Yhteenveto

CVE-2022-21920 -suojaus sisältyy 11. tammikuuta 2022 -Windows ja uudempiin Windows päivityksiin. Nämä päivitykset sisältävät parannettua logiikkaa, jonka avulla voidaan tunnistaa 3-osaisen palvelun päänimien hyökkäykset, kun käytetään Microsoftin neuvottelutodennusprotokollaa.

Tässä artikkelissa annetaan ohjeita, kun Kerberos-todennus ei onnistu.

Lisätietoja

11. tammikuuta 2022 -Windows päivitysten ja uudempien Windows-päivitysten asentaminen voi aiheuttaa todennuksen epäonnistumisen 3-osasille SPN-päivityksille, joissa Kerberos-todennus ei onnistu. Näissä ympäristöissä on todennäköistä, että Kerberos-todentaminen 3-osaisissa SPN-nissä ei ole toiminut pitkään aikaan. Saatat nähdä seuraavan tapahtuman Windows asiakasjärjestelmissä.

LSA-tapahtuma 40970 Näyttökuva NTLM-varan tunnistamisesta tietylle SPN:lle Microsoftin testiympäristöstä.

LSA Event 40970 Text -versio

Tapahtuma 40970

Suojausjärjestelmä on havainnut, että 3-osainen SPN-yhteys on muuttunut

<SPN-nimi>

virhekoodilla "Windows Serverin SAM-tietokannassa ei ole työasema trust relationship (0x0000018b) -todennusta.

Toiminto

Microsoft suosittelee, että tarkistat, miksi Kerberos-todennus epäonnistui 3-osaista SPN:tä varten. Kerberos-todennusvirheen yleisimpiä syitä ovat seuraavat: 

  • Todennuksen kohteena käytettävä spnn on virheellinen. Lisätietoja on kohdassa Yksilöllisiä palvelunimiä koskevat nimimuodot.

    Huomautus: Sovelluksilla ja ohjelmointirajapinnoilla voi olla tiukemmat tai erilaiset määritelmät palveluilleen kyseessä olevalle muodolle.

    Esimerkkejä laillisesta spn-ni:stä

    http/webserver 

    Isäntä/kone2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Palvelu/kone1:10100 


    Esimerkkejä mahdollisesti epämuodostuista SPN-nimista

    SPN 

    Syy 

    Isäntä/isäntä/kone1 

    Isäntä/isäntä on todennäköisesti virhe, koska "isäntä" on yleensä palveluluokka eikä laitteen nimi. On mahdollista, että aito SPN on isäntä/kone1. 

    Ldap/machine/contoso.com:10100 

    Portit voidaan määrittää isäntänimessä ("kone") eikä palvelun esiintymän nimessä. On mahdollista, että aito SPN on "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Tietyt ohjelmointirajapinnat odottavat DNS-nimeä toimialuenimen sijaan. Esimerkiksi DsBindA-funktio (ntdsapi.h) odottaa välitty olevan DNS-nimenä. Jos ohitetaan FQDN, se voi aiheuttaa virheellisen SPN:n.  
    Aito SPN voi olla "ldap/dc-a/contoso.com"

    Voit korjata nämä ongelmat joko käyttämällä oikeaa palvelun pääosoitetta tai rekisteröimällä väärin muotoisen palvelun palvelun tilin.

  • Todennuksen kohteena käytettävää spN-suojausta ei ole olemassa. Voit korjata ongelman rekisteröimällä palvelun päänteen oikeaan palvelutiliin.

  • Windows-asiakaskoneessa ei ole näköyhteyttä toimialueen ohjauskoneeseen (kuten DCs ovat offline-tilassa, sitä ei voi löytää DNS:stä tai KDC-portin käyttö on estetty).

  • Saatat käyttää NetSUMMAS-nimiä tilanteessa, jossa NetSUMMAS-nimet eivät toimi. Esimerkki: toimialueresursseja käytetään ei-toimialueeseen liittyneessä koneessa ja Net SILLOINS-nimien ratkaisu on joko poistettu käytöstä tai se ei toimi.

    Microsoft suosittelee käyttäjätunnusta (UPN) tai DNS:ää (Domain Name System) NetSUMMAS-nimen sijaan.

SPN-nien rekisteröiminen 

Palvelun päänimi voidaan määrittää palvelutilin Palvelun päänimi -määritteeseen tai Active Directory -toimialueella sijaitsevaan tietokoneen tiliin, johon Kerberos-asiakas yrittää muodostaa Kerberos-yhteyden, sovelluksen ja ympäristön määrityksistä riippuen. Jotta Kerberos-todennus toimisi oikein, kohde-SPN:n on oltava kelvollinen.

Tutustu käyttöönottodokumentaatioon tai kunkin sovelluksen tukipalveluun, jos haluat ohjeita Kerberos-todennuksen käyttöönottoon. Jotkin sovelluksen asennusohjelmat tai sovellukset rekisteröivät spn-nit automaattisesti. Sekä kehittäjät että järjestelmänvalvojat voivat rekisteröidä SPN:n eri tavoin:

  • Jos haluat rekisteröidä palvelun esiintymän palvelun palvelun nimiä manuaalisesti, katso Setspn.

  • Jos haluat rekisteröidä palvelun esiintymän palvelun päännit ohjelmallisesti, lue ohjeet siihen, miten palvelu rekisteröi palvelun päännit:

    • Kutsu DsGetSpn-funktiota luomaan palveluesiintymälle yksi tai useampi yksilöllinen palvelun päänni. Lisätietoja on kohdassa Yksilöllisiä spN-nimiä koskevat nimimuodot.

    • Kutsu DsWriteAccountSpn-funktiota rekisteröimään nimet palvelun kirjautumistilillä.

Tunnetut ongelmat

Tällä hetkellä tähän päivitykseen ei ole tiedossa ongelmia.

Tarvitsetko lisäohjeita?

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Microsoft Insider-käyttäjille

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?

Kiitos palautteesta!

×