Yhteenveto
CVE-2022-21920 -suojaus sisältyy 11. tammikuuta 2022 -Windows ja uudempiin Windows päivityksiin. Nämä päivitykset sisältävät parannettua logiikkaa, jonka avulla voidaan tunnistaa 3-osaisen palvelun päänimien hyökkäykset, kun käytetään Microsoftin neuvottelutodennusprotokollaa.
Tässä artikkelissa annetaan ohjeita, kun Kerberos-todennus ei onnistu.
Lisätietoja
11. tammikuuta 2022 -Windows päivitysten ja uudempien Windows-päivitysten asentaminen voi aiheuttaa todennuksen epäonnistumisen 3-osasille SPN-päivityksille, joissa Kerberos-todennus ei onnistu. Näissä ympäristöissä on todennäköistä, että Kerberos-todentaminen 3-osaisissa SPN-nissä ei ole toiminut pitkään aikaan. Saatat nähdä seuraavan tapahtuman Windows asiakasjärjestelmissä.
LSA-tapahtuma 40970 Näyttökuva NTLM-varan tunnistamisesta tietylle SPN:lle Microsoftin testiympäristöstä. |
LSA Event 40970 Text -versio |
|
Suojausjärjestelmä on havainnut, että 3-osainen SPN-yhteys on muuttunut <SPN-nimi> virhekoodilla "Windows Serverin SAM-tietokannassa ei ole työasema trust relationship (0x0000018b) -todennusta. |
Toiminto
Microsoft suosittelee, että tarkistat, miksi Kerberos-todennus epäonnistui 3-osaista SPN:tä varten. Kerberos-todennusvirheen yleisimpiä syitä ovat seuraavat:
-
Todennuksen kohteena käytettävä spnn on virheellinen. Lisätietoja on kohdassa Yksilöllisiä palvelunimiä koskevat nimimuodot.
Huomautus: Sovelluksilla ja ohjelmointirajapinnoilla voi olla tiukemmat tai erilaiset määritelmät palveluilleen kyseessä olevalle muodolle.
Esimerkkejä laillisesta spn-ni:stä
http/webserver
Isäntä/kone2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Palvelu/kone1:10100
Esimerkkejä mahdollisesti epämuodostuista SPN-nimistaSPN
Syy
Isäntä/isäntä/kone1
Isäntä/isäntä on todennäköisesti virhe, koska "isäntä" on yleensä palveluluokka eikä laitteen nimi. On mahdollista, että aito SPN on isäntä/kone1.
Ldap/machine/contoso.com:10100
Portit voidaan määrittää isäntänimessä ("kone") eikä palvelun esiintymän nimessä. On mahdollista, että aito SPN on "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Tietyt ohjelmointirajapinnat odottavat DNS-nimeä toimialuenimen sijaan. Esimerkiksi DsBindA-funktio (ntdsapi.h) odottaa välitty olevan DNS-nimenä. Jos ohitetaan FQDN, se voi aiheuttaa virheellisen SPN:n.
Aito SPN voi olla "ldap/dc-a/contoso.com"Voit korjata nämä ongelmat joko käyttämällä oikeaa palvelun pääosoitetta tai rekisteröimällä väärin muotoisen palvelun palvelun tilin.
-
Todennuksen kohteena käytettävää spN-suojausta ei ole olemassa. Voit korjata ongelman rekisteröimällä palvelun päänteen oikeaan palvelutiliin.
-
Windows-asiakaskoneessa ei ole näköyhteyttä toimialueen ohjauskoneeseen (kuten DCs ovat offline-tilassa, sitä ei voi löytää DNS:stä tai KDC-portin käyttö on estetty).
-
Saatat käyttää NetSUMMAS-nimiä tilanteessa, jossa NetSUMMAS-nimet eivät toimi. Esimerkki: toimialueresursseja käytetään ei-toimialueeseen liittyneessä koneessa ja Net SILLOINS-nimien ratkaisu on joko poistettu käytöstä tai se ei toimi.
Microsoft suosittelee käyttäjätunnusta (UPN) tai DNS:ää (Domain Name System) NetSUMMAS-nimen sijaan.
SPN-nien rekisteröiminen
Palvelun päänimi voidaan määrittää palvelutilin Palvelun päänimi -määritteeseen tai Active Directory -toimialueella sijaitsevaan tietokoneen tiliin, johon Kerberos-asiakas yrittää muodostaa Kerberos-yhteyden, sovelluksen ja ympäristön määrityksistä riippuen. Jotta Kerberos-todennus toimisi oikein, kohde-SPN:n on oltava kelvollinen.
Tutustu käyttöönottodokumentaatioon tai kunkin sovelluksen tukipalveluun, jos haluat ohjeita Kerberos-todennuksen käyttöönottoon. Jotkin sovelluksen asennusohjelmat tai sovellukset rekisteröivät spn-nit automaattisesti. Sekä kehittäjät että järjestelmänvalvojat voivat rekisteröidä SPN:n eri tavoin:
-
Jos haluat rekisteröidä palvelun esiintymän palvelun palvelun nimiä manuaalisesti, katso Setspn.
-
Jos haluat rekisteröidä palvelun esiintymän palvelun päännit ohjelmallisesti, lue ohjeet siihen, miten palvelu rekisteröi palvelun päännit:
-
Kutsu DsGetSpn-funktiota luomaan palveluesiintymälle yksi tai useampi yksilöllinen palvelun päänni. Lisätietoja on kohdassa Yksilöllisiä spN-nimiä koskevat nimimuodot.
-
Kutsu DsWriteAccountSpn-funktiota rekisteröimään nimet palvelun kirjautumistilillä.
-
Tunnetut ongelmat
Tällä hetkellä tähän päivitykseen ei ole tiedossa ongelmia.