Applies ToWindows Server 2008 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10, version 1607, all editions Windows 10, version 1809, all editions Windows Server 2016 Windows 10, version 1909, all editions Windows Server 2019 Windows 10, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 Windows Server 2022

סיכום

הגנות עבור CVE-2022-21920 כלולות ב- 11 בינואר 2022 Windows עדכונים ואילך Windows עדכונים. עדכונים אלה מכילים לוגיקה משופרת כדי לזהות התקפות שדרוג לאחור עבור שמות ראשיים של 3 חלקים של שירות בעת שימוש בפרוטוקול האימות של Microsoft משא ומתן.

מאמר זה מספק הדרכה כאשר אימות Kerberos אינו מצליח.

מידע נוסף

התקנת עדכוני Windows ב- 11 בינואר 2022 Windows עלולה לגרום לאימות להיכשל עבור 3 חלקים של מזהי SP כאשר אימות Kerberos אינו מצליח. עבור סביבות אלה, סביר ש- Kerberos authentication for 3 חלקים SPN לא פעל במשך זמן מה. ייתכן שתציג את האירוע הבא במערכות Windows כדי לסייע במיון.

צילום מסך של אירוע LSA 40970 המזהה נסיגה של NTLM עבור SPN ספציפי מסביבה מחשב Microsoft.

גירסת טקסט של אירוע LSA 40970

אירוע 40970

מערכת האבטחה זיהתה ניסיון שדרוג לאחור בעת יצירת קשר עם ה- SPN של 3 החלקים

<שם SPN>

עם קוד שגיאה "מסד הנתונים של SAM ב- Windows Server אין חשבון מחשב עבור קשר האמון של תחנת העבודה (0x0000018b)" האימות נדחה.

פעולה

Microsoft ממליצה לך לתייג מדוע אימות Kerberos עבור ה- SPN של 3 החלקים נכשל. כמה סיבות נפוצות לכשל באימות Kerberos כוללות את הפעולות הבאות: 

  • ה- SPN המשמש כיעד לאימות פגום. לקבלת מידע נוסף, ראה תבניות שם עבור שמות SPN ייחודיים.

    הערה: יישומים ומזהי API עשויים להשתנות או מחמירים יותר עבור מה שמהווה SPN לגיטימי עבור השירות שלהם.

    דוגמאות ל- SPN לגיטימי

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    שירות/מחשב1:10100 

    דוגמאות של כרטיסי SPN אולי פגומים

    SPN 

    סיבה 

    Host/host/machine1 

    סביר שמארח/מארח הוא טעות מאחר ש-"host" הוא בדרך כלל מחלקת שירות ולא שם מחשב. ייתכן שה- SPN הלגיטימי הוא host/machine1. 

    Ldap/machine/contoso.com:10100 

    ניתן לציין יציאות בשם המארח ("מחשב") ולא בשם מופע השירות. ייתכן שה- SPN הלגיטימי הוא "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    ממשקי API מסוימים מצפים לשם DNS במקום ל- FQDN. לדוגמה, הפונקציה DsBindA (ntdsapi.h) מצפה להיות מועברת בשם DNS. אם FQDN מועבר, הוא עלול לגרום ל- SPN בעל מבנה פגום.  ה- SPN החוקי עשוי להיות "ldap/dc-a/contoso.com"

    כדי לטפל בבעיות אלה, שקול להשתמש ב- SPN הנכון או לרשום את ה- SPN בעל מבנה פגום בחשבון השירות הנכון.

  • SPN המשמש כיעד לאימות אינו קיים. כדי לטפל בבעיה זו, שקול לרשום את ה- SPN לחשבון השירות הנכון.

  • מחשב Windows אינו כולל את קו הראייה לבקר תחום (כגון בקרי התחום במצב לא מקוון, לא ניתן להתגלות ב- DNS, או שהגישה לי יציאת KDC חסומה).

  • ייתכן שאתה משתמש בשמות NetBIOS בתרחיש שבו שמות NetBIOS אינם פועלים. דוגמה היא גישה למשאבי תחום ממחשבים שאינם מצורפים לתחום ורזולוציית שמות NetBIOS אינה זמינה או אינה פועלת.Microsoft ממליצה להשתמש בשם ראשי של משתמש (UPN) או במערכת שמות תחומים (DNS) שם במקום שם NetBIOS.

רושם את ה- SPN 

בהתאם לתצורת היישום ולסביבה שלך, ייתכן שתצורת שמות ה- SPN תוגדר בתכונה שם ראשי של שירות של חשבון השירות או חשבון המחשב הממוקם בתחום Active Directory שהלקוח Kerberos מנסה ליצור את החיבור של Kerberos. כדי שה אימות Kerberos יפעל כראוי, SPN היעד חייב להיות חוקי.

עיין בתיעוד פריסה או בספק התמיכה עבור כל יישום ספציפי לקבלת הנחיות לגבי הפיכת אימות Kerberos לזמין. מתקיני יישומים או יישומים מסוימים רושמת את ה- SPN באופן אוטומטי. ישנן אפשרויות שונות הן עבור מפתחים ומנהלי מערכת לרישום SPN:

  • כדי לרשום באופן ידני את ה- SPNs עבור מופע שירות, ראה Setspn.

  • כדי לרשום באופן תיכנותי את ה- SPNs עבור מופע שירות, ראה כיצד שירות רושם את ה- SPNs שלו המתאר כיצד לבצע את ההתקנה:

    • התקשר לפונקציה DsGetSpn כדי ליצור שם SPN ייחודי אחד או יותר עבור מופע השירות. לקבלת מידע נוסף, ראה תבניות שם עבור שמות SPN ייחודיים.

    • התקשר לפונקציה DsWriteAccountSpn כדי לרשום את השמות בחשבון הכניסה של השירות.

בעיות ידועות

בשלב זה, אין בעיות ידועות בעדכון זה.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.