דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

סיכום

Windows עדכונים עבור CVE-2021-42282 שהופצה ב- 9 בנובמבר 2021, הוסף את האימות הבאות עבור תכונות ב- Active Directory (AD):

  • שם ראשי של משתמש (UPN) וייחודיות שם ראשי של שירות (SPN) (Windows 8, Windows Server 2012 והפצה קודמת) 

  • הייחודיות של כינוי SPN (חדש בכל Windows גירסאות) 

שם ראשי של משתמש וייחוד שם ראשי של שירות

תכונה זו מבטיחה כי שמות ה- SPN הם ייחודיים ביער, דבר שמונע ממחשבים ובקרי תחומים להוסיף שמות שמות SPN כפולים. פונקציונליות זו כבר קיימת Windows 8.1 ומעלה והיא מתוארת ב- SPN וב- UPN.

ייחודיות כינוי SPN

תכונת AD קיימת מגדירה כינויים עבור כיתות שירות נפוצות רבות ל- HOST SPN המקביל עבור שירותים כגון CIFS, HTTP ו- RPC. התכונה AD מוגדרת כרשימה בהקשר מתן שמות לתצורה של יער Active Directory. ייתכן שמשתמש ללא זכויות מנהל מערכת לא יקצה מחדש SPN שהוקצה באופן שקול לחשבון אחר באמצעות כינוי זה.

הערה אימות זה מיושם בנוסף לאימות עבור ייחודיות UPN ו- SPN.

אימותי הייחודיות של כינוי SPN זמינים כברירת מחדל. באפשרותך לבטל אימותים אלה על-ידי שינוי התו ה- 21 של התכונה dSHeuristics , המתפרשת כסידרה של תווים. התכונה dSHeuristics אינה קיימת כברירת מחדל, אך באפשרותך להוסיף אותה תחת השם הייחודי "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". הגדרות אפשריות וערכים תואמים של סיביות הם:

  • ערך 0 – פירושה אכוף הכל (ללא סיביות המוגדרות 000) ברירת מחדל

  • ערך 1 – פירוש הדבר הפיכת אימות ייחודיות UPN ללא זמין (bit 0 set - 001)

  • ערך 2 – פירוש הדבר הפיכת אימות הייחודיות של SPN ללא זמין (bit 1 set - 010)

  • ערך 3 – פירוש הדבר הפיכת אימות ייחודיות UPN וייחודיות של SPN ללא זמין. (bit 0 ו- 1 set - 011)

  • ערך 4 – פירוש הדבר הפיכת אימות הייחודיות של כינוי SPN ללא זמין (bit 2 set - 100)

  • ערך 5 – פירוש הדבר הפיכת אימות הייחודיות של כינוי SPN ו- UPN ללא זמין (bit 2 ו- bit 0 set - 101)

  • ערך 6 - פירושה הפיכת כינוי SPN לייחודי SPN ללא זמין (סיביות 2 ו- bit 1 set - 110)

  • ערך 7 – משמעות הדבר הפוך הכל ללא זמין (כל הסיביות מוגדרות 111)

דוגמה: אם אין לך הגדרות אחרות של dSHeuristics זמינות ביער וברצונך להפוך אימות ייחודי של כינוי SPN ללא זמין בלבד, יש להגדיר את התכונה dSHeuristics ל: "000000000100000000024"

התווים הוגדרים במקרה זה הם:
תו 10: יש להגדיר ל- 1 אם התכונה dSHeuristics היא לפחות 10 תווים
תו 20: יש להגדיר ל- 2 אם התכונה dSHeuristics היא לפחות 20 תווים
תו 21: יש להגדיר ערך ברשימה לעיל; ערך 4 פירושו הפיכת הייחודיות של כינוי SPN ללא זמינה.

הערה אם התכונה dSHeuristics כבר מוגדרת, הקפד למזג את ההגדרות הקיימות למחרוזת התכונה החדשה של dSHeuristics ואשר שהתווים ה- 10, ה- 20 וה- 21 מוגדרים כאמור. התווים האחרים שכבר מוגדרים אמורים להישאר ללא שינוי.

לקבלת מידע נוסף אודות קביעת התצורה של תווי dSHeuristics, עיין במסמכים הבאים:

מידע נוסף

מהו שם ראשי של שירות?

שם ראשי של שירות (SPN) הוא מזהה ייחודי עבור מופע שירות. אימות Kerberos משתמש ב- SPN כדי לשייך מופע שירות לחשבון כניסה לשירות. פעולה זו מאפשרת ליישום לקוח לבקש שהשירות יאמת חשבון גם אם ללקוח אין את שם החשבון. לקבלת פרטים נוספים, ראה שמות ראשיים של שירות.

מהו שם ראשי של משתמש?

שם ראשי של משתמש (UPN) הוא שם כניסה בסגנון דואר אלקטרוני עבור משתמש המבוסס על RFC 822 הרגיל באינטרנט. לקבלת פרטים נוספים, ראה התכונה User-Principal-Name.

שאלות נפוצות

Q1 מה אם עליי לרשום SPN של כינוי HOST כפול עבור חשבון?

A1 רשום את ה- SPN הדרוש כמנהל מערכת.

Q2 מה קורה אם אני מכבה את הייחודיות של SPN או UPN?

A2 לא מומלץ לעשות זאת. אם שמות SNS אינם ייחודיים, נראה כי שמות SSP שהם כפולים אינם רשומים כלל. רישום SPN כפול זהה לזה של ביטול הרישום של ה- SPN המקורי. אם שמות UPN אינם ייחודיים, בדיקת מידע של משתמשים המשתמשים ב- UPNs כפולים תיכשל.

Q3 מה קורה אם אני מכבה את הייחודיות של כינוי SPN?

A3 לא מומלץ לעשות זאת. שאינו מנהל מערכת עשוי לשנות את הרזולוציה של כינוי קיים SPN מהרזולוציה הנוכחית שלו למחשב תחת הפקד של שאינו מנהל מערכת. מחשב זה עשוי לפעול כשירות זה מכיוון אימות השרת ש- Kerberos מספק יקבל את החשבון החדש כמארח הנכון עבור השירות במקום החשבון המקורי עם HOST SPN.

Q4 כיצד מנהל תחום יכול למצוא שמות DNS כפולים או שמות UP שכבר קיימים ברשת?

A4 פעולה זו אינה מעשית מבלי לכתוב תסריטים מקיפים כדי לספור את כל שמות ה- SPN ו- UPN מהתחום ולתאם כדי למצוא כפילויות.

Q5 מה קורה אם יש לי שילוב של בקרי תחומים המעודכנים ולא מתעדכנים או לא תואמים הגדרות בין בקרי תחומים?

A5 השכפול לא ייחסם עקב שמות UPN או שמות SPN כפולים. לכן, כפילויות יכולות לשכפל לבקרי תחום אחרים אם שמות ה- UPN או שמות ה- SP הכפולים נוצרים בבקר תחום שלא כולל את העדכון.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×