Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Kokkuvõte

CVE-2022-21920 kaitsed sisalduvad 11. jaanuaril 2022 Windows värskendustes ja uuemates Windows värskendustes. Need värskendused sisaldavad täiustatud loogikat 3-osalise teenusesubjektinimede allavahetamisrünnete tuvastamiseks, kui kasutate Microsoft Negotiatei autentimisprotokolli.

Selles artiklis antakse juhised, kui Kerberose autentimine ei õnnestu.

Täiendav teave

11. jaanuaril 2022 Windows värskenduste ja uuemate versioonide Windows võib põhjustada autentimine nurjumise 3-osalise ID-de korral, kus Kerberose autentimine ei õnnestu. Nende keskkondade puhul on tõenäoline, et Kerberose autentimine 3-osalise ID-de jaoks pole mõnda aega töötanud. Triage'i aitamiseks võite Windows kliendisüsteemides näha järgmist sündmust.

LSA event 40970 Screenshot identifying a NTLM fallback for a specific SPN from a Microsoft test environment.

LSA sündmuse 40970 tekstiversioon

Sündmus 40970

Turbesüsteem tuvastas 3-osalise SPN-i poole pöördumisel allavahetamiskatse.

<SPN-i>

tõrkekoodiga "the SAM database on the Windows Server is not a computer account for the workstation trust relationship (0x0000018b)" Authentication was denied.

Toiming

Microsoft soovitab 3-osalise SPN-i autentimist 3-osa jaoks triageerida. Kerberose autentimistõrke levinumad põhjused on järgmised. 

  • Autentimis sihtkohana kasutatav SPN on vigane. Lisateavet leiate teemast Kordumatute ID-de nimevormingud.

    Märkus.: Rakendustel ja API-tel võivad olla teenuse jaoks seadusliku SPN-i määratlused rangemad või erinevad.

    Seadusliku SPN-i näited

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/machine1:10100 


    Näited võimalike vigaste SPN-ide kohta

    SPN 

    Põhjus 

    Host/host/machine1 

    Host/host on tõenäoliselt viga, kuna "host" on tavaliselt teenuseklass, mitte seadme nimi. Võimalik, et seaduslik SPN on host/machine1. 

    Ldap/machine/contoso.com:10100 

    Pordid saab määrata hostinimes ("masin"), mitte teenuseeksemplari nimes. Võimalik, et SPN on "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Teatud API-d eeldavad FQDN-i asemel DNS-i nime. Näiteks eeldatakse, et funktsioon DsBindA (ntdsapi.h) edastatakse DNS-i nimena. Kui FQDN edastatakse, võib selle tulemuseks olla vigane SPN.  
    SPN võib olla "ldap/dc-a/contoso.com"

    Nende probleemide lahendamiseks võiksite kasutada õiget SPN-i või registreerida vigase SPN-i õigele teenusekontole.

  • Autentimis sihtkohana kasutatavat SPN-i pole olemas. Selle probleemi lahendamiseks võiksite registreerida SPN-i õigele teenusekontole.

  • Klientarvutis Windows domeenikontrollerile vaaterida (nt DCs on ühenduseta, DNS-ist ei saa teada või juurdepääs KDC-pordile on blokeeritud).

  • Võimalik, et kasutate NetBIOS-i nimesid stsenaariumis, kus NetBIOS-i nimed ei tööta. Näide on domeeniressurssidele juurdepääsemine domeeniga ühendamata seadmest ja NetBIOS-i nime eraldusvõime on kas keelatud või ei tööta.

    Microsoft soovitab kasutada kasutajanime (UPN) või domeeninimesüsteemi (DNS) NetBIOS-i nime asemel nimi.

SPN-ide registreerimine 

Sõltuvalt rakenduse ja keskkonna konfiguratsioonist võib NS-id olla konfigureeritud teenusekonto atribuudis Service Principal Name (Teenusesubjekti nimi) või Active Directory domeenis oleval arvutikontol, millega Kerberose klient üritab Kerberose ühendust luua. Selleks et Kerberose autentimine töötaks õigesti, peab siht-SPN olema kehtiv.

Kerberose autentimise lubamise juhised leiate iga konkreetse rakenduse juurutusdokumentatsioonist või tugiteenuste pakkujalt. Mõni rakenduseinstaller või -rakendus registreerib ID-d automaatselt. SPN-i registreerimiseks on nii arendajatel kui ka administraatoritel erinevad võimalused.

  • Teenuseeksemplari SPN-ide käsitsi registreerimiseks lugege teemat Setspn.

  • Teenuseeksemplari SPN-ide programmilise registreerimise kohta leiate teavet teemast Teenuseregistrite ID-d, mis kirjeldavad, kuidas:

    • Teenuseeksemplari jaoks ühe või mitme kordumatu SPN-i loomiseks helistage funktsioonile DsGetSpn. Lisateavet leiate teemast Kordumatute ID-de nimevormingud.

    • Teenuse sisselogimiskontol nimede registreerimiseks helistage funktsioonile DsWriteAccountSpn.

Teadaolevad probleemid

Praegu pole selle värskendusega teadaolevaid probleeme.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×