Yhteenveto
CVE-2021-42278 korjaa suojauksen ohitusheikkouden, jonka avulla mahdolliset hyökkäykset voivat tekeytyä toimialueen ohjauskoneeksi käyttämällä tietokoneen tilin sAMAccountName-tekeytymiskäytäntöä.
Tässä artikkelissa on lisätietoja ja usein kysyttyjä kysymyksiä osasta Active Directory Security Accounts Manager (SAM) -kovempaa muutosta, jonka Windows-päivitykset on julkaistu 9. marraskuuta 2021 tai uudemmalla versiolla CVE-2021-42278-versiolla.
Active Directoryn tarkistustarkistukset
Kun olet asentanut CVE-2021-42278:n,Active Directory suorittaa alla luetellut vahvistustarkistuksen, jotka on lueteltu sAMAccountName- ja UserAccountControl-määritteissä niiden käyttäjien luomissa tai muokattamissa tietokonetileillä, joilla ei ole järjestelmänvalvojan oikeuksia tietokonetileihin.
-
sAMAccountType-kelpoisuustarkistus käyttäjä- ja tietokonetileille
-
ObjectClass=Tietokone-tileillä (tai tietokoneen alaluokilla) on oltava käyttäjätilinohjausobjektin UF_WORKSTATION_TRUST_ACCOUNT tai UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=Käyttäjällä on oltava käyttäjätilien valvontamerkintä UF_NORMAL_ACCOUNT tai UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
sAMAccountName-vahvistus tietokonetileille
Sen tietokoneen tilin sAMAccountName-nimen, jonka UserAccountControl-määrite UF_WORKSTATION_TRUST_ACCOUNT merkinnän lopussa on oltava yksi dollarimerkki ($). Kun nämä ehdot eivät täyty, Active Directory palauttaa virhekoodin 0x523 ERROR_INVALID_ACCOUNTNAME. Epäonnistuneet kelpoisuuden tarkistamiset kirjataan Järjestelmä-tapahtumalokin Directory-Services-SAM-tapahtumatunnukseen 16991.
Kun nämä ehdot eivät täyty, Active Directory palauttaa virhekoodin ACCESS_DENIED. Epäonnistuneet kelpoisuuden tarkistamiset kirjataan Järjestelmä-tapahtumalokin Directory-Services-SAM-tapahtumatunnukseen 16990.
Tapahtumien valvonta
Objektiluokka- ja UserAccountControl-kelpoisuustarkistusvirhe
Kun Objektiluokka ja UserAccountOhjausobjektin vahvistus epäonnistuvat, seuraava tapahtuma kirjataan järjestelmälokiin:
Tapahtumaloki |
Järjestelmä |
Tapahtuman tyyppi |
Virhe |
Tapahtumalähde |
Directory-Services-SAM |
Tapahtumatunnus |
16990 |
Tapahtuman teksti |
Suojaustilin vastuuhenkilö on estänyt muuta kuin järjestelmänvalvojaa luomasta Active Directory -tiliä tähän toimialueeseen ristiriitaiset objektitLuokka- ja käyttäjäaccountOhjausobjekti-tilin tyypin lipuilla. Lisätietoja: Tilin nimi: %1%n Account objectClass: %2%n userAccountControl: %3%n Soittajan osoite: %4%n Soittajan SID-tunnus: %5%n%n |
SAM-tilin nimen tarkistusvirhe
Kun SAM-tilin nimen vahvistaminen epäonnistuu, seuraava tapahtuma kirjataan järjestelmälokiin:
Tapahtumaloki |
Järjestelmä |
Tapahtuman tyyppi |
Virhe |
Tapahtumalähde |
Directory-Services-SAM |
Tapahtumatunnus |
16991 |
Tapahtuman teksti |
Suojaustilin vastuuhenkilö on estänyt muita kuin järjestelmänvalvojia luomasta tai nimeästä uudelleen tietokoneen tiliä käyttämällä virheellistä sAMAccountName-funktiota. Tietokonetilien sAMAccountName-nimen lopussa on oltava yksi lopussa olevat $-merkki. Yritys sAMAccountName: %1 Suositeltu sAMAccountName: %1$ |
Onnistuneen tietokonetilin luomisen valvontatapahtumat
Seuraavat aiemmin luodut valvontatapahtumat ovat käytettävissä onnistuneeseen tietokonetilin luomiseen:
-
4741(S): Tietokonetili on luotu
-
4742(S): Tietokoneen tili on muutettu
-
4743(S): Tietokoneen tili on poistettu
Lisätietoja on kohdassa Tietokonetilin hallinnan valvonta.
Usein kysytyt kysymykset
Q1. Miten tämä päivitys vaikuttaa Active Directoryn aiemmin luotuihin objekteihin?
A1. Aiemmin luotujen objektien tarkistus tapahtuu, kun käyttäjät, joilla ei ole järjestelmänvalvojan oikeuksia, muokkaavat sAMAccountName- tai UserAccountControl-määritteitä.
Q2. Mikä on sAMAccountName?
A2. sAMAccountName on active Directoryn kaikkien suojausobjektien yksilöllinen määrite, joka sisältää käyttäjät, ryhmät ja tietokoneet. sAMAccountName-nimirajoitukset on dokumentoitu 3.1.1.6-määritteiden rajoitteitaalkuperää olevia päivityksiä varten.
Q3. Mikä on sAMAccountType?
A3. Lisätietoja on seuraavissa asiakirjoissa:
SAMAccountType-arvoja on kolme, jotka vastaavat neljää mahdollista UserAccount-ohjausobjektimerkintää seuraavasti:
userAccountControl |
sAMAccountType |
---|---|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
Q4. Mitkä ovat UserAccountControlin mahdolliset arvot?
A4. Lisätietoja on seuraavissa asiakirjoissa:
Q5. Miten löydän ei-yhteensopivia objekteja, jotka ovat jo olemassa ympäristössäni?
A5. Järjestelmänvalvojat voivat etsiä hakemistosta olemassa olevia ei-yhteensopivia tilejä PowerShell-komentosarjalla alla olevien esimerkkien mukaisesti.
Jos haluat etsiä tietokonetilejä, joilla ei ole yhteensopivaa sAMAccountName:ia:
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Jos haluat etsiä tietokonetilejä, joilla ei ole yhteensopivaa UserAccountControl sAMAccountType-tyyppiä:
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |