חל על
Windows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

שנה תאריך

שינוי תיאור

(יום שלישי 3 פברואר 2026)

  • במקטע 'שאלות נפוצות', תיקנו את התשובה לשאלה 1.מ: רשום את ה- SPN הנדרש כמנהל מערכת.אל: רשום את ה- SPN הנדרש כמנהל מערכת ארגוני של Active Directory.

סיכום

עדכוני Windows עבור CVE-2021-42282 שהופצו ב- 9 בנובמבר, 2021 מוסיפים את האימותים הבאים עבור תכונות ב- Active Directory (AD):

  • שם ראשי של משתמש (UPN) וייחודיות של שם ראשי של שירות (SPN) (חדש Windows 8, Windows Server 2012 ומהדורות קודמות) 

  • ייחודיות כינוי SPN (חדש בכל הגירסאות של Windows) 

שם ראשי של משתמש וייחוד שם ראשי של שירות

תכונה זו מבטיחה ש- SPNs הם ייחודיים ביער, דבר שמונע ממחשבים ובקרי תחום להוסיף שמות SPN כפולים. פונקציונליות זו כבר קיימת ב- Windows 8.1 ואילך והיא מתוארת באופן ייחודי של SPN ו- UPN.

ייחודיות כינוי SPN

תכונה קיימת של AD מגדירה כינויים עבור מחלקות שירות נפוצות רבות ל- HOST SPN המקביל עבור שירותים כגון CIFS, HTTP ו- RPC. התכונה AD מוגדרת כרשימה בהקשר מתן שמות לתצורה של יער של Active Directory. ייתכן שמשתמש שאין לו זכויות מנהל מערכת לא יקצה מחדש SPN המוקצה באופן משתמע לחשבון אחר באמצעות כינוי זה.

הערה אימות זה מיושם בנוסף לאימות עבור ייחודיות UPN ו- SPN.

אימותי ייחודיות של כינוי SPN מופעלים כברירת מחדל. באפשרותך לבטל אימותים אלה על-ידי שינוי התו ה-21 של התכונה dSHeuristics , המפורשת כסידרה של תווים. התכונה dSHeuristics אינה קיימת כברירת מחדל, אך באפשרותך להוסיף אותה תחת השם הייחודי "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". להלן ההגדרות האפשריות ואת ערכי הסיביות התואמים שלהן:

  • ערך 0 – פירושו אכוף הכל (לא הוגדרו סיביות 000) ברירת מחדל

  • Value 1 – פירושו Disable UPN Uniqueness verification (bit 0 set - 001)

  • ערך 2 – פירושו הפיכת אימות ייחודיות של SPN ללא זמין (bit 1 set - 010)

  • Value 3 – פירושו Disable UPN Uniqueness AND SPN Uniqueness verification. (ערכת סיביות 0 ו- 1 - 011)

  • ערך 4 – פירושו הפיכת אימות ייחודיות של כינוי SPN ללא זמין (סיבית 2 מוגדרת - 100)

  • Value 5 – פירושו Disable SPN Alias and UPN Uniqueness verification (bit 2 and bit 0 set - 101)

  • ערך 6 - פירושו הפיכת כינוי SPN וייחודי SPN ללא זמינים (סיביות 2 וסיביות 1 מוגדרות - 110)

  • ערך 7 – פירושו הפוך הכל ללא זמין (כל הסיביות מוגדרות 111)

דוגמה: אם אין לך הגדרות dSHeuristics אחרות זמינות ביער שלך וברצונך להפוך אימות ייחודיות של כינוי SPN ללא זמין בלבד, יש להגדיר את התכונה dSHeuristics ל: "000000000100000000024" התווים הוגדרו במקרה זה הם: תו10: יש להגדיר ל- 1 אם התכונה dSHeuristics מכילה 10 תווים לפחות תו20: יש להגדיר ל- 2 אם התכונה dSHeuristics מכילה 20 תווים לפחות תו21 st : יש להגדיר כערך ברשימה לעיל; ערך 4 פירושו הפיכת ייחודיות כינוי SPN ללא זמינה.

הערה אם התכונה dSHeuristics כבר מוגדרת, הקפד למזג את ההגדרות הקיימות לתוך מחרוזת התכונה החדשה של dSHeuristics ואשר שהתווים ה- 10, ה- 20 וה- 21 מוגדרים כאמור. שאר התווים שכבר הוגדרו אמורים להישאר ללא שינוי.

לקבלת מידע נוסף אודות קביעת התצורה של תווי dSHeuristics, עיין במסמכים הבאים:

מידע נוסף

מהו שם ראשי של שירות?

שם ראשי של שירות (SPN) הוא מזהה ייחודי עבור מופע שירות. אימות Kerberos משתמש ב- SPNs כדי לשייך מופע שירות לחשבון כניסה לשירות. פעולה זו מאפשרת ליישום לקוח לבקש מהשירות לאמת חשבון גם אם ללקוח אין את שם החשבון. ראה שמות ראשיים של שירות לקבלת פרטים נוספים.

מהו שם ראשי של משתמש?

שם ראשי של משתמש (UPN) הוא שם כניסה בסגנון דואר אלקטרוני עבור משתמש המבוסס על RFC 822 סטנדרטי באינטרנט. לקבלת פרטים נוספים, ראה התכונה User-Principal-Name.

שאלות נפוצות

Q1 מה קורה אם עליי לרשום SPN כפול של כינוי HOST עבור חשבון?

A1 רשום את ה- SPN הנדרש כמנהל מערכת ארגוני של Active Directory.

Q2 מה קורה אם אני מבטל את הייחודיות של SPN או UPN?

A2 2 לא מומלץ לעשות זאת. אם שמות SDN אינם ייחודיים, זה כאילו שמות SDN שהם כפולים אינם רשומים כלל. רישום SPN כפול זהה לאותה השפעה של ביטול הרישום של ה- SPN המקורי. אם שמות UPN אינם ייחודיים, בדיקות מידע של משתמשים המשתמשים ב- UPNs כפולות ייכשלו.

Q3 מה קורה אם אני מבטל את הייחודיות של כינוי SPN?

A3 לא מומלץ לעשות זאת. מנהל מערכת שאינו מנהל מערכת עשוי לשנות את הרזולוציה של SPN של כינוי קיים מהרזולוציה הנוכחית שלו למחשב תחת הפקד שאינו של מנהל המערכת. מחשב זה עשוי לפעול כשירות זה מאחר אימות השרת ש- Kerberos מספק יקבל את החשבון החדש כמארח הנכון עבור השירות במקום החשבון המקורי עם ה- SPN של המארח.

Q4 כיצד מנהל תחום יכול למצוא שמות DNS כפולים או שמות UPN שכבר קיימים ברשת?

A4 2016 פעולה זו אינה מעשית מבלי לכתוב Scripting נרחב כדי לספור את כל שמות ה- SPN וה- UPNs מהתחום ולתאם לאיתור כפילויות.

Q5 מה קורה אם יש לי שילוב של בקרי תחום שמתעדכנים ולא מעודכנים או לא תואמים הגדרות בין בקרי תחום?

A5 2016 השכפול לא ייחסם עקב שמות UPN כפולים או שמות SDN כפולים. לכן, כפילויות יכולות לשכפל לבקרי תחום אחרים אם שמות ה- UPN הכפולים או שמות ה- SPN הכפולים נוצרים בבקר תחום שאינו כולל את העדכון.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות