Kokkuvõte
CVE-2021-42278 lahendab turberikkumise haavatavuse, mis võimaldab potentsiaalsetel ründajatel arvuti konto sAMAccountName tüssamise abil domeenikontrollerit jäljendada.
Selles artiklis kirjeldatakse täiendavaid üksikasju ja korduma kippuvate küsimuste jaotist, mis sisaldab Active Directory turbekontode halduri (SAM) muudatusi, mida Windows värskendused on välja andnud 9. novembril 2021 ja uuemates versioonides, nagu on dokumenteeritud dokumendis CVE-2021-42278.
Active Directory valideerimise kontrollid
Pärast CVE-2021-42278installimist teostab Active Directory nende arvutikontode atribuutide sAMAccountName ja UserAccountControl, mille on loonud või muutnud kasutajad, kellel pole arvutikontode administraatoriõigusi, allpool loetletud valideerimiskontrollid.
-
sAMAccountType valideerimine kasutaja- ja arvutikontode jaoks
-
ObjectClass=Arvuti (või arvuti alamklassi) kontodel peavad olema UF_WORKSTATION_TRUST_ACCOUNT või UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=Kasutajal peavad olema UF_NORMAL_ACCOUNT või UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
sAMAccountNamei valideerimine arvutikontode jaoks
Selle arvutikonto sAMAccountName, mille atribuut UserAccountControl sisaldab UF_WORKSTATION_TRUST_ACCOUNT, peab lõppema ühe dollarimärgiga ($). Kui need tingimused pole täidetud, tagastab Active Directory tõrkekoodi 0x523 ERROR_INVALID_ACCOUNTNAME. Nurjunud valideerimised logitakse süsteemi sündmuselogis sündmuselogisse Directory-Services-SAM ID 16991.
Kui need tingimused pole täidetud, tagastab Active Directory tõrkekoodi ACCESS_DENIED. Nurjunud valideerimised logitakse süsteemi sündmuselogis sündmuselogisse Directory-Services-SAM ID 16990.
Sündmuste auditeerimine
Objektiklass ja UserAccountControli valideerimistõrge
Kui objektiklass ja UserAccountControli valideerimine nurjub, logitakse süsteemilogisse järgmine sündmus:
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse ID |
16990 |
Sündmuse tekst |
Turbekonto haldur blokeeris mitteadministraatoril luua selles domeenis Active Directory kontot, mis sisaldab sobimatuid objekteKlassi ja userAccountControli kontotüübi lipud. Üksikasjad Konto nimi: %1%n Konto objektKlass: %2%n userAccountControl: %3%n Helistaja aadress: %4%n Helistaja SID: %5%n%n |
SAM-i konto nime valideerimise tõrge
Kui SAM-i konto nime valideerimine nurjub, logitakse süsteemilogisse järgmine sündmus:
Sündmuste logi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse ID |
16991 |
Sündmuse tekst |
Turbekonto haldur blokeeris mitteadministraatori arvutikonto loomise või ümbernimetamise sobimatu sAMAccountNamei abil. sAMAccountName arvutikontodel peab lõppema ühe lõpumärgiga $. Proovitud sAMAccountName: %1 Soovitatav sAMAccountName: %1$ |
Edukad arvutikonto loomise auditisündmused
Arvutikonto loomise õnnestumiseks on saadaval järgmised auditeerimissündmused.
Lisateavet leiate teemast Arvutikonto halduse auditeerimine.
Korduma kippuvad küsimused
1. küsimus. Kuidas mõjutab see värskendus Active Directory olemasolevaid objekte?
A1. Olemasolevate objektide valideerimine toimub siis, kui kasutajad, kellel pole administraatoriõigusi, muudavad atribuute sAMAccountName või UserAccountControl.
2. küsimus. Mis on sAMAccountName?
A2. sAMAccountName on Active Directory kõigi turbesubjektide kordumatu atribuut, mis hõlmab kasutajaid, rühmi ja arvuteid. SAMAccountNamei nimepiirangud on dokumenteeritud dokumendis 3.1.1.6 Atribuudi piirangud lähtevärskenduste jaoks.
3. küsimus. Mis on sAMAccountType?
A3. Lisateavet leiate järgmistest dokumentidest.
On kolm võimalikku sAMAccountType-väärtust, mis vastavad neljale võimalikule UserAccountcontroli lipule järgmiselt.
userAccountControl |
sAMAccountType |
---|---|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
4. küsimus. Millised on UserAccountControli võimalikud väärtused?
A4. Lisateavet leiate järgmistest dokumentidest.
K5. Kuidas leida nõuetele mittevastavaid objekte, mis on minu keskkonnas juba olemas?
A5. Administraatorid saavad otsida oma kataloogist olemasolevaid nõuetele mittevastavaid kontosid PowerShelli skripti abil, nagu allpool toodud näited.
Nõuetele mittevastava sAMAccountName-gaarvutikontode leidmiseks:
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Nõuetele mittevastava UserAccountControli sAMAccountType-ga arvutikontode otsimiseks:
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |