιηθεί για την εκτέλεση αναβάθμισης δικαιωμάτων σε ορισμένα σενάρια.
ΣημείωσηΗ LDS θα καταγράφει τα συμβάντα 3050, 3053, 3051 και 3054 σχετικά με την κατάσταση της έμμεσης πρόσβασης σε αντικείμενα, ακριβώς όπως κάνει το AD.
Οι μετριασμούς στο CVE-2021-42291 αποτελούνται από:
-
Πρόσθετη επαλήθευση εξουσιοδότησης όταν χρήστες χωρίς τομέα ή δικαιώματα διαχειριστή LDS επιχειρούν μια λειτουργία προσθήκης LDAP για ένα αντικείμενο που προέρχεται από υπολογιστή. Αυτό περιλαμβάνει μια κατάσταση λειτουργίας Έλεγχος από προεπιλογή που ελέγχει όταν γίνονται τέτοιες προσπάθειες χωρίς να παρεμβάλλεται στην αίτηση και μια λειτουργία επιβολής που αποκλείει τέτοιες προσπάθειες.
-
Προσωρινή κατάργηση των δικαιωμάτων "Έμμεσος κάτοχος" όταν χρήστες χωρίς δικαιώματα διαχειριστή τομέα επιχειρούν μια λειτουργία τροποποίησης LDAP στο χαρακτηριστικό securityDescriptor . Γίνεται επαλήθευση για να επιβεβαιωθεί εάν θα επιτρεπόταν στο χρήστη να γράψει την περιγραφή ασφαλείας χωρίς δικαιώματα σιωπηρού κατόχου. Αυτό περιλαμβάνει επίσης μια κατάσταση λειτουργίας Έλεγχος από προεπιλογή που ελέγχει όταν γίνονται τέτοιες προσπάθειες χωρίς να παρεμβάλλεται στην αίτηση και μια λειτουργία επιβολής που αποκλείει αυτές τις προσπάθειες.
Ανάληψη δράσης
Για να προστατεύσετε το περιβάλλον σας και να αποφύγετε διακοπές λειτουργίας, ολοκληρώστε τα ακόλουθα βήματα:
-
Ενημερώστε όλες τις συσκευές που φιλοξενούν τον ελεγκτή τομέα Active Directory ή το ρόλο του διακομιστή LDS, εγκαθιστώντας τις πιο πρόσφατες ενημερώσεις των Windows. Οι υπολογιστές που έχουν τις ενημερώσεις της 9ης Νοεμβρίου 2021 ή νεότερες εκδόσεις θα έχουν τις αλλαγές στη λειτουργία ελέγχου από προεπιλογή.
-
Παρακολουθήστε την υπηρεσία καταλόγου ή το αρχείο καταγραφής συμβάντων LDS για 3044-3056 συμβάντα σε ελεγκτές τομέα και διακομιστές LDS που έχουν ενημερώσεις της 9ης Νοεμβρίου 2021 ή μεταγενέστερων ενημερώσεων των Windows. Τα καταγεγραμμένα συμβάντα υποδεικνύουν ότι ένας χρήστης μπορεί να έχει υπερβολικά δικαιώματα για τη δημιουργία λογαριασμών υπολογιστή με αυθαίρετα χαρακτηριστικά ευαίσθητα στην ασφάλεια. Αναφέρετε τυχόν απροσδόκητα σενάρια στη Microsoft χρησιμοποιώντας μια υπόθεση Premier ή Ενοποιημένης υποστήριξης ή το Κέντρο σχολίων. (Μπορείτε να βρείτε ένα παράδειγμα αυτών των συμβάντων στην ενότητα Συμβάντα που προστέθηκαν πρόσφατα.)
-
Εάν η λειτουργία ελέγχου δεν εντοπίσει μη αναμενόμενα δικαιώματα για αρκετό χρονικό διάστημα, μεταβείτε σε λειτουργία επιβολής για να βεβαιωθείτε ότι δεν θα προκύψουν αρνητικά αποτελέσματα. Αναφέρετε τυχόν απροσδόκητα σενάρια στη Microsoft χρησιμοποιώντας μια υπόθεση Premier ή Ενοποιημένης υποστήριξης ή το Κέντρο σχολίων.
