Kokkuvõte
CVE-2022-21920 kaitsed sisalduvad 11. jaanuaril 2022 Windows värskendustes ja uuemates Windows värskendustes. Need värskendused sisaldavad täiustatud loogikat 3-osalise teenusesubjektinimede allavahetamisrünnete tuvastamiseks, kui kasutate Microsoft Negotiatei autentimisprotokolli.
Selles artiklis antakse juhised, kui Kerberose autentimine ei õnnestu.
Täiendav teave
11. jaanuaril 2022 Windows värskenduste ja uuemate versioonide Windows võib põhjustada autentimine nurjumise 3-osalise ID-de korral, kus Kerberose autentimine ei õnnestu. Nende keskkondade puhul on tõenäoline, et Kerberose autentimine 3-osalise ID-de jaoks pole mõnda aega töötanud. Triage'i aitamiseks võite Windows kliendisüsteemides näha järgmist sündmust.
LSA event 40970 Screenshot identifying a NTLM fallback for a specific SPN from a Microsoft test environment. |
LSA sündmuse 40970 tekstiversioon |
|
Turbesüsteem tuvastas 3-osalise SPN-i poole pöördumisel allavahetamiskatse. <SPN-i> tõrkekoodiga "the SAM database on the Windows Server is not a computer account for the workstation trust relationship (0x0000018b)" Authentication was denied. |
Toiming
Microsoft soovitab 3-osalise SPN-i autentimist 3-osa jaoks triageerida. Kerberose autentimistõrke levinumad põhjused on järgmised.
-
Autentimis sihtkohana kasutatav SPN on vigane. Lisateavet leiate teemast Kordumatute ID-de nimevormingud.
Märkus.: Rakendustel ja API-tel võivad olla teenuse jaoks seadusliku SPN-i määratlused rangemad või erinevad.
Seadusliku SPN-i näited
http/webserver
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Service/machine1:10100
Näited võimalike vigaste SPN-ide kohtaSPN
Põhjus
Host/host/machine1
Host/host on tõenäoliselt viga, kuna "host" on tavaliselt teenuseklass, mitte seadme nimi. Võimalik, et seaduslik SPN on host/machine1.
Ldap/machine/contoso.com:10100
Pordid saab määrata hostinimes ("masin"), mitte teenuseeksemplari nimes. Võimalik, et SPN on "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Teatud API-d eeldavad FQDN-i asemel DNS-i nime. Näiteks eeldatakse, et funktsioon DsBindA (ntdsapi.h) edastatakse DNS-i nimena. Kui FQDN edastatakse, võib selle tulemuseks olla vigane SPN.
SPN võib olla "ldap/dc-a/contoso.com"Nende probleemide lahendamiseks võiksite kasutada õiget SPN-i või registreerida vigase SPN-i õigele teenusekontole.
-
Autentimis sihtkohana kasutatavat SPN-i pole olemas. Selle probleemi lahendamiseks võiksite registreerida SPN-i õigele teenusekontole.
-
Klientarvutis Windows domeenikontrollerile vaaterida (nt DCs on ühenduseta, DNS-ist ei saa teada või juurdepääs KDC-pordile on blokeeritud).
-
Võimalik, et kasutate NetBIOS-i nimesid stsenaariumis, kus NetBIOS-i nimed ei tööta. Näide on domeeniressurssidele juurdepääsemine domeeniga ühendamata seadmest ja NetBIOS-i nime eraldusvõime on kas keelatud või ei tööta.
Microsoft soovitab kasutada kasutajanime (UPN) või domeeninimesüsteemi (DNS) NetBIOS-i nime asemel nimi.
SPN-ide registreerimine
Sõltuvalt rakenduse ja keskkonna konfiguratsioonist võib NS-id olla konfigureeritud teenusekonto atribuudis Service Principal Name (Teenusesubjekti nimi) või Active Directory domeenis oleval arvutikontol, millega Kerberose klient üritab Kerberose ühendust luua. Selleks et Kerberose autentimine töötaks õigesti, peab siht-SPN olema kehtiv.
Kerberose autentimise lubamise juhised leiate iga konkreetse rakenduse juurutusdokumentatsioonist või tugiteenuste pakkujalt. Mõni rakenduseinstaller või -rakendus registreerib ID-d automaatselt. SPN-i registreerimiseks on nii arendajatel kui ka administraatoritel erinevad võimalused.
-
Teenuseeksemplari SPN-ide käsitsi registreerimiseks lugege teemat Setspn.
-
Teenuseeksemplari SPN-ide programmilise registreerimise kohta leiate teavet teemast Teenuseregistrite ID-d, mis kirjeldavad, kuidas:
-
Teenuseeksemplari jaoks ühe või mitme kordumatu SPN-i loomiseks helistage funktsioonile DsGetSpn. Lisateavet leiate teemast Kordumatute ID-de nimevormingud.
-
Teenuse sisselogimiskontol nimede registreerimiseks helistage funktsioonile DsWriteAccountSpn.
-
Teadaolevad probleemid
Praegu pole selle värskendusega teadaolevaid probleeme.