Σύνοψη
Οι προστασίες για το CVE-2022-21920 περιλαμβάνονται στις ενημερώσεις της 11ης Ιανουαρίου 2022 Windows και στις νεότερες ενημερώσεις Windows. Αυτές οι ενημερώσεις περιέχουν βελτιωμένη λογική για τον εντοπισμό επιθέσεις υποβάθμισης για κύρια ονόματα υπηρεσίας 3 τμημάτων κατά τη χρήση του πρωτοκόλλου ελέγχου ταυτότητας Microsoft Negotiate.
Αυτό το άρθρο παρέχει οδηγίες όταν ο έλεγχος ταυτότητας του Kerberos δεν είναι επιτυχημένος.
Περισσότερες πληροφορίες
Η εγκατάσταση των ενημερώσεων της 11ης Ιανουαρίου 2022 Windows και νεότερες ενημερώσεις Windows ενδέχεται να έχει ως αποτέλεσμα την αποτυχία του ελέγχου ταυτότητας για ΤΑ SPN 3 τμημάτων, όπου ο έλεγχος ταυτότητας του Kerberos δεν είναι επιτυχημένος. Για αυτά τα περιβάλλοντα, είναι πιθανό ότι ο έλεγχος ταυτότητας Kerberos για SPN 3 τμημάτων δεν λειτούργησε για κάποιο χρονικό διάστημα. Ενδέχεται να δείτε το ακόλουθο συμβάν σε συστήματα προγράμματος-πελάτη Windows για να σας βοηθήσουν στη διαχείριση προτεραιότητας.
|
Στιγμιότυπο οθόνης συμβάντος LSA 40970 που προσδιορίζει μια εναλλακτική συνάρτηση NTLM για ένα συγκεκριμένο SPN από ένα περιβάλλον δοκιμής της Microsoft. |
Έκδοση κειμένου LSA Event 40970 |
|
|
Το σύστημα ασφαλείας εντόπισε μια προσπάθεια υποβάθμισης κατά την επικοινωνία με το SPN 3 τμημάτων > ονόματος SPN < με τον κωδικό σφάλματος "Η βάση δεδομένων SAM στον Windows διακομιστή δεν διαθέτει λογαριασμό υπολογιστή για τη σχέση αξιοπιστίας του σταθμού εργασίας (0x0000018b)" Απορρίφθηκε ο έλεγχος ταυτότητας. |
Ενέργεια
Η Microsoft συνιστά να αξιολογήσετε το λόγο για τον οποίο απέτυχε ο έλεγχος ταυτότητας Kerberos για το SPN 3 τμημάτων. Ορισμένοι συνηθισμένοι λόγοι για την αποτυχία ελέγχου ταυτότητας του Kerberos είναι οι εξής:
-
Το SPN που χρησιμοποιείται ως προορισμός για τον έλεγχο ταυτότητας έχει εσφαλμένη μορφή. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Μορφές ονομάτων για μοναδικά SPN.
Σημείωση: Οι εφαρμογές και τα API ενδέχεται να έχουν πιο αυστηρούς ή διαφορετικούς ορισμούς για το τι αποτελεί νόμιμο SPN για την υπηρεσία τους.
Παραδείγματα νόμιμου SPN
http/webserver
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Service/machine1:10100
Παραδείγματα πιθανών εσφαλμένων SPNSPN
Λόγο
Κεντρικός υπολογιστής/κεντρικός υπολογιστής1
Ο κεντρικός υπολογιστής/κεντρικός υπολογιστής είναι πιθανότατα ένα λάθος, καθώς το "host" είναι συνήθως μια κλάση υπηρεσίας και όχι ένα όνομα υπολογιστή. Είναι πιθανό ότι το νόμιμο SPN είναι ο κεντρικός υπολογιστής/υπολογιστής1.
Ldap/machine/contoso.com:10100
Οι θύρες μπορούν να καθοριστούν στο όνομα του κεντρικού υπολογιστή ("υπολογιστής") και όχι στο όνομα της παρουσίας της υπηρεσίας. Είναι πιθανό ότι το νόμιμο SPN είναι "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Ορισμένα API αναμένουν ένα όνομα DNS αντί για ένα FQDN. Για παράδειγμα, η συνάρτηση DsBindA (ntdsapi.h) αναμένεται να μεταβιβάσει ένα όνομα DNS. Εάν μεταβιβάζεται ένα FQDN, αυτό μπορεί να έχει ως αποτέλεσμα το εσφαλμένο SPN.
Το νόμιμο SPN μπορεί να είναι "ldap/dc-a/contoso.com"Για να αντιμετωπίσετε αυτά τα ζητήματα, εξετάστε το ενδεχόμενο να χρησιμοποιήσετε το σωστό SPN ή να καταχωρήσετε το εσφαλμένο SPN στον σωστό λογαριασμό υπηρεσίας.
-
Το SPN που χρησιμοποιείται ως προορισμός για τον έλεγχο ταυτότητας δεν υπάρχει. Για να αντιμετωπίσετε αυτό το ζήτημα, εξετάστε το ενδεχόμενο να καταχωρήσετε το SPN στον σωστό λογαριασμό υπηρεσίας.
-
Ο Windows υπολογιστής-πελάτης δεν διαθέτει τη "Γραμμή όρασης" σε έναν ελεγκτή τομέα (όπως οι υπολογιστές-πελάτες είναι εκτός σύνδεσης, δεν είναι δυνατό να εντοπιστεί στο DNS ή η πρόσβαση στη θύρα KDC έχει αποκλειστεί).
-
Μπορεί να χρησιμοποιείτε ονόματα NetBIOS σε ένα σενάριο όπου τα ονόματα του NetBIOS δεν λειτουργούν. Ένα παράδειγμα είναι η πρόσβαση σε πόρους τομέα από έναν υπολογιστή που δεν είναι συνδεδεμένος με τομέα και η επίλυση ονομάτων του NetBIOS είτε είναι απενεργοποιημένη είτε δεν λειτουργεί.
Η Microsoft συνιστά τη χρήση κύριου ονόματος χρήστη (UPN) ή ενός συστήματος ονομάτων τομέα (DNS) αντί για το όνομα του NetBIOS.
Εγγραφή SPN
Ανάλογα με τη ρύθμιση παραμέτρων της εφαρμογής και του περιβάλλοντός σας, τα SPN ενδέχεται να έχουν ρυθμιστεί στο χαρακτηριστικό Κύριο όνομα υπηρεσίας του λογαριασμού υπηρεσίας ή του λογαριασμού υπολογιστή που βρίσκεται στον τομέα της υπηρεσίας καταλόγου Active Directory με τον οποίο προσπαθεί να δημιουργήσει το πρόγραμμα-πελάτη Kerberos. Για να λειτουργήσει σωστά ο έλεγχος ταυτότητας Kerberos, το SPN προορισμού πρέπει να είναι έγκυρο.
Ανατρέξτε στην τεκμηρίωση ανάπτυξης ή στην υπηρεσία παροχής υποστήριξης για κάθε συγκεκριμένη εφαρμογή για οδηγίες σχετικά με τον τρόπο ενεργοποίησης του ελέγχου ταυτότητας του Kerberos. Ορισμένα άτομα εγκατάστασης εφαρμογών ή εφαρμογές καταχωρούν αυτόματα ΤΑ SPN. Υπάρχουν διάφορες επιλογές τόσο για τους προγραμματιστές όσο και για τους διαχειριστές για να καταχωρήσουν ένα SPN:
-
Για να καταχωρήσετε τα SPN με μη αυτόματο τρόπο για μια παρουσία υπηρεσίας, ανατρέξτε στο θέμα Setspn.
-
Για να καταχωρήσετε μέσω προγραμματισμού τα SPN σε μια παρουσία υπηρεσίας, ανατρέξτε στο θέμα Πώς μια υπηρεσία καταχωρεί τα SPN της , περιγράφοντας πώς μπορείτε να κάνετε τα εξής:
-
Καλέστε τη συνάρτηση DsGetSpn για να δημιουργήσετε ένα ή περισσότερα μοναδικά SPN για την παρουσία της υπηρεσίας. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Μορφές ονομάτων για μοναδικά SPN.
-
Καλέστε τη συνάρτηση DsWriteAccountSpn για να καταχωρήσετε τα ονόματα στο λογαριασμό σύνδεσης της υπηρεσίας.
-
Γνωστά προβλήματα
Προς το παρόν, δεν υπάρχουν γνωστά προβλήματα με αυτήν την ενημέρωση.
