Käytetään kohteeseen
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Yhteenveto

Windows 9. marraskuuta 2021 julkaistuihin CVE-2021-42282 -päivityksiin lisätään seuraavat määritteiden määritteiden tarkistamiset Active Directoryssa (AD):

  • Käyttäjänimen (UPN) ja palvelun päänimi (SPN) yksilöllisyyden (uusi Windows 8, Windows Server 2012 ja aiemmat versiot) 

  • SPN-tunnusten yksilöllisyyden (uusi kaikille Windows versioille) 

Käyttäjänimen ja palvelun päänimien yksilöllisyyden

Tämä ominaisuus takaa, että spn-tunnukset ovat yksilöllisiä toimialuepuussa, mikä estää tietokoneita ja toimialueen ohjauskojia lisäämästä päällekkäisiä SPN-nimiä. Tämä toiminto on jo olemassa Windows 8.1:ssä ja sitä uudempi versioissa, ja se kuvataan spn- ja upn-ominaisuuksissa.

SPN-aliaksen yksilöllisuus

Olemassa oleva AD-määrite määrittää aliakset useille yleisille palveluluokille vastaavalle HOST SPN :lle palveluille, kuten CIFS, HTTP ja RPC. AD-määrite määritetään luettelona Active Directory -puuryhmän kokoonpanon nimeämiskontekstissa. Käyttäjä, jolla ei ole järjestelmänvalvojan oikeuksia, ei välttämättä määritä uudelleen päänimiä, jotka on implisiittisesti määritetty eri tilille tällä aliaksella.

Huomautus Tämä vahvistus on otettu käyttöön upn- ja spn-tunnusten yksilöllisyyden tarkistuksen lisäksi.

SPN-aliaksen yksilöllisyyden vahvistus on oletusarvoisesti käytössä. Voit poistaa nämä todennukset käytöstä muokkaamalla dSHeuristics-määritteen 21. merkkiä, joka tulkitaan merkkisarjaksi. dSHeuristics-määritettä ei ole oletusarvoisesti olemassa, mutta voit lisätä sen erottomalle nimelle "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Mahdolliset asetukset ja niitä vastaavat bittiarvot ovat seuraavat:

  • Arvo 0 – tarkoittaa Pakota kaikki (bittiä ei ole määritetty 000) Oletus

  • Arvo 1 – tarkoittaa POISTA UPN-yksilöllisyyden tarkistus käytöstä (bitti 0 asetettu - 001)

  • Arvo 2 – tarkoittaa POISTA SPN:n yksilöllisyyden tarkistus käytöstä (bit 1 -010)

  • Arvo 3 – tarkoittaa POISTA UPN Uniqueness and SPN Uniqueness verification käytöstä. (bittien 0 ja 1 joukko – 011)

  • Arvo 4 – tarkoittaa POISTA SPN-aliaksen yksilöllisyyden tarkistus käytöstä (bitti 2: 100)

  • Arvo 5 – tarkoittaa POISTA SPN-tunnus JA UPN-yksilöllisyyden tarkistus käytöstä (bittien 2 ja bittien 0 joukko – 101)

  • Arvo 6 – tarkoittaa POISTA SPN-tunnus JA SPN-yksilöllisyyden käytöstä (bittien 2 ja bittien 1 joukko - 110)

  • Arvo 7 – tarkoittaa Poista käytöstä kaikki (kaikki bittit on määritetty 111)

Esimerkki: Jos haluat poistaa SPN-aliaksen yksilöllisyyden tarkistuksen käytöstä, dSHeuristics-määritteen arvoksi tulee määrittää "000000000100000000024". Tässä tapauksessa on määritetty seuraavat merkit: 10. merkki: On määritettävä arvoksi 1, jos dSHeuristics-määrite on vähintään 10 merkkiä 20. merkki: On määritettävä arvoksi 2, jos dSHeuristics-määrite on vähintään 20 merkkiä 21. merkki: On määritettävä arvoksi yllä olevassa luettelossa; arvo 4 tarkoittaa Poista SPN-tunnusten yksilöllisyyden käytöstä.