Χρονισμός ενημερώσεων των Windows
Αυτές οι ενημερώσεις των Windows θα κυκλοφορήσουν σε δύο φάσεις:
-
Αρχική ανάπτυξη – Εισαγωγή της ενημέρωσης, συμπεριλαμβανομένων των λειτουργιών Έλεγχος από προεπιλογή, Επιβολή ή Απενεργοποίηση λειτουργιών με δυνατότητα ρύθμισης παραμέτρων με χρήση του χαρακτηριστικού dSHeuristics .
-
Τελική ανάπτυξη : Επιβολή από προεπιλογή.
9 Νοεμβρίου 2021: Φάση αρχικής ανάπτυξης
Η αρχική φάση ανάπτυξης ξεκινά με την ενημέρωση των Windows που κυκλοφόρησε στις 9 Νοεμβρίου 2021. Αυτή η έκδοση προσθέτει τον έλεγχο των δικαιωμάτων που έχουν οριστεί από χρήστες χωρίς δικαιώματα διαχειριστή τομέα κατά τη δημιουργία ή την τροποποίηση ενός υπολογιστή ή αντικειμένων που προέρχονται από υπολογιστή. Προσθέτει επίσης μια ενεργοποίηση και μια λειτουργία απενεργοποίησης. Μπορείτε να ορίσετε την κατάσταση λειτουργίας καθολικά για κάθε δάσος της υπηρεσίας καταλόγου Active Directory χρησιμοποιώντας το χαρακτηριστικό dSHeuristics .
(Ενημερώθηκε στις 15/12/2023) Τελική φάση ανάπτυξης
Η τελική φάση ανάπτυξης μπορεί να ξεκινήσει μόλις ολοκληρώσετε τα βήματα που αναφέρονται στην ενότητα "Ανάληψη ενέργειας". Για να μεταβείτε στη λειτουργία επιβολής, ακολουθήστε τις οδηγίες στην ενότητα Οδηγίες ανάπτυξης για να ορίσετε το 28ο και το 29ο bit στο χαρακτηριστικό dSHeuristics . Στη συνέχεια, παρακολουθήστε τα συμβάντα 3044-3046. Αναφέρουν πότε η λειτουργία επιβολής έχει αποκλείσει μια λειτουργία προσθήκης ή τροποποίησης LDAP που μπορεί να είχε προηγουμένως επιτραπεί στη λειτουργία ελέγχου.
Οδηγίες ανάπτυξης
Ρύθμιση πληροφοριών ρύθμισης παραμέτρων
Μετά την εγκατάσταση του CVE-2021-42291, οι χαρακτήρες 28 και 29 του χαρακτηριστικού dSHeuristics ελέγχουν τη συμπεριφορά της ενημέρωσης. Το χαρακτηριστικό dSHeuristics υπάρχει μέσα σε κάθε δάσος της υπηρεσίας καταλόγου Active Directory και περιέχει ρυθμίσεις για ολόκληρο το δάσος. Το χαρακτηριστικό dSHeuristics είναι ένα χαρακτηριστικό του αντικειμένου "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) ή "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Ανατρέξτε στο χαρακτηριστικό 6.1.1.2.4.1.2 dSHeuristics και DS-Heuristics για περισσότερες πληροφορίες.
Χαρακτήρας 28 – Πρόσθετες επαληθεύσεις ελέγχου ταυτότητας για λειτουργίες προσθήκης LDAP
0: Η λειτουργία "Έλεγχος από προεπιλογή" είναι ενεργοποιημένη. Ένα συμβάν καταγράφεται όταν οι χρήστες χωρίς δικαιώματα διαχειριστή τομέα ορίζουν την ασφάλειαDescriptor ή άλλα χαρακτηριστικά σε τιμές που ενδέχεται να εκχωρήσουν υπερβολικά δικαιώματα, επιτρέποντας ενδεχομένως μελλοντική εκμετάλλευση, σε νέα αντικείμενα AD που προέρχονται από υπολογιστή.
