Kokkuvõte
Windows 9. novembril 2021 välja antud CVE-2021-42282 värskendused lisavad Active Directory (AD) atribuutidele järgmised kontrollimised.
-
Kasutajasubjektinimi (UPN) ja teenusesubjektinime (SPN) kordumatus (uus Windows 8, Windows Server 2012 ja varasemad versioonid)
-
SPN-i pseudonüüm (uus kõigile Windows versioonidele)
Kasutajasubjektinimi ja teenusesubjektinime kordumatus
See funktsioon tagab, et NS-id on metsas kordumatud, mis takistab arvutitel ja domeenikontrolleritel dubleeritud NS-ide lisamist. See funktsioon on juba olemas Windows 8.1 ja eespool ning seda kirjeldatakse SPN-is ja UPN-i kordumatuses.
SPN-i pseudonüümide kordumatus
Olemasolev atribuut AD määratleb paljude levinud teenuseklasside pseudonüümid samaväärse host-SPN-iga teenuste (nt CIFS, HTTP ja RPC) jaoks. Atribuut AD on määratletud loendina Active Directory metsa konfiguratsiooninime kontekstis. Kasutaja, kellel pole administraatoriõigusi, ei pruugi selle pseudonüümi abil ümber määrata SPN-i, mis on kaudselt määratud muule kontole.
Märkus. See kontrollimine viiakse läbi lisaks UPN-i ja SPN-i ainulaadsuse kontrollimisele.
Vaikimisi on sisse lülitatud SPN-i pseudonüümi kordumatuse kontrollimine. Nende kontrollimiste väljalülitamiseks saate muuta atribuudi dSHeuristics 21. märki, mida tõlgendatakse märkide sarjana. Atribuuti dSHeuristics pole vaikimisi olemas, kuid saate selle lisada eraldusnime "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" alla. Võimalikud sätted ja nende vastavad bitiväärtused on järgmised.
-
Väärtus 0 – tähendab, et jõusta kõik (bitti pole määratud 000) Vaikeväärtus
-
Väärtus 1 – tähendab UPN-i kordumatuse kontrollimise keelamist (bit 0 komplekt – 001)
-
Väärtus 2 – tähendab SPN-i ainususe kontrollimise keelamist (bit 1 komplekt – 010)
-
Väärtus 3 – tähendab UPN-i kordumatuse ja SPN-i kordumatuse kontrollimise keelamist. (bitt 0 ja 1 komplekt – 011)
-
Väärtus 4 – tähendab SPN pseudonüümi kordumatuse kontrollimise keelamist (bit 2 komplekt – 100)
-
Väärtus 5 – tähendab SPN pseudonüümi ja UPN-i kordumatuse kontrollimise keelamist (2. ja 0. bitine komplekt – 101)
-
Väärtus 6 – tähendab SPN pseudonüümi ja SPN-i kordumatuse keelamist (2. ja 1. bitine komplekt – 110)
-
Väärtus 7 – tähendab Keela kõik (kõik bitid on määratud 111)
Näide: Kui teie metsas pole lubatud muid dSHeuristicsi sätteid ja soovite keelata ainult SPN-i pseudonüümi kordumatuse kontrollimise, peaks atribuudi dSHeuristics väärtuseks olema seatud "000000000100000000024"
Sellel juhul määratud märgid on järgmised.
10. märk . Kui atribuut dSHeuristics on vähemalt 10
märki, tuleb selle väärtuseks määrata 1.
20. märk . Kui atribuut dSHeuristics on vähemalt 20
märki, tuleb selle väärtuseks määrata 2.
21. märk: peab olema seatud ülaltoodud loendis väärtusele; väärtus 4 tähendab SPN-i pseudonüümi kordumatuse keelamist.
Märkus. Kui atribuut dSHeuristics on juba määratud, ühendage olemasolevad sätted kindlasti oma uude dSHeuristicsi atribuudistringi ja veenduge, et 10., 20. ja 21. märgid on määratud ülalpool esitatud viisil. Muud juba määratud märgid peaksid jääma samaks.
Lisateavet dSHeuristicsi märkide konfigureerimise kohta leiate järgmistest dokumentidest.
Lisateave
Mis on teenusesubjekti nimi?
Teenusesubjektinimi (SPN) on teenuseeksemplari ainuidentifikaator. Kerberose autentimine kasutab teenuseeksemplari seostamiseks teenuse sisselogimiskontoga NS-i. See võimaldab kliendirakendusel taotleda, et teenus autendiks konto isegi siis, kui kliendil pole konto nime. Lisateavet leiate teemast Teenusesubjektinimed .
Mis on kasutajasubjekti nimi?
Kasutajasubjektinimi (UPN) on kasutaja meililaadiga sisselogimisnimi, mis põhineb Interneti standardil RFC 822. Lisateavet leiate teemast Atribuut User-Principal-Name (Kasutaja-subjekt-nimi).
korduma kippuvad küsimused
K1 Mida teha, kui pean konto jaoks registreerima hostipseudonüümi SPN duplikaadi?
A1 Registreerige nõutav SPN administraatorina.
Q2 Mis juhtub, kui lülitan SPN-i või UPN-i ainulaadsuse välja?
A2 Me ei soovita seda. Kui ID-d pole kordumatud, siis on see nii, nagu ei registreerita üldse ühtegi duplikaatideks ID-d. Dubleeritud SPN-i registreerimine on sama, mis algse SPN-i registreerimise tühistamine. Kui UPN-id pole kordumatud, ei õnnestu duplikaat-UPN-ide abil kasutajaotsingud.
Q3 Mis juhtub, kui lülitan SPN-i pseudonüümi kordumatuse välja?
A3 Me ei soovita seda. Mitteadministraator võib muuta olemasoleva pseudonüümi SPN eraldusvõime praegusest eraldusvõimest mitteadministraatori kontrolli all arvutiks. See arvuti võib toimida selle teenusena, kuna Kerberose pakutava serveriautentimise puhul aktsepteeritakse uut kontot hostiteenuse jaoks õige hostina, mitte hosti SPN-i algse kontona.
K4. Kuidas saab domeeni administraator leida võrgus juba olevad spn-id või UPN-id?
A4 See ei ole praktiline, kui te ei kirjuta ulatuslikku skriptimist, et loetleda kõik domeenist pärit DN-id ja UPN-id ning leida duplikaate.
K5 Mis juhtub, kui mul on domeenikontrollerite segu, mida värskendatakse ja mida ei värskendata ega vastendata domeenikontrollerite vahel valesti?
A5 Dubleeritud UPN-ide või SPN-ide tõttu tiražeerimine ei blokeerita. Seetõttu saavad duplikaadid tiražeerida teistele domeenikontrolleritele, kui dubleeritud UPN-id või NS-id luuakse domeenikontrolleris, kus seda värskendust pole.
