סיכום
הגנות עבור CVE-2022-21920 כלולות ב- 11 בינואר 2022 Windows עדכונים ואילך Windows עדכונים. עדכונים אלה מכילים לוגיקה משופרת כדי לזהות התקפות שדרוג לאחור עבור שמות ראשיים של 3 חלקים של שירות בעת שימוש בפרוטוקול האימות של Microsoft משא ומתן.
מאמר זה מספק הדרכה כאשר אימות Kerberos אינו מצליח.
מידע נוסף
התקנת עדכוני Windows ב- 11 בינואר 2022 Windows עלולה לגרום לאימות להיכשל עבור 3 חלקים של מזהי SP כאשר אימות Kerberos אינו מצליח. עבור סביבות אלה, סביר ש- Kerberos authentication for 3 חלקים SPN לא פעל במשך זמן מה. ייתכן שתציג את האירוע הבא במערכות Windows כדי לסייע במיון.
|
צילום מסך של אירוע LSA 40970 המזהה נסיגה של NTLM עבור SPN ספציפי מסביבה מחשב Microsoft. |
גירסת טקסט של אירוע LSA 40970 |
|
|
מערכת האבטחה זיהתה ניסיון שדרוג לאחור בעת יצירת קשר עם ה- SPN של 3 החלקים <שם SPN> עם קוד שגיאה "מסד הנתונים של SAM ב- Windows Server אין חשבון מחשב עבור קשר האמון של תחנת העבודה (0x0000018b)" האימות נדחה. |
פעולה
Microsoft ממליצה לך לתייג מדוע אימות Kerberos עבור ה- SPN של 3 החלקים נכשל. כמה סיבות נפוצות לכשל באימות Kerberos כוללות את הפעולות הבאות:
-
ה- SPN המשמש כיעד לאימות פגום. לקבלת מידע נוסף, ראה תבניות שם עבור שמות SPN ייחודיים.
הערה: יישומים ומזהי API עשויים להשתנות או מחמירים יותר עבור מה שמהווה SPN לגיטימי עבור השירות שלהם.
דוגמאות ל- SPN לגיטימי
http/webserver
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
שירות/מחשב1:10100
דוגמאות של כרטיסי SPN אולי פגומים
SPN
סיבה
Host/host/machine1
סביר שמארח/מארח הוא טעות מאחר ש-"host" הוא בדרך כלל מחלקת שירות ולא שם מחשב. ייתכן שה- SPN הלגיטימי הוא host/machine1.
Ldap/machine/contoso.com:10100
ניתן לציין יציאות בשם המארח ("מחשב") ולא בשם מופע השירות. ייתכן שה- SPN הלגיטימי הוא "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
ממשקי API מסוימים מצפים לשם DNS במקום ל- FQDN. לדוגמה, הפונקציה DsBindA (ntdsapi.h) מצפה להיות מועברת בשם DNS. אם FQDN מועבר, הוא עלול לגרום ל- SPN בעל מבנה פגום. ה- SPN החוקי עשוי להיות "ldap/dc-a/contoso.com"
כדי לטפל בבעיות אלה, שקול להשתמש ב- SPN הנכון או לרשום את ה- SPN בעל מבנה פגום בחשבון השירות הנכון.
-
SPN המשמש כיעד לאימות אינו קיים. כדי לטפל בבעיה זו, שקול לרשום את ה- SPN לחשבון השירות הנכון.
-
מחשב Windows אינו כולל את קו הראייה לבקר תחום (כגון בקרי התחום במצב לא מקוון, לא ניתן להתגלות ב- DNS, או שהגישה לי יציאת KDC חסומה).
-
ייתכן שאתה משתמש בשמות NetBIOS בתרחיש שבו שמות NetBIOS אינם פועלים. דוגמה היא גישה למשאבי תחום ממחשבים שאינם מצורפים לתחום ורזולוציית שמות NetBIOS אינה זמינה או אינה פועלת.Microsoft ממליצה להשתמש בשם ראשי של משתמש (UPN) או במערכת שמות תחומים (DNS) שם במקום שם NetBIOS.
רושם את ה- SPN
בהתאם לתצורת היישום ולסביבה שלך, ייתכן שתצורת שמות ה- SPN תוגדר בתכונה שם ראשי של שירות של חשבון השירות או חשבון המחשב הממוקם בתחום Active Directory שהלקוח Kerberos מנסה ליצור את החיבור של Kerberos. כדי שה אימות Kerberos יפעל כראוי, SPN היעד חייב להיות חוקי.
עיין בתיעוד פריסה או בספק התמיכה עבור כל יישום ספציפי לקבלת הנחיות לגבי הפיכת אימות Kerberos לזמין. מתקיני יישומים או יישומים מסוימים רושמת את ה- SPN באופן אוטומטי. ישנן אפשרויות שונות הן עבור מפתחים ומנהלי מערכת לרישום SPN:
-
כדי לרשום באופן ידני את ה- SPNs עבור מופע שירות, ראה Setspn.
-
כדי לרשום באופן תיכנותי את ה- SPNs עבור מופע שירות, ראה כיצד שירות רושם את ה- SPNs שלו המתאר כיצד לבצע את ההתקנה:
-
התקשר לפונקציה DsGetSpn כדי ליצור שם SPN ייחודי אחד או יותר עבור מופע השירות. לקבלת מידע נוסף, ראה תבניות שם עבור שמות SPN ייחודיים.
-
התקשר לפונקציה DsWriteAccountSpn כדי לרשום את השמות בחשבון הכניסה של השירות.
-
בעיות ידועות
בשלב זה, אין בעיות ידועות בעדכון זה.
