Resumen
Las actualizaciones de Windows para CVE-2021-42282 publicadas el 9 de noviembre de 2021 añaden las siguientes comprobaciones para atributos en Active Directory (AD):
-
La singularidad del nombre principal de usuario (UPN) y del nombre principal de servicio (SPN) (nuevo en Windows 8, Windows Server 2012 y versiones anteriores)
-
Singularidad del alias SPN (nuevo en todas las versiones de Windows)
La singularidad del nombre principal de usuario y del nombre principal del servicio
Esta característica garantiza que los SPN son únicos en un bosque, lo que impide que los equipos y los controladores de dominio añadan SPN duplicados. Esta funcionalidad ya existe en Windows 8.1 y posteriores y se describe en la singularidad de SPN y UPN.
Singularidad del alias SPN
Un atributo AD existente define alias para muchas clases de servicio comunes al SPN HOST equivalente para servicios como CIFS, HTTP y RPC. El atributo AD se define como una lista en el contexto de nomenclatura de configuración de un bosque de Active Directory. Un usuario que no tenga derechos de administrador podría no reasignar un SPN que se asigna implícitamente a una cuenta diferente con este alias.
Nota Esta verificación se implementa además de la verificación para la singularidad de UPN y SPN.
Las comprobaciones de singularidad de alias SPN están activadas de manera predeterminada. Puede desactivar estas comprobaciones modificando el carácter 21st del atributo dSHeuristics , que se interpreta como una serie de caracteres. El atributo dSHeuristics no existe de forma predeterminada, pero puede agregarlo bajo el nombre distintivo "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Las posibles opciones de configuración y sus valores de bits correspondientes son las siguientes:
-
Valor 0: significa Aplicar todo (sin bits establecido 000) Valor predeterminado
-
Valor 1: significa Deshabilitar la verificación de singularidad de UPN (bit 0 establecido - 001)
-
Valor 2: significa Deshabilitar la verificación de singularidad SPN (bit 1 establecido - 010)
-
Valor 3: significa deshabilitar la singularidad de UPN y la verificación de singularidad SPN. (bit 0 y 1 conjunto - 011)
-
Valor 4: significa Deshabilitar la verificación de singularidad del alias SPN (bit 2 establecido - 100)
-
Valor 5: significa deshabilitar el alias SPN y la verificación de singularidad UPN (bit 2 y bit 0 establecido - 101)
-
Valor 6: significa deshabilitar el alias SPN y la singularidad de SPN (bit 2 y bit 1 establecido - 110)
-
Valor 7 : significa Deshabilitar todo (todos los bits configurados 111)
Ejemplo: Si no tienes otras opciones de configuración dSHeuristics habilitadas en el bosque y solo quieres deshabilitar la verificación de la singularidad del alias SPN, el atributo dSHeuristics debe establecerse en: "000000000100000000024"
Los caracteres que se establecen en este caso son:
10th char: Debe establecerse en 1 si el atributo dSHeuristics tiene al menos 10 caracteres
20th char: Debe establecerse en 2 si el atributo dSHeuristics tiene al menos 20 caracteres
21st char: Debe establecerse en un valor de la lista anterior; valor 4 significa Deshabilitar la singularidad del alias SPN.
Nota Si el atributo dSHeuristics ya está establecido, asegúrese de combinar la configuración existente en la nueva cadena de atributo dSHeuristics y confirme que los caracteres 10, 20 y 21 se establecen como se ha indicado anteriormente. Los demás caracteres que ya están establecidos no cambiarán.
Para obtener más información sobre cómo configurar los caracteres dSHeuristics, consulte los siguientes documentos:
Más información
¿Qué es un nombre principal de servicio?
Un nombre principal de servicio (SPN) es un identificador único para una instancia de servicio. La autenticación Kerberos usa SPN para asociar una instancia de servicio con una cuenta de inicio de sesión de servicio. Esto permite a una aplicación cliente solicitar que el servicio autentique una cuenta incluso si el cliente no tiene el nombre de cuenta. Consulte Nombres principales de servicio para obtener más información.
¿Qué es un nombre principal de usuario?
Un nombre principal de usuario (UPN) es un nombre de inicio de sesión de estilo de correo electrónico para un usuario basado en el estándar de internet RFC 822. Para obtener más información, consulte Atributo User-Principal-Name.
Preguntas más frecuentes
P1 ¿Qué sucede si necesito registrar un SPN de alias HOST duplicado para la cuenta?
R1 Registre el SPN necesario como administrador.
P2 ¿Qué sucede si desactivo la singularidad de SPN o UPN?
R2 No se recomienda esta acción. Si los SPN no son únicos, equivale a que los SPN que son duplicados no están registrados en absoluto. Registrar un SPN duplicado tiene el mismo efecto que anular el registro del original. Si los UPN no son únicos, se producirán errores en las búsquedas de usuario con UPN duplicados.
P3 ¿Qué sucede si desactivo la singularidad del alias SPN?
R3 No se recomienda esta acción. Un usuario que no sea administrador puede cambiar la resolución de un SPN de alias existente de su resolución actual a un equipo que no sea administrador. Ese equipo podría actuar como dicho servicio porque la autenticación del servidor que proporciona Kerberos aceptaría la nueva cuenta como el host correcto para el servicio en lugar de la cuenta original con el SPN HOST.
P4 ¿Cómo puede un administrador de dominio encontrar SPN duplicados o UPN ya presentes en la red?
R4 Esto no es práctico sin escribir scripts extensos para enumerar todos los SPN y UPN del dominio y correlacionarlos para buscar duplicados.
P5 ¿Qué sucede si tengo una mezcla de controladores de dominio que se actualizan y no actualizados, o configuraciones no coincidentes entre controladores de dominio?
R5 La replicación no se bloqueará debido a UPN o SPN duplicados. Por lo tanto, los duplicados pueden replicarse en otros controladores de dominio si los UPN o SPN duplicados se crean en un controlador de dominio que no tenga la actualización.
