|
Päivämäärän muuttaminen |
Muuta kuvausta |
|
3. helmikuuta 2026 |
|
Yhteenveto
9. marraskuuta 2021 julkaistut Windows-päivitykset CVE-2021-42282 :lle lisäävät seuraavat määritteiden tarkistukset Active Directoryssa (AD):
-
Käyttäjän päänimen (UPN) ja palvelun päänimen (SPN) yksilöllisyys (uudet Windows 8, Windows Server 2012 ja aiemmat julkaisut)
-
SPN-aliaksen ainutlaatuisuus (uusi kaikissa Windows-versioissa)
Käyttäjän päänimen ja palvelun päänimen yksilöivyys
Tämä ominaisuus takaa, että spn-nit ovat yksilöllisiä toimialuepuuryhmässä, mikä estää tietokoneita ja toimialueen ohjauskoneita lisäämästä kaksoiskappaleita. Tämä toiminto on jo Windows 8.1 ja sitä uudempi, ja se on kuvattu SPN- ja UPN-yksilöllisyydessä.
SPN-aliaksen ainutlaatuisuus
Aiemmin luotu AD-määrite määrittää monien yleisten palveluluokkien aliakset vastaavalle HOST SPN -palvelulle esimerkiksi CIFS-, HTTP- ja RPC-palveluille. AD-määrite määritetään luetteloksi Active Directory -toimialueen kokoonpanon nimeämiskontekstissa. Käyttäjä, jolla ei ole järjestelmänvalvojan oikeuksia, ei ehkä määritä uudelleen spn:ää, joka on implisiittisesti määritetty toiselle tilille tämän aliaksen avulla.
Huomautus Tämä tarkistus suoritetaan upn- ja SPN-yksilöllisyyden tarkistamisen lisäksi.
SPN-aliaksen yksilöllisyyden tarkistukset ovat oletusarvoisesti käytössä. Voit poistaa nämä tarkistukset käytöstä muokkaamalla dSHeuristics-määritteen 21st-merkkiä, joka tulkitaan merkkisarjaksi. dSHeuristics-määritettä ei ole oletusarvoisesti olemassa, mutta voit lisätä sen tunnistetun nimen "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" alle. Mahdolliset asetukset ja niitä vastaavat bittiarvot ovat seuraavat:
-
Arvo 0 – tarkoittaa Pakota kaikki (ei bittiä asetettu 000) Oletusarvo
-
Arvo 1 – tarkoittaa POISTA UPN Uniqueness -tarkistus käytöstä (bitti 0 -001)
-
Arvo 2 – tarkoittaa POISTA SPN:n yksilöllisyyden tarkistaminen käytöstä (bitti 1 -010)
-
Arvo 3 – tarkoittaa poista UPN Uniqueness AND SPN Uniqueness -tarkistus käytöstä. (bitti 0 ja 1 joukko - 011)
-
Arvo 4 – tarkoittaa POISTA SPN-aliaksen yksilöllisyyden tarkistaminen käytöstä (bitti 2 joukko - 100)
-
Arvo 5 – tarkoittaa POISTA KÄYTÖSTÄ SPN-tunnus JA UPN Uniqueness -tarkistus (bitti 2 ja bitti 0 - 101)
-
Arvo 6 – tarkoittaa SPN-aliaksen JA SPN-yksilöllisyyden poistamista käytöstä (bitti 2 ja bitti 1 joukko - 110)
-
Arvo 7 – tarkoittaa Poista kaikki käytöstä (kaikki bitit asetettu 111)
Esimerkki: Jos käytössäsi ei ole muita dSHeuristics-asetuksia ja haluat poistaa spn-aliaksen yksilöllisen tarkistamisen käytöstä, dSHeuristics-määritteen arvona pitäisi olla "000000000100000000024" Tässä tapauksessa määritetyt merkit ovat seuraavat: 10. merkki: Arvon on oltava 1, jos dSHeuristics-määrite on vähintään 10 merkkiä 20. merkki: Arvon on oltava 2, jos dSHeuristics-määrite on vähintään 20 merkkiä 21st char: Arvon on oltava yllä olevassa luettelossa; arvo 4 tarkoittaa poista SPN-aliaksen yksilöllisyyttä käytöstä.
Huomautus Jos dSHeuristics-määrite on jo määritetty, varmista, että olemassa olevat asetukset yhdistetään uuteen dSHeuristics-määritteen merkkijonoon ja että 10., 20. ja 21. merkki on määritetty yllä kuvatulla tavalla. Muiden jo määritettyjen merkkien pitäisi säilyä muuttumattomina.
Lisätietoja dSHeuristics-merkkien määrittämisestä on seuraavissa asiakirjoissa:
Lisätietoja
Mikä on palvelun päänimi?
Palvelun päänimi (SPN) on palveluesiintymän yksilöllinen tunniste. Kerberos-todennus yhdistää palveluesiintymän palvelun kirjautumistiliin spn-nien avulla. Näin asiakassovellus voi pyytää, että palvelu todentaa tilin, vaikka asiakasohjelmalla ei olisi tilin nimeä. Lisätietoja on ohjeaiheessa Palvelun päänimi .
Mikä on käyttäjän päänimi?
Käyttäjän päänimi (UPN) on käyttäjän sähköpostityylinen kirjautumisnimi, joka perustuu Internet-standardiin RFC 822. Lisätietoja on artikkelissa User-Principal-Name-määrite.
Usein kysytyt kysymykset
Q1 Entä jos minun on rekisteröitävä päällekkäinen HOST-alias SPN tilille?
A1 Rekisteröi tarvittava SPN Active Directory Enterprise -järjestelmänvalvojaksi.
Q2 Mitä tapahtuu, jos poistan SPN- tai UPN-yksilöllisyyden käytöstä?
A2 Tätä ei suositella. Jos spn-tunnukset eivät ole yksilöllisiä, on kuin kaksoiskappaleita sisältäviä spn-ysköjä ei olisi rekisteröity lainkaan. SpN-kaksoiskappaleen rekisteröinnillä on sama vaikutus kuin alkuperäisen rekisteröinnin poistamisella. Jos upn-määritykset eivät ole yksilöllisiä, kaksoiskappaleita käyttävät käyttäjähakut epäonnistuvat.
Q3 Mitä tapahtuu, jos poistan SPN-aliaksen ainutlaatuisuuden käytöstä?
A3 Tätä ei suositella. Muu kuin järjestelmänvalvoja voi muuttaa olemassa olevan Alias SPN:n tarkkuuden nykyisestä tarkkuudesta tietokoneeksi, joka ei ole järjestelmänvalvojan hallinnassa. Tämä tietokone voi toimia palveluna, koska Kerberosin tarjoama palvelintodennus hyväksyisi uuden tilin palvelun oikeaksi isännäksi alkuperäisen HOST SPN -tilin sijaan.
K4 Miten toimialueen järjestelmänvalvoja voi löytää verkossa jo olevat kaksoiskappaleet spn-verkoista tai upn-verkoista?
A4 Tämä ei ole käytännöllistä kirjoittamatta laajoja komentosarjoja kaikkien toimialueen spn- ja upn-nien luetteloimiseksi ja kaksoiskappaleiden etsimiseksi korreloimalla.
K5 Mitä tapahtuu, jos käytössäni on toimialueen ohjauskoneiden sekoitus, joka päivitetään eikä päivitetä tai joka ei vastaa toimialueen ohjauskoneiden välisiä asetuksia?
A5 Replikointia ei estetä päällekkäisten UPN- tai SPN-nien vuoksi. Tämän vuoksi kaksoiskappaleet voidaan replikoida muihin toimialueen ohjauskoneisiin, jos päällekkäiset UPN- tai SPN-määritykset luodaan toimialueen ohjauskoneeseen, jossa ei ole päivitystä.
