סיכום
CVE-2021-42278 מטפל בפגיעות של עקיפת אבטחה המאפשרת לתוקפים פוטנציאליים להתחזות לבקר תחום באמצעות התחזות sAMAccountName של חשבון מחשב.
מאמר זה מספק פרטים נוספים וסעיף שאלות נפוצות עבור מנהל חשבונות האבטחה של Active Directory (SAM) המקשה על שינויים שבוצעו על-ידי Windows עדכונים שהופצה ב- 9 בנובמבר 2021 ואילך, כפי שפורסם ב- CVE-2021-42278.
בדיקות אימות של Active Directory
לאחר התקנת CVE-2021-42278,Active Directory יבצע את בדיקות האימות המפורטות להלן בתכונות sAMAccountName ו- UserAccountControl של חשבונות מחשב שנוצרו או שונו על-ידי משתמשים שאינם בעלי זכויות מנהל מערכת עבור חשבונות מחשב.
-
אימות sAMAccountType עבור חשבונות משתמשים ומחשב
-
חשבונות ObjectClass=Computer (או subclass of computer) חייבים להיות בעלי דגלי UserAccountControl של UF_WORKSTATION_TRUST_ACCOUNT או UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User חייב לדרוש דגלי UAC של UF_NORMAL_ACCOUNT או UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
אימות sAMAccountName עבור חשבונות מחשב
SAMAccountName של חשבון מחשב שהתכונה UserAccountControl שלו מכילה את UF_WORKSTATION_TRUST_ACCOUNT חייב להסתיים בסימן דולר בודד ($). כאשר תנאים אלה אינם מתקיימים, Active Directory מחזיר את קוד הכשל 0x523 ERROR_INVALID_ACCOUNTNAME. אימותים שנכשלו נרשמות במזהה האירוע Directory-Services-SAM 16991 ביומן האירועים של המערכת.
כאשר תנאים אלה אינם מתקיימים, Active Directory מחזיר קוד כשל של ACCESS_DENIED. אימותים שנכשלו נרשמות במזהה האירוע Directory-Services-SAM 16990 ביומן האירועים של המערכת.
אירועי ביקורת
כשל אימות של מחלקת אובייקטים ו- UserAccountControl
כאשר אימות UserAccountControl ומחלקה של אובייקט נכשל, האירוע הבא יירשם ביומן המערכת:
|
יומן אירועים |
מערכת |
|
סוג אירוע |
שגיאה |
|
מקור האירוע |
Directory-Services-SAM |
|
מזהה האירוע |
16990 |
|
טקסט אירוע |
מנהל חשבון האבטחה חסם את יצירת חשבון Active Directory בתחום זה שאינו מנהל מערכת עם דגלי סוג חשבון של objectClass ו- userAccountControl שאינם תואמים. פרטים: שם חשבון: %1%n אובייקט חשבוןClass: %2%n userAccountControl: %3%n כתובת מתקשר: %4%n SID של מתקשר: %5%n%n |
כשל אימות של שם חשבון SAM
כאשר אימות שם חשבון SAM נכשל, האירוע הבא יירשם ביומן המערכת:
|
יומן אירועים |
מערכת |
|
סוג אירוע |
שגיאה |
|
מקור האירוע |
Directory-Services-SAM |
|
מזהה האירוע |
16991 |
|
טקסט אירוע |
מנהל חשבון האבטחה חסם את היצירה או שינוי השם של חשבון מחשב באמצעות sAMAccountName לא חוקי. sAMAccountName בחשבונות מחשב חייב להסתיים בסימן $ נגרר אחד. ניסיון sAMAccountName: %1 sAMAccountName מומלץ: %1$ |
אירועי ביקורת מוצלחים ליצירת חשבון מחשב
אירועי הביקורת הקיימים הבאים זמינים ליצירת חשבון מחשב מוצלח:
לקבלת מידע נוסף, ראה ביקורת על ניהול חשבונות מחשב.
שאלות נפוצות
Q1. כיצד עדכון זה משפיע על אובייקטים קיימים ב- Active Directory?
A1. עבור אובייקטים קיימים, האימות מתרחש כאשר משתמשים שאינם בעלי זכויות מנהל מערכת משנים את התכונות sAMAccountName או UserAccountControl.
Q2. מהו sAMAccountName?
A2. sAMAccountName היא תכונה ייחודית בכל מנהלי האבטחה ב- Active Directory וכוללת משתמשים, קבוצות ומחשבים. אילוצי השם עבור sAMAccountName מתועדים ב- 3.1.1.6 אילוצי תכונות עבור עדכונים שמקורם.
Q3. מהו sAMAccountType?
A3. לקבלת מידע נוסף, קרא את המסמכים הבאים:
זמינים שלושה ערכי sAMAccountType אפשריים התואמים לארבעה דגלי UserAccountcontrol אפשריים באופן הבא:
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
Q4. אילו ערכים אפשריים עבור UserAccountControl?
A4. לקבלת מידע נוסף, קרא את המסמכים הבאים:
Q5. כיצד אוכל למצוא אובייקטים שאינם תואמים שכבר קיימים בסביבה שלי?
A5. מנהלי מערכת יכולים לחפש במדריך הכתובות שלהם חשבונות קיימים שאינם תואמים באמצעות קובץ Script של PowerShell, כמו הדוגמאות שלהלן.
כדי למצוא חשבונות מחשב שיש להם sAMAccountName שאינו תואם:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
כדי למצוא חשבונות מחשב שיש להם UserAccountControl sAMAccountType שאינו תואם:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