Huomautus Jos dSHeuristics-määrite on jo määritetty, muista yhdistää olemassa olevat asetukset uuteen dSHeuristics-määritemerkkijonoon ja varmistaa, että 10., 20. ja 21. merkki on määritetty edellä. Muiden jo määritettyjen merkkien pitäisi pysyä muuttumattomina.

Lisätietoja dSHeuristics-merkkien määrittämisestä on seuraavissa asiakirjoissa:

Lisätietoja

Mikä on palvelun päänimi?

Palvelun päänimi (SPN) on palveluesiintymän yksilöllinen tunniste. Kerberos-todennus liittää palvelun esiintymän palvelun kirjautumistiliin palvelun nimien avulla. Näin asiakassovellus voi pyytää, että palvelu todentaa tilin, vaikka asiakkaalla ei olisi tilin nimeä. Lisätietoja on kohdassa Palvelun päänimi .

Mikä on käyttäjän päänimi?

Käyttäjän päänimi (UPN) on sähköpostityylinen kirjautumisnimi käyttäjälle, joka perustuu Internetin RFC 822 -standardiin. Lisätietoja on kohdassa User-Principal-Name -määrite.

Usein kysytyt kysymykset

Kysymys1 Entä jos minun on rekisteröitävä päällekkäinen HOST aliaksen SPN tilille?

A1 Rekisteröi vaadittu SPN järjestelmänvalvojaksi.

Kysymys2 Mitä tapahtuu, jos poistan spn- tai UPN-yksilöllisyyden käytöstä?

A2 Emme suosittele tätä. Jos SPN-tunnukset eivät ole yksilöllisiä, kaikki päällekkäisiä spn-nimiä ei ole rekisteröity lainkaan. SpN-kaksoiskappaleen rekisteröiminen vaikuttaa samalla tavalla kuin alkuperäisen nimien rekisteröiminen. Jos UPN-tunnukset eivät ole yksilöllisiä, päällekkäisiä upnteja käyttävät käyttäjähaun epäonnistuvat.

Q3 Mitä tapahtuu, jos poistan SPN-aliaksen yksilöllisyyden käytöstä?

A3 Emme suosittele tätä. Muu kuin järjestelmänvalvoja voi muuttaa olemassa olevan aliaksen SPN:n tarkkuuden nykyisestä ratkaisusta tietokoneeseen, joka ei ole järjestelmänvalvojan hallinnassa. Tämä tietokone saattaa toimia palveluna, koska Kerberosin palvelimen todentaminen hyväksyy uuden tilin palvelun oikeaksi isännäksi alkuperäisen HOST SPN -palvelun sijaan.

Kysymys 4: Miten toimialueen järjestelmänvalvoja voi etsiä verkossa jo olemassa olevan spN-tunnuksen tai up-tunnuksen kaksoiskappaleet?

A4 Tämä ei ole käytännöllistä, jos kirjoitat laajoja komentosarjoja, jotta voit luetteloida kaikki toimialueen SPN-tunnukset ja UPN-tunnukset ja korreloida kaksoiskappaleiden etsimiseen.

Kysymys 5 Mitä tapahtuu, jos minulla on seos toimialueen ohjauskojuja, jotka on päivitetty ja joita ei ole päivitetty tai jotka eivät ole toimialueohjainten välillä ristiriitaa?

A5 Replikointia ei estetä päällekkästen UPN-arvojen tai SPN-nimien vuoksi. Tästä syystä kaksoiskappaleet voivat replikoida toisille toimialueen ohjauskoneille, jos upn-tunnukset tai päänimien kaksoiskappaleet luodaan toimialueen ohjauskoneeseen, jossa ei ole päivitystä.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus