Rakenduskoht
Windows Server 2008 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10, version 1607, all editions Windows 10, version 1809, all editions Windows Server 2016 Windows 10, version 1909, all editions Windows Server 2019 Windows 10, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 Windows Server 2022

Kokkuvõte

CVE-2022-21920 kaitsed sisalduvad 11. jaanuaril 2022 Windows värskendustes ja uuemates Windows värskendustes. Need värskendused sisaldavad täiustatud loogikat 3-osalise teenusesubjektinimede allavahetamisrünnete tuvastamiseks, kui kasutate Microsoft Negotiatei autentimisprotokolli.

Selles artiklis antakse juhised, kui Kerberose autentimine ei õnnestu.

Täiendav teave

11. jaanuaril 2022 Windows värskenduste ja uuemate versioonide Windows võib põhjustada autentimine nurjumise 3-osalise ID-de korral, kus Kerberose autentimine ei õnnestu. Nende keskkondade puhul on tõenäoline, et Kerberose autentimine 3-osalise ID-de jaoks pole mõnda aega töötanud. Triage'i aitamiseks võite Windows kliendisüsteemides näha järgmist sündmust.

LSA event 40970 Screenshot identifying a NTLM fallback for a specific SPN from a Microsoft test environment.

LSA sündmuse 40970 tekstiversioon

Sündmus 40970

Turbesüsteem tuvastas 3-osalise SPN-i poole pöördumisel allavahetamiskatse.

<SPN-i>

tõrkekoodiga "the SAM database on the Windows Server is not a computer account for the workstation trust relationship (0x0000018b)" Authentication was denied.

Toiming

Microsoft soovitab 3-osalise SPN-i autentimist 3-osa jaoks triageerida. Kerberose autentimistõrke levinumad põhjused on järgmised. 

  • Autentimis sihtkohana kasutatav SPN on vigane. Lisateavet leiate teemast Kordumatute ID-de nimevormingud.

    Märkus.: Rakendustel ja API-tel võivad olla teenuse jaoks seadusliku SPN-i määratlused rangemad või erinevad.

    Seadusliku SPN-i näited

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/machine1:10100 

    Näited võimalike vigaste SPN-ide kohta

    SPN 

    Põhjus 

    Host/host/machine1 

    Host/host on tõenäoliselt viga, kuna "host" on tavaliselt teenuseklass, mitte seadme nimi. Võimalik, et seaduslik SPN on host/machine1. 

    Ldap/machine/contoso.com:10100 

    Pordid saab määrata hostinimes ("masin"), mitte teenuseeksemplari nimes. Võimalik, et SPN on "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Teatud API-d eeldavad FQDN-i asemel DNS-i nime. Näiteks eeldatakse, et funktsioon DsBindA (ntdsapi.h) edastatakse DNS-i nimena. Kui FQDN edastatakse, võib selle tulemuseks olla vigane SPN.  SPN võib olla "ldap/dc-a/contoso.com"

    Nende probleemide lahendamiseks võiksite kasutada õiget SPN-i või registreerida vigase SPN-i õigele teenusekontole.

  • Autentimis sihtkohana kasutatavat SPN-i pole olemas. Selle probleemi lahendamiseks võiksite registreerida SPN-i õigele teenusekontole.

  • Klientarvutis Windows domeenikontrollerile vaaterida (nt DCs on ühenduseta, DNS-ist ei saa teada või juurdepääs KDC-pordile on blokeeritud).

  • Võimalik, et kasutate NetBIOS-i nimesid stsenaariumis, kus NetBIOS-i nimed ei tööta. Näide on domeeniressurssidele juurdepääsemine domeeniga ühendamata seadmest ja NetBIOS-i nime eraldusvõime on kas keelatud või ei tööta.Microsoft soovitab kasutada kasutajanime (UPN) või domeeninimesüsteemi (DNS) NetBIOS-i nime asemel nimi.

SPN-ide registreerimine 

Sõltuvalt rakenduse ja keskkonna konfiguratsioonist võib NS-id olla konfigureeritud teenusekonto atribuudis Service Principal Name (Teenusesubjekti nimi) või Active Directory domeenis oleval arvutikontol, millega Kerberose klient üritab Kerberose ühendust luua. Selleks et Kerberose autentimine töötaks õigesti, peab siht-SPN olema kehtiv.

Kerberose autentimise lubamise juhised leiate iga konkreetse rakenduse juurutusdokumentatsioonist või tugiteenuste pakkujalt. Mõni rakenduseinstaller või -rakendus registreerib ID-d automaatselt. SPN-i registreerimiseks on nii arendajatel kui ka administraatoritel erinevad võimalused.

  • Teenuseeksemplari SPN-ide käsitsi registreerimiseks lugege teemat Setspn.

  • Teenuseeksemplari SPN-ide programmilise registreerimise kohta leiate teavet teemast Teenuseregistrite ID-d, mis kirjeldavad, kuidas:

    • Teenuseeksemplari jaoks ühe või mitme kordumatu SPN-i loomiseks helistage funktsioonile DsGetSpn. Lisateavet leiate teemast Kordumatute ID-de nimevormingud.

    • Teenuse sisselogimiskontol nimede registreerimiseks helistage funktsioonile DsWriteAccountSpn.

Teadaolevad probleemid

Praegu pole selle värskendusega teadaolevaid probleeme.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus