Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Résumé

Les mises à jour Windows pour CVE-2021-42282 publiées le 9 novembre 2021 ajoutent les vérifications suivantes pour les attributs dans Active Directory (AD) :

  • Unicité des noms d’utilisateur principal (UPN) et des noms de principal du service (SPN) (nouveauté dans Windows 8, Windows Server 2012 et les éditions antérieures) 

  • Unicité des alias SPN (nouveauté dans toutes les versions de Windows) 

Unicité des noms d’utilisateur principal et des noms de principal du service

Cette fonctionnalité garantit que les SPN sont uniques dans une forêt, ce qui empêche les ordinateurs et les contrôleurs de domaine d’ajouter des SPN en double. Cette fonctionnalité existe déjà dans Windows 8.1 et les éditions ultérieures. Elle est décrite dans l’article Unicité des noms SPN et UPN.

Unicité des alias SPN

Un attribut AD existant définit les alias de nombreuses classes de service courantes sur le SPN HOST équivalent pour les services tels que CIFS, HTTP et RPC. L’attribut AD est défini sous la forme d’une liste dans le contexte d’appellation de configuration d’une forêt Active Directory. Un utilisateur qui ne dispose pas de droits d’administrateur peut ne pas réaffecter un SPN qui est implicitement affecté à un autre compte à l’aide de cet alias.

Remarque Cette vérification est mise en œuvre en plus de la vérification de l’unicité des UPN et des SPN.

Les vérifications de l’unicité des alias SPN sont activées par défaut. Vous pouvez désactiver ces vérifications en modifiant le caractère 21st de l’attribut dSHeuristics , qui est interprété comme une série de caractères. L’attribut dSHeuristics n’existe pas par défaut, mais vous pouvez l’ajouter sous le nom unique « CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local ». Les paramètres possibles et les valeurs de bit correspondantes sont les suivants :

  • Valeur 0 : signifie Appliquer tout (aucun bits défini 000) Valeur par défaut

  • Valeur 1 : signifie Désactiver la vérification de l’unicité UPN (bit 0 défini - 001)

  • Valeur 2 : signifie Désactiver la vérification de l’unicité spN (bit 1 défini - 010)

  • Valeur 3 : signifie Désactiver la vérification de l’unicité DE L’UPN ET DU SPN. (bit 0 et 1 ensemble - 011)

  • Valeur 4 : signifie Désactiver la vérification de l’unicité de l’alias SPN (bit 2 défini - 100)

  • Valeur 5 : signifie Désactiver la vérification de l’alias SPN et de l’unicité UPN (bit 2 et bit 0 définis - 101)

  • Valeur 6 : signifie Désactiver l’alias SPN et l’unicité spN (bit 2 et bit 1 défini - 110)

  • Valeur 7 : signifie Désactiver tout (tous les bits définis 111)

Exemple : Si aucun autre paramètre dSHeuristics n’est activé dans votre forêt et que vous souhaitez uniquement désactiver la vérification de l’unicité de l’alias SPN, l’attribut dSHeuristics doit être défini sur : « 000000000100000000024 »

Les caractères définis dans ce cas sont les suivants :
10ème caractères : doit être défini sur 1 si l’attribut dSHeuristics contient au moins 10 caractères
20ème caractères : doit être défini sur 2 si l’attribut dSHeuristics a au moins 20 caractères
21st char : doit être défini sur une valeur dans la liste ci-dessus ; la valeur 4 signifie Désactiver l’unicité de l’alias SPN.

Remarque Si l’attribut dSHeuristics est déjà défini, veillez à fusionner les paramètres existants dans votre nouvelle chaîne d’attribut dSHeuristics et vérifiez que les 10e, 20e et 21e caractères sont définis comme ci-dessus. Les autres caractères déjà définis doivent rester inchangés.

Pour plus d’informations sur la configuration des caractères dSHeuristics, reportez-vous aux documents suivants :

Informations supplémentaires

Qu’est-ce qu’un nom de principal du service ?

Un nom de principal du service (SPN) est un identificateur unique d’une instance de service. L’authentification Kerberos utilise des SPN pour associer une instance de service à un compte de connexion au service. Cela permet à une application cliente de demander que le service authentifie un compte, même si le client n’a pas le nom du compte. Pour plus d’informations, consultez l’article Noms des principaux du service.

Qu’est-ce qu’un nom d’utilisateur principal ?

Un nom d’utilisateur principal (UPN) est un nom de connexion de type adresse électronique pour un utilisateur basé sur la norme Internet RFC 822. Pour plus d’informations, consultez l’article Attribut de nom d’utilisateur principal.

Forum aux questions

Q1 Que faire si je dois inscrire un SPN d’alias HOST en double pour un compte ?

R1 Inscrivez le SPN requis en tant qu’administrateur.

Q2 Que se passe-t-il si je désactive l’unicité des SPN ou des UPN ?

R2 Il n’est pas recommandé de la désactiver. Si les SPN ne sont pas uniques, c’est comme si les SPN qui sont des doublons n’étaient pas inscrits du tout. L’inscription d’un SPN en double a le même effet que l’annulation de l’inscription de celui d’origine. Si les UPN ne sont pas uniques, les recherches utilisateur qui utilisent des UPN en double échouent.

Q3 Que se passe-t-il si je désactive l’unicité des alias SPN ?

R3 Il n’est pas recommandé de la désactiver. Un non-administrateur peut remplacer la résolution actuelle d’un SPN alias existant par un ordinateur qu’il contrôle. Cet ordinateur peut faire office de service, car l’authentification du serveur que Kerberos fournit accepterait le nouveau compte en tant qu’hôte correct pour le service, en lieu et place du compte d’origine avec le SPN HOST.

Q4 Comment un administrateur de domaine peut-il trouver les SPN ou les UPN en double déjà présents sur le réseau ?

R4 Cette opération n’est pas pratique sans écrire des scripts étendus pour énumérer tous les SPN et les UPN du domaine et les corréler pour rechercher les doublons.

Q5 Que se passe-t-il si j’ai un mélange de contrôleurs de domaine qui sont mis à jour et non mis à jour, ou des paramètres non concordants entre les contrôleurs de domaine ?

R5 La réplication n’est pas bloquée en raison des UPN ou des SPN en double. Par conséquent, les doublons peuvent être répliqués sur d’autres contrôleurs de domaine si les UPN ou les SPN en double sont créés sur un contrôleur de domaine qui ne comporte pas la mise à jour.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×