Sign in with Microsoft
Sign in or create an account.

Kokkuvõte

CVE-2021-42278 lahendab turberikkumise haavatavuse, mis võimaldab potentsiaalsetel ründajatel arvuti konto sAMAccountName tüssamise abil domeenikontrollerit jäljendada.

Selles artiklis kirjeldatakse täiendavaid üksikasju ja korduma kippuvate küsimuste jaotist, mis sisaldab Active Directory turbekontode halduri (SAM) muudatusi, mida Windows värskendused on välja andnud 9. novembril 2021 ja uuemates versioonides, nagu on dokumenteeritud dokumendis CVE-2021-42278.

Active Directory valideerimise kontrollid

Pärast CVE-2021-42278installimist teostab Active Directory nende arvutikontode atribuutide sAMAccountName ja UserAccountControl, mille on loonud või muutnud kasutajad, kellel pole arvutikontode administraatoriõigusi, allpool loetletud valideerimiskontrollid. 

  1. sAMAccountType valideerimine kasutaja- ja arvutikontode jaoks

    • ObjectClass=Arvuti (või arvuti alamklassi) kontodel peavad olema UF_WORKSTATION_TRUST_ACCOUNT või UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=Kasutajal peavad olema UF_NORMAL_ACCOUNT või UF_INTERDOMAIN_TRUST_ACCOUNT

  2. sAMAccountNamei valideerimine arvutikontode jaoks

    Selle arvutikonto sAMAccountName, mille atribuut UserAccountControl sisaldab UF_WORKSTATION_TRUST_ACCOUNT, peab lõppema ühe dollarimärgiga ($). Kui need tingimused pole täidetud, tagastab Active Directory tõrkekoodi 0x523 ERROR_INVALID_ACCOUNTNAME. Nurjunud valideerimised logitakse süsteemi sündmuselogis sündmuselogisse Directory-Services-SAM ID 16991.

Kui need tingimused pole täidetud, tagastab Active Directory tõrkekoodi ACCESS_DENIED. Nurjunud valideerimised logitakse süsteemi sündmuselogis sündmuselogisse Directory-Services-SAM ID 16990.

Sündmuste auditeerimine

Objektiklass ja UserAccountControli valideerimistõrge

Kui objektiklass ja UserAccountControli valideerimine nurjub, logitakse süsteemilogisse järgmine sündmus:

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16990

Sündmuse tekst

Turbekonto haldur blokeeris mitteadministraatoril luua selles domeenis Active Directory kontot, mis sisaldab sobimatuid objekteKlassi ja userAccountControli kontotüübi lipud.

Üksikasjad

Konto nimi: %1%n

Konto objektKlass: %2%n

userAccountControl: %3%n

Helistaja aadress: %4%n

Helistaja SID: %5%n%n

SAM-i konto nime valideerimise tõrge

Kui SAM-i konto nime valideerimine nurjub, logitakse süsteemilogisse järgmine sündmus:

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Directory-Services-SAM

Sündmuse ID

16991

Sündmuse tekst

Turbekonto haldur blokeeris mitteadministraatori arvutikonto loomise või ümbernimetamise sobimatu sAMAccountNamei abil. sAMAccountName arvutikontodel peab lõppema ühe lõpumärgiga $.

Proovitud sAMAccountName: %1

Soovitatav sAMAccountName: %1$

Edukad arvutikonto loomise auditisündmused

Arvutikonto loomise õnnestumiseks on saadaval järgmised auditeerimissündmused.

  • 4741(S): loodi arvutikonto

  • 4742(S): arvutikontot muudeti

  • 4743(S): arvutikonto on kustutatud

Lisateavet leiate teemast Arvutikonto halduse auditeerimine.

Korduma kippuvad küsimused

1. küsimus. Kuidas mõjutab see värskendus Active Directory olemasolevaid objekte?

A1. Olemasolevate objektide valideerimine toimub siis, kui kasutajad, kellel pole administraatoriõigusi, muudavad atribuute sAMAccountName või UserAccountControl.

2. küsimus. Mis on sAMAccountName?

A2. sAMAccountName on Active Directory kõigi turbesubjektide kordumatu atribuut, mis hõlmab kasutajaid, rühmi ja arvuteid. SAMAccountNamei nimepiirangud on dokumenteeritud dokumendis 3.1.1.6 Atribuudi piirangud lähtevärskenduste jaoks.

3. küsimus. Mis on sAMAccountType?

A3. Lisateavet leiate järgmistest dokumentidest.

On kolm võimalikku sAMAccountType-väärtust, mis vastavad neljale võimalikule UserAccountcontroli lipule järgmiselt.

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

4. küsimus. Millised on UserAccountControli võimalikud väärtused?

A4. Lisateavet leiate järgmistest dokumentidest.

K5. Kuidas leida nõuetele mittevastavaid objekte, mis on minu keskkonnas juba olemas?

A5. Administraatorid saavad otsida oma kataloogist olemasolevaid nõuetele mittevastavaid kontosid PowerShelli skripti abil, nagu allpool toodud näited.

Nõuetele mittevastava sAMAccountName-gaarvutikontode leidmiseks:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Nõuetele mittevastava UserAccountControli sAMAccountType-ga arvutikontode otsimiseks:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Ressursid

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×