Résumé

CVE-2021-42278 adresse une faille de dérivation de sécurité qui permet aux utilisateurs malveillants potentiels d’usurper l’identité d’un contrôleur de domaine à l’aide d’une usurpation d’identité de compte d’ordinateur.

Cet article fournit des informations supplémentaires et une section des questions fréquemment posées pour le Gestionnaire de comptes de sécurité Active Directory (SAM) au cours des modifications apportées par les mises à jour Windows publiées le 9 novembre 2021 et les ultérieures, comme indiqué dans le document CVE-2021-42278.

Tests de validation Active Directory

Après avoir installé CVE-2021-42278,Active Directory effectue les inspections de validation répertoriées ci-dessous sur les attributs sAMAccountName et UserAccountControl des comptes d’ordinateurs créés ou modifiés par des utilisateurs qui n’ont pas de droits d’administrateur pour les comptes d’ordinateurs. 

  1. Validation sAMAccountType pour les comptes d’utilisateurs et d’ordinateurs

    • ObjectClass=Ordinateur (ou sous-classe d’ordinateurs) doit avoir des indicateurs UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT ou UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=User doit avoir des indicateurs UAC UF_NORMAL_ACCOUNT ou UF_INTERDOMAIN_TRUST_ACCOUNT

  2. validation sAMAccountName pour les comptes d’ordinateurs

    Le nom sAMAccountName d’un compte d’ordinateur dont l’attribut UserAccountControl contient l’indicateur UF_WORKSTATION_TRUST_ACCOUNT doit se terminer par un seul signe dollar ($). Lorsque ces conditions ne sont pas remplies, Active Directory renvoie le code de défaillance 0x523 ERROR_INVALID_ACCOUNTNAME. Les validations échouées sont enregistrées dans l’ID d’événement Directory-Services-SAM 16991 dans le journal des événements système.

Lorsque ces conditions ne sont pas remplies, Active Directory renvoie un code de défaillance de ACCESS_DENIED. Les validations échouées sont enregistrées dans l’ID d’événement Directory-Services-SAM 16990 dans le journal des événements système.

Audit d’événements

Échec de validation de classe Objet et UserAccountControl

En cas d’échec de la classe objet et de la validation UserAccountControl, l’événement suivant est enregistré dans le journal système :

Journal des événements

Système

Type d’événement

Erreur

Origine de l’événement

Directory-Services-SAM

ID d’événement

16990

Texte de l’événement

Le gestionnaire de compte de sécurité a bloqué la création d’un compte Active Directory par un non-administrateur dans ce domaine avec des indicateurs de type de compte ObjectClass et userAccountControl non mis en rapport.

Détails :

Nom du compte : %1%n

Account objectClass: %2%n

userAccountControl : %3%n

Adresse de l’appelant : %4%n

Caller SID: %5%n%n

Échec de validation de nom de compte SAM

En cas d’échec de la validation du nom de compte SAM, l’événement suivant est enregistré dans le journal système :

Journal des événements

Système

Type d’événement

Erreur

Origine de l’événement

Directory-Services-SAM

ID d’événement

16991

Texte de l’événement

Le gestionnaire de compte de sécurité a bloqué la création ou le changement de nom d’un compte d’ordinateur par un non-administrateur à l’aide d’un nom de compte sAMAccountName non valide. sAMAccountName sur les comptes d’ordinateurs doit se terminer par un seul signe $ de fin.

Tentative sAMAccountName : %1

SAMAccountName recommandé : %1$

Événements d’audit de création de comptes d’ordinateurs réussis

Les événements d’audit existants suivants sont disponibles pour la création réussie d’un compte d’ordinateur :

  • 4741(S) : un compte d’ordinateur a été créé

  • 4742(S) : un compte d’ordinateur a été modifié

  • 4743(S) : un compte d’ordinateur a été supprimé

Pour plus d’informations, voir Audit de la gestion des comptes d’ordinateurs.

Forum Aux Questions

T1. En quoi cette mise à jour affecte-t-elle les objets existants dans Active Directory ?

A1. Pour les objets existants, la validation se produit lorsque des utilisateurs qui ne ont pas de droits d’administrateur modifient les attributs sAMAccountName ou UserAccountControl.

T2. Qu’est-ce qu’un sAMAccountName ?

A2. sAMAccountName est un attribut unique sur tous les principaux de sécurité dans Active Directory et inclut les utilisateurs, groupes et ordinateurs. Les contraintes de nom pour sAMAccountName sont documentées dans les contraintes d’attribut 3.1.1.6pour les mises à jour d’origine.

T3. Qu’est-ce qu’un sAMAccountType ?

A3. Pour plus d’informations, consultez les documents suivants :

Trois valeurs sAMAccountType peuvent correspondre à quatre indicateurs UserAccountcontrol possibles comme suit :

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

T4. Quelles sont les valeurs possibles pour UserAccountControl ?

A4. Pour plus d’informations, consultez les documents suivants :

Q5. Comment trouver des objets non conformes qui existent déjà dans mon environnement ?

A5. Les administrateurs peuvent rechercher des comptes non conformes dans leur annuaire à l’aide d’un script PowerShell comme dans l’exemple ci-dessous.

Pour rechercher des comptes d’ordinateurs dont le nom n’est pas compatible sAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Pour rechercher des comptes d’ordinateurs dont le sAMAccountType UserAccountControl n’est pas conforme :

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Ressources

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions de vos commentaires.

×