|
Muuda kuupäeva |
Muuda kirjeldust |
|
3. veebruar 2026 |
|
Kokkuvõte
9. novembril 2021 välja antud Windowsi värskendused CVE-2021-42282 jaoks lisavad Active Directory (AD) atribuutide jaoks järgmised kontrollid:
-
Kasutaja turvasubjektinimi (UPN) ja teenusesubjekti nimi (SPN) kordumatus (uued Windows 8, Windows Server 2012 ja varasemad väljaanded)
-
SPN-i pseudonüümi kordumatus (uus kõigile Windowsi versioonidele)
Kasutajasubjekti nimi ja teenusesubjekti nime kordumatus
See funktsioon tagab, et SPN-id on metsas kordumatud, mis takistab arvutitel ja domeenikontrolleritel lisada duplikaat-SPN-e. See funktsioon on juba olemas versioonis Windows 8.1 ja uuemates versioonides ning seda kirjeldatakse SPN-i ja UPN-i kordumatuses.
SPN-i pseudonüümi kordumatus
Olemasolev AD-atribuut määratleb paljude levinumate teenuseklasside pseudonüümid samaväärse hosti SPN-iga selliste teenuste jaoks nagu CIFS, HTTP ja RPC. AD-atribuut on Active Directory metsa konfiguratsiooninimekonteksti loend. Kasutaja, kellel pole administraatoriõigusi, ei pruugi selle pseudonüümi abil teisele kontole kaudselt määratud SPN-i ümber määrata.
Märkus Seda kontrollimist rakendatakse lisaks UPN-i ja SPN-i kordumatuse kontrollimisele.
SPN-i pseudonüümi kordumatuse kontrollimine on vaikimisi sisse lülitatud. Saate need kontrollid välja lülitada, muutes atribuudi dSHeuristics 21st märki, mida tõlgendatakse märkide sarjana. Atribuuti dSHeuristics pole vaikimisi olemas, kuid saate selle lisada eristusnime "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" alla. Võimalikud sätted ja nende vastavad bitiväärtused on järgmised.
-
Väärtus 0 – tähendab, et jõusta kõik (bitte pole määratud 000) Vaikimisi
-
Väärtus 1 – tähendab UPN-i kordumatuse kontrollimise keelamist (bitt 0 seatud – 001)
-
Väärtus 2 – tähendab SPN-i kordumatuse kontrollimise keelamist (bitt 1 hulk – 010)
-
Väärtus 3 – tähendab, et keelake UPN-i kordumatus JA SPN-i kordumatuse kontrollimine. (bitt 0 ja 1 hulk – 011)
-
Väärtus 4 – tähendab SPN-i pseudonüümi kordumatuse kontrollimise keelamist (bitt 2 komplekt – 100)
-
Väärtus 5 – tähendab, et keelake SPN-i pseudonüüm JA UPN-i kordumatuse kontrollimine (bitt 2 ja 0-bitine komplekt – 101)
-
Väärtus 6 – tähendab, et keelake SPN-i pseudonüüm JA SPN-i kordumatus (bitt 2 ja 1 määratud bitt – 110)
-
Väärtus 7 – tähendab Keela kõik (kõik bitid on määratud 111)
Näide: Kui teie metsas pole muid dSHeuristicsi sätteid lubatud ja soovite spN-i pseudonüümi kordumatuse kontrollimise keelata, peaks atribuudi dSHeuristics väärtuseks olema seatud "000000000100000000024" Praegusel juhul määratud märgid on järgmised.10-nda märgi väärtus: peab olema seatud väärtusele 1, kui atribuut dSHeuristics on vähemalt 10 märki 20th char: peab olema seatud väärtusele 2, kui atribuut dSHeuristics on vähemalt 20 märki 21st char: tuleb seada ülaltoodud loendis olevale väärtusele; väärtus 4 tähendab Keela SPN-i pseudonüümi kordumatus.
Märkus Kui atribuut dSHeuristics on juba määratud, ühendage olemasolevad sätted kindlasti oma uue dSHeuristicsi atribuudistringi ja veenduge, et 10., 20. ja 21. märgid oleksid seatud eespool kirjeldatud viisil. Muud juba määratud märgid ei tohiks jääda samaks.
Lisateavet dSHeuristicsi märkide konfigureerimise kohta leiate järgmistest dokumentidest:
Täiendav teave
Mis on teenusesubjekti nimi?
Teenusesubjekti nimi (SPN) on teenuseeksemplari ainuidentifikaator. Kerberose autentimine kasutab SPN-e teenuseeksemplari seostamiseks teenuse sisselogimiskontoga. See võimaldab klientrakendusel taotleda teenuse autentimist konto isegi siis, kui kliendil pole konto nime. Lisateavet leiate teemast Teenusesubjektide nimed .
Mis on kasutaja turvasubjekti nimi?
Kasutaja turvasubjektinimi (UPN) on kasutaja meililaadis sisselogimisnimi, mis põhineb Interneti standardil RFC 822. Lisateavet leiate teemast Atribuut User-Principal-Name.
Korduma kippuvad küsimused
K1 Mida teha, kui pean konto jaoks registreerima hosti pseudonüümi SPN-i duplikaadi?
A1 Registreerige nõutav SPN Active Directory ettevõtteadministraatorina.
K2 Mis juhtub, kui SPN-i või UPN-i kordumatuse välja lülitada?
A2 Me ei soovita seda. Kui SPN-id pole kordumatud, siis pole spN-id, mis on duplikaadid, üldse registreeritud. Duplikaadi SPN-i registreerimisel on sama mõju, mis algse SPN-i registreerimise tühistamine. Kui UPN-id pole kordumatud, nurjuvad duplikaat-UPN-e kasutavad kasutajaotsingud.
Q3 Mis juhtub, kui SPN-i pseudonüümi kordumatus välja lülitada?
A3 Me ei soovita seda. Mitteadministraator võib muuta olemasoleva pseudonüümi SPN-i eraldusvõime praegusest eraldusvõimest mitteadministraatori kontrolli all olevaks arvutiks. See arvuti võib toimida selle teenusena, kuna Kerberose pakutav serveriautentimine aktsepteeriks uut kontot hosti SPN-iga algse konto asemel teenuse jaoks õige hostina.
K4 Kuidas saab domeeni administraator otsida võrgus juba leiduvaid duplikaat-SPN-e või UPN-e?
A4 See pole praktiline ilma ulatuslikku skriptimist kirjutamata, et loetleda domeenist kõik SPN-id ja UPN-id ning korreleerida duplikaatide leidmiseks.
Q5 Mis juhtub, kui mul on palju domeenikontrollereid, mida värskendatakse ja mida ei värskendata või mis ei ühti domeenikontrollerite sätetega?
A5 Tiražeerimist ei blokeerita UPN-ide või SPN-ide duplikaatide tõttu. Seetõttu võivad duplikaadid tiražeerida teistele domeenikontrolleritele, kui duplikaadid UPN-id või SPN-id luuakse domeenikontrolleris, millel pole värskendust.