1: Η λειτουργία επιβολής είναι ενεργοποιημένη. Αυτό εμποδίζει τους χρήστες χωρίς δικαιώματα διαχειριστή τομέα να ρυθμίσουν την ασφάλειαDescriptor ή άλλα χαρακτηριστικά σε τιμές που μπορεί να εκχωρήσουν υπερβολικά δικαιώματα σε αντικείμενα AD που προέρχονται από υπολογιστή. Όταν συμβαίνει αυτό, καταγράφεται επίσης ένα συμβάν.
2: Απενεργοποιεί τον ενημερωμένο έλεγχο και δεν επιβάλλει την πρόσθετη ασφάλεια. Δεν συνιστάται.
Παράδειγμα: Εάν δεν είχατε ενεργοποιήσει άλλες ρυθμίσεις dSHeuristics στο δάσος και θέλετε να μεταβείτε σε λειτουργία επιβολής για πρόσθετη επαλήθευση authZ, το χαρακτηριστικό dSHeuristics θα πρέπει να έχει οριστεί σε:
"0000000001000000000200000001"
Οι χαρακτήρες που ορίζονται σε αυτή την περίπτωση είναι:
10th char : Πρέπει να οριστεί σε 1 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 10 χαρακτήρες
20th char: Πρέπει να οριστεί σε 2 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 20 χαρακτήρες
28th char: Πρέπει να οριστεί σε 1 για να ενεργοποιηθεί η λειτουργία επιβολής για πρόσθετη επαλήθευση με έλεγχο ταυτότητας
Χαρακτήρας 29 – Προσωρινή κατάργηση της σιωπηρής κατάργησης κατόχου για λειτουργίες τροποποίησης LDAP
0: Η λειτουργία "Έλεγχος από προεπιλογή" είναι ενεργοποιημένη. Ένα συμβάν καταγράφεται όταν οι χρήστες χωρίς δικαιώματα διαχειριστή τομέα ορίζουν την ασφάλειαDescriptor σε τιμές που ενδέχεται να εκχωρήσουν υπερβολικά δικαιώματα, επιτρέποντας ενδεχομένως μελλοντική εκμετάλλευση, σε υπάρχοντα αντικείμενα AD που προέρχονται από υπολογιστή.
1: Η λειτουργία επιβολής είναι ενεργοποιημένη. Αυτό εμποδίζει τους χρήστες χωρίς δικαιώματα διαχειριστή τομέα να ρυθμίσουν την ασφάλειαDescriptor σε τιμές που μπορεί να εκχωρήσουν υπερβολικά δικαιώματα σε υπάρχοντα αντικείμενα AD που προέρχονται από υπολογιστή. Όταν συμβαίνει αυτό, καταγράφεται επίσης ένα συμβάν.
2:Απενεργοποιεί τον ενημερωμένο έλεγχο και δεν επιβάλλει την πρόσθετη ασφάλεια. Δεν συνιστάται.
Παράδειγμα: Εάν είχατε ορίσει μόνο τη σημαία Πρόσθετες επαληθεύσεις AuthZ dsHeuristics στο δάσος σας και θέλετε να μεταβείτε σε λειτουργία επιβολής για προσωρινή κατάργηση έμμεσης κυριότητας, το χαρακτηριστικό dSHeuristics θα πρέπει να έχει οριστεί σε:
"00000000010000000002000000011"
Οι χαρακτήρες που ορίζονται σε αυτή την περίπτωση είναι:
10th char: Πρέπει να οριστεί σε 1 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 10 χαρακτήρες
20th char: Πρέπει να οριστεί σε 2 εάν το χαρακτηριστικό dSHeuristics είναι τουλάχιστον 20 χαρακτήρες
28th char: Πρέπει να οριστεί σε 1 για να ενεργοποιηθεί η λειτουργία επιβολής για πρόσθετη επαλήθευση
με έλεγχο ταυτότητας
29 th char: Πρέπει να οριστεί σε 1 για να ενεργοποιηθεί η λειτουργία επιβολής για προσωρινή κατάργησηέμμεσης κυριότητας
Συμβάντα που προστέθηκαν πρόσφατα
Η ενημέρωση των Windows της 9ης Νοεμβρίου 2021 θα προσθέσει επίσης νέα αρχεία καταγραφής συμβάντων.
Συμβάντα αλλαγής λειτουργίας – Πρόσθετη επαλήθευση ελέγχου ταυτότητας για λειτουργίες προσθήκης LDAP
Συμβάντα που προκύπτουν όταν αλλάζει το bit 28 του χαρακτηριστικού dSHeuristics , το οποίο αλλάζει την κατάσταση λειτουργίας των πρόσθετων επαληθεύσεων AuthZ για το τμήμα λειτουργιών προσθήκης LDAP της ενημέρωσης.
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Ενημερωτικό |
|
Αναγνωριστικό συμβάντος |
3050 |
|
Κείμενο συμβάντος |
Οι παράμετροι του καταλόγου έχουν ρυθμιστεί για την επιβολή εξουσιοδότησης ανά χαρακτηριστικό κατά τη διάρκεια λειτουργιών προσθήκης LDAP. Αυτή είναι η πιο ασφαλής ρύθμιση και δεν απαιτείται καμία περαιτέρω ενέργεια. |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3051 |
|
Κείμενο συμβάντος |
Οι παράμετροι του καταλόγου έχουν ρυθμιστεί ώστε να μην επιβάλλουν εξουσιοδότηση ανά χαρακτηριστικό κατά τη διάρκεια λειτουργιών προσθήκης LDAP. Τα συμβάντα προειδοποίησης θα καταγράφονται, αλλά δεν θα αποκλείονται αιτήσεις. Αυτή η ρύθμιση δεν είναι ασφαλής και θα πρέπει να χρησιμοποιηθεί μόνο ως προσωρινό βήμα αντιμετώπισης προβλημάτων. Ελέγξτε τους προτεινόμενους μετριασμούς στην παρακάτω σύνδεση. |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Σφάλμα |
|
Αναγνωριστικό συμβάντος |
3052 |
|
Κείμενο συμβάντος |
Οι παράμετροι του καταλόγου έχουν ρυθμιστεί ώστε να μην επιβάλλουν εξουσιοδότηση ανά χαρακτηριστικό κατά τη διάρκεια λειτουργιών προσθήκης LDAP. Δεν θα καταγράφονται συμβάντα και δεν θα αποκλείονται αιτήσεις. Αυτή η ρύθμιση δεν είναι ασφαλής και θα πρέπει να χρησιμοποιηθεί μόνο ως προσωρινό βήμα αντιμετώπισης προβλημάτων. Ελέγξτε τους προτεινόμενους μετριασμούς στην παρακάτω σύνδεση. |
Συμβάντα αλλαγής κατάστασης λειτουργίας – προσωρινή κατάργηση των σιωπηρών δικαιωμάτων κατόχου
Συμβάντα που προκύπτουν όταν αλλάξει το bit 29 του χαρακτηριστικού dSHeuristics , το οποίο αλλάζει την κατάσταση λειτουργίας της προσωρινής κατάργησης του τμήματος δικαιωμάτων σιωπηρού κατόχου της ενημέρωσης.
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Ενημερωτικό |
|
Αναγνωριστικό συμβάντος |
3053 |
|
Κείμενο συμβάντος |
Οι παράμετροι του καταλόγου έχουν ρυθμιστεί για τον αποκλεισμό των έμμεσων δικαιωμάτων κατόχου κατά την αρχική ρύθμιση ή τροποποίηση του χαρακτηριστικού nTSecurityDescriptor κατά τη διάρκεια λειτουργιών προσθήκης και τροποποίησης LDAP. Αυτή είναι η πιο ασφαλής ρύθμιση και δεν απαιτείται καμία περαιτέρω ενέργεια. |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3054 |
|
Κείμενο συμβάντος |
Ο κατάλογος έχει ρυθμιστεί ώστε να επιτρέπει έμμεσα δικαιώματα κατόχου κατά την αρχική ρύθμιση ή τροποποίηση του χαρακτηριστικού nTSecurityDescriptor κατά τη διάρκεια λειτουργιών προσθήκης και τροποποίησης LDAP. Τα συμβάντα προειδοποίησης θα καταγράφονται, αλλά δεν θα αποκλείονται αιτήσεις. Αυτή η ρύθμιση δεν είναι ασφαλής και θα πρέπει να χρησιμοποιηθεί μόνο ως προσωρινό βήμα αντιμετώπισης προβλημάτων. |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Σφάλμα |
|
Αναγνωριστικό συμβάντος |
3055 |
|
Κείμενο συμβάντος |
Ο κατάλογος έχει ρυθμιστεί ώστε να επιτρέπει έμμεσα δικαιώματα κατόχου κατά την αρχική ρύθμιση ή τροποποίηση του χαρακτηριστικού nTSecurityDescriptor κατά τη διάρκεια λειτουργιών προσθήκης και τροποποίησης LDAP. Δεν θα καταγράφονται συμβάντα και δεν θα αποκλείονται αιτήσεις. Αυτή η ρύθμιση δεν είναι ασφαλής και θα πρέπει να χρησιμοποιηθεί μόνο ως προσωρινό βήμα αντιμετώπισης προβλημάτων. |
Συμβάντα λειτουργίας ελέγχου
Συμβάντα που προκύπτουν σε κατάσταση λειτουργίας ελέγχου για την καταγραφή πιθανών ανησυχιών ασφαλείας με μια λειτουργία προσθήκης ή τροποποίησης LDAP.
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3047 |
|
Κείμενο συμβάντος |
Η υπηρεσία καταλόγου εντόπισε μια αίτηση προσθήκης LDAP για το ακόλουθο αντικείμενο, η οποία κανονικά θα είχε αποκλειστεί για τους ακόλουθους λόγους ασφαλείας. Ο υπολογιστής-πελάτης δεν είχε δικαίωμα εγγραφής ενός ή περισσότερων χαρακτηριστικών που περιλαμβάνονται στην αίτηση προσθήκης, με βάση την προεπιλεγμένη συγχωνευμένη περιγραφή ασφαλείας. Επιτράπηκε η συνέχιση της αίτησης, επειδή ο κατάλογος έχει ρυθμιστεί αυτή τη στιγμή ώστε να βρίσκεται σε λειτουργία μόνο ελέγχου για αυτόν τον έλεγχο ασφαλείας. Αντικείμενο DN: <> DN ενός αντικειμένου Κλάση αντικειμένου: <δημιουργία αντικειμένου Κλάση αντικειμένου> Χρήστης: <χρήστη που επιχείρησε την προσθήκη> LDAP Διεύθυνση IP υπολογιστή-πελάτη: <τη διεύθυνση IP του αιτούντος> Τμήμα ασφαλείας: <το SD που επιχειρήθηκε> |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3048 |
|
Κείμενο συμβάντος |
Η υπηρεσία καταλόγου εντόπισε μια αίτηση προσθήκης LDAP για το ακόλουθο αντικείμενο, η οποία κανονικά θα είχε αποκλειστεί για τους ακόλουθους λόγους ασφαλείας. Ο υπολογιστής-πελάτης συμπεριέλαβε ένα χαρακτηριστικό nTSecurityDescriptor στην αίτηση προσθήκης, αλλά δεν είχε ρητά δικαιώματα εγγραφής ενός ή περισσότερων τμημάτων της νέας περιγραφής ασφαλείας, με βάση την προεπιλεγμένη συγχωνευμένη περιγραφή ασφαλείας. Επιτράπηκε η συνέχιση της αίτησης, επειδή ο κατάλογος έχει ρυθμιστεί αυτή τη στιγμή ώστε να βρίσκεται σε λειτουργία μόνο ελέγχου για αυτόν τον έλεγχο ασφαλείας. Αντικείμενο DN: <> DN ενός αντικειμένου Κλάση αντικειμένου: <δημιουργία αντικειμένου Κλάση αντικειμένου> Χρήστης: <χρήστη που επιχείρησε την προσθήκη> LDAP Διεύθυνση IP υπολογιστή-πελάτη: <τη διεύθυνση IP του αιτούντος> |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3049 |
|
Κείμενο συμβάντος |
Η υπηρεσία καταλόγου εντόπισε μια αίτηση τροποποίησης LDAP για το ακόλουθο αντικείμενο, η οποία κανονικά θα είχε αποκλειστεί για τους ακόλουθους λόγους ασφαλείας. Ο υπολογιστής-πελάτης συμπεριέλαβε ένα χαρακτηριστικό nTSecurityDescriptor στην αίτηση προσθήκης, αλλά δεν είχε ρητά δικαιώματα εγγραφής ενός ή περισσότερων τμημάτων της νέας περιγραφής ασφαλείας, με βάση την προεπιλεγμένη συγχωνευμένη περιγραφή ασφαλείας. Επιτράπηκε η συνέχιση της αίτησης, επειδή ο κατάλογος έχει ρυθμιστεί αυτή τη στιγμή ώστε να βρίσκεται σε λειτουργία μόνο ελέγχου για αυτόν τον έλεγχο ασφαλείας. Αντικείμενο DN: <> DN ενός αντικειμένου Κλάση αντικειμένου: <δημιουργία αντικειμένου Κλάση αντικειμένου> Χρήστης: <χρήστη που επιχείρησε την προσθήκη> LDAP Διεύθυνση IP υπολογιστή-πελάτη: <τη διεύθυνση IP του αιτούντος> |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3056 |
|
Κείμενο συμβάντος |
Η υπηρεσία καταλόγου επεξεργάσθηκε ένα ερώτημα για το χαρακτηριστικό sdRightsEffective στο αντικείμενο που καθορίζεται παρακάτω. Η μάσκα πρόσβασης που επιστρέφεται περιλάμβανε WRITE_DAC, αλλά μόνο επειδή ο κατάλογος έχει ρυθμιστεί ώστε να επιτρέπει έμμεσα δικαιώματα κατόχου, τα οποία δεν είναι ασφαλής ρύθμιση. Αντικείμενο DN: <> DN ενός αντικειμένου Χρήστης: <χρήστη που επιχείρησε την προσθήκη> LDAP Διεύθυνση IP υπολογιστή-πελάτη: <τη διεύθυνση IP του αιτούντος> |
Λειτουργία επιβολής - Προσθήκη αποτυχιών LDAP
Συμβάντα που προκύπτουν όταν απορρίπτεται μια λειτουργία προσθήκης LDAP.
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3044 |
|
Κείμενο συμβάντος |
Η υπηρεσία καταλόγου απέρριψε μια αίτηση προσθήκης LDAP για το ακόλουθο αντικείμενο. Η αίτηση απορρίφθηκε επειδή ο υπολογιστής-πελάτης δεν είχε δικαίωμα εγγραφής ενός ή περισσότερων χαρακτηριστικών που περιλαμβάνονται στην αίτηση προσθήκης, με βάση την προεπιλεγμένη συγχωνευμένη περιγραφή ασφαλείας. Αντικείμενο DN: <> DN ενός αντικειμένου Κλάση αντικειμένου: <δημιουργία αντικειμένου Κλάση αντικειμένου> Χρήστης: <χρήστη που επιχείρησε την προσθήκη> LDAP Διεύθυνση IP υπολογιστή-πελάτη: <τη διεύθυνση IP του αιτούντος> Τμήμα ασφαλείας: <το SD που επιχειρήθηκε> |
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3045 |
|
Κείμενο συμβάντος |
Η υπηρεσία καταλόγου απέρριψε μια αίτηση προσθήκης LDAP για το ακόλουθο αντικείμενο. Η αίτηση απορρίφθηκε επειδή ο υπολογιστής-πελάτης συμπεριέλαβε ένα χαρακτηριστικό nTSecurityDescriptor στην αίτηση προσθήκης, αλλά δεν είχε ρητά δικαιώματα εγγραφής ενός ή περισσότερων τμημάτων της νέας περιγραφής ασφαλείας, με βάση την προεπιλεγμένη συγχωνευμένη περιγραφή ασφαλείας. Αντικείμενο DN: <> DN ενός αντικειμένου Κλάση αντικειμένου: <δημιουργία αντικειμένου Κλάση αντικειμένου> Χρήστης: <χρήστη που επιχείρησε την προσθήκη> LDAP Διεύθυνση IP υπολογιστή-πελάτη: <τη διεύθυνση IP του αιτούντος> |
Λειτουργία επιβολής - Αποτυχίες τροποποίησης LDAP
Συμβάντα που προκύπτουν όταν απορρίπτεται μια λειτουργία τροποποίησης LDAP.
|
Αρχείο καταγραφής συμβάντων |
Υπηρεσίες καταλόγου |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Αναγνωριστικό συμβάντος |
3046 |
|
Κείμενο συμβάντος |
Η υπηρεσία καταλόγου απέρριψε μια αίτηση τροποποίησης LDAP για το ακόλουθο αντικείμενο. Η αίτηση απορρίφθηκε επειδή ο υπολογιστής-πελάτης συμπεριέλαβε ένα χαρακτηριστικό nTSecurityDescriptor στην αίτηση τροποποίησης, αλλά δεν είχε ρητά δικαιώματα εγγραφής ενός ή περισσότερων τμημάτων της νέας περιγραφής ασφαλείας, με βάση την υπάρχουσα περιγραφή ασφαλείας του αντικειμένου. Αντικείμενο DN: <> DN ενός αντικειμένου Κλάση αντικειμένου: <δημιουργία αντικειμένου Κλάση αντικειμένου> Χρήστης: <χρήστη που επιχείρησε την προσθήκη> LDAP Διεύθυνση IP υπολογιστή-πελάτη: <τη διεύθυνση IP του αιτούντος> |
Συνήθεις ερωτήσεις
Q1 Τι θα συμβεί εάν έχω ένα συνδυασμό ελεγκτών τομέα της υπηρεσίας καταλόγου Active Directory που ενημερώνονται και δεν ενημερώνονται;
A1 Οι υπολογιστές που δεν ενημερώνονται δεν θα καταγράψουν συμβάντα που σχετίζονται με αυτή την ευπάθεια.
Ε2 Τι πρέπει να κάνω για Read-Only ελεγκτές τομέα (RODCs);
A2 Τίποτα; Οι λειτουργίες προσθήκης και τροποποίησης LDAP δεν μπορούν να στοχεύσουν RODCs.
Τ3 Έχω ένα προϊόν ή μια διεργασία τρίτου κατασκευαστή που αποτυγχάνει μετά την ενεργοποίηση της λειτουργίας ενεργοποίησης. Πρέπει να εκχωρήσω δικαιώματα διαχειριστή υπηρεσίας ή τομέα χρήστη;
A3 Γενικά, δεν συνιστάται η προσθήκη μιας υπηρεσίας ή ενός χρήστη στην ομάδα διαχειριστών τομέα ως πρώτη λύση σε αυτό το πρόβλημα. Εξετάστε τα αρχεία καταγραφής συμβάντων για να δείτε ποια συγκεκριμένα δικαιώματα απαιτούνται και εξετάστε το ενδεχόμενο εκχώρησης κατάλληλα περιορισμένων δικαιωμάτων για τον συγκεκριμένο χρήστη σε ξεχωριστή εταιρική μονάδα που έχει οριστεί για το σκοπό αυτό.
Τρ4 Βλέπω επίσης τα συμβάντα ελέγχου για διακομιστές LDS. Γιατί συμβαίνει αυτό;
A4Όλα τα παραπάνω ισχύουν επίσης για τις AD LDS, αν και είναι πολύ ασυνήθιστο να έχετε αντικείμενα υπολογιστή σε LDS. Θα πρέπει επίσης να ληφθούν μέτρα μετριασμού για να ενεργοποιηθεί η προστασία για AD LDS όταν η κατάσταση λειτουργίας ελέγχου δεν εντοπίζει μη αναμενόμενα δικαιώματα.
