Prijavite se pomoću Microsofta
Prijavite se ili stvorite račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun pomoću kojeg se želite prijaviti.

Sažetak

CVE-2021-42278 upućuje na slabe točke sigurnosne zaobilaženje koje potencijalnim napadačima omogućuje oponašanje kontrolera domene pomoću sAMAccountName računa računala.

U ovom se članku navode dodatni detalji i odjeljak s najčešćim pitanjima za upravitelj računa za sigurnost servisa Active Directory (SAM) koji otvrdnjuje promjene koje su napravili ažuriranja sustava Windows objavljena 9. studenog 2021. i novija kao što je dokumentirano u članku CVE-2021-42278.

Provjere provjere valjanosti servisa Active Directory

Kada instalirate CVE-2021-42278,Active Directory će izvršiti provjere valjanosti navedene u nastavku na atributima sAMAccountName i UserAccountControl računa računala koje su stvorili ili izmijenili korisnici koji ne imaju administratorska prava za račune računala. 

  1. sAMAccountType provjera valjanosti za korisničke i računalne račune

    • ObjectClass=Računi računala (ili podklase računala) moraju imati zastavice useraccountControl UF_WORKSTATION_TRUST_ACCOUNT ili UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=Korisnik mora imati UAC zastavice UF_NORMAL_ACCOUNT ili UF_INTERDOMAIN_TRUST_ACCOUNT

  2. provjera valjanosti sAMAccountName za račune računala

    SAMAccountName računa računala čiji atribut UserAccountControl sadrži zastavicu UF_WORKSTATION_TRUST_ACCOUNT mora završiti znakom od jednog dolara ($). Kada ti uvjeti nisu ispunjeni, Active Directory vraća kod pogreške 0x523 ERROR_INVALID_ACCOUNTNAME. Neuspjele provjere valjanosti zapisuje se u ID događaja Directory-Services-SAM 16991 u zapisniku događaja sustava.

Kada ti uvjeti nisu ispunjeni, Active Directory vraća kod pogreške ACCESS_DENIED. Neuspjele provjere valjanosti zapisuje se u ID događaja Directory-Services-SAM 16990 u zapisniku događaja sustava.

Događaji nadzora

Pogreška provjere valjanosti klase objekta i UserAccountControl

Kada provjera valjanosti klase objekta i UserAccountControl ne uspije, u zapisniku sustava zapisuje se sljedeći događaj:

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

Directory-Services-SAM

ID događaja

16990

Tekst događaja

Upravitelj sigurnosnog računa onemogućio je administratoru stvaranje računa servisa Active Directory u ovoj domeni s neusklađenim oznakama vrste objectClass i userAccountControl.

Detalji:

Naziv računa: %1%n

Objekt RačunaKlasa: %2%n

userAccountControl: %3%n

Adresa pozivatelja: %4%n

SID pozivatelja: %5%n%n

Provjera valjanosti naziva SAM računa nije uspjelo

Kada provjera valjanosti naziva SAM računa ne uspije, u zapisnik sustava zapisuje se sljedeći događaj:

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

Directory-Services-SAM

ID događaja

16991

Tekst događaja

Upravitelj sigurnosnog računa onemogućio je administratoru stvaranje ili preimenovanje računa računala pomoću sAMAccountName koji nije valjan. sAMAccountName na računalnim računima mora završiti jednim pratećim znakom $.

Pokušaj sAMAccountName: %1

Preporučeni sAMAccountName: %1$

Uspješni događaji nadzora nad stvaranjem računa računala

Sljedeći su postojeći događaji nadzora dostupni za uspješno stvaranje računa računala:

  • 4741(S): stvoren je račun računala

  • 4742(S): promijenjen je račun računala

  • 4743(S): izbrisan je račun računala

Dodatne informacije potražite u članku Nadzor upravljanja računom računala.

Najčešća pitanja

Q1. Kako ažuriranje utječe na postojeće objekte u servisu Active Directory?

A1. Provjera valjanosti postojećih objekata odvija se kada korisnici koji ne imaju administratorska prava mijenjaju atribute sAMAccountName ili UserAccountControl.

Q2. Što je sAMAccountName?

A2. sAMAccountName jedinstveni je atribut za sve sigurnosne upravitelje servisa Active Directory i obuhvaća korisnike, grupe i računala. Ograničenja naziva za sAMAccountName dokumentirana su u 3.1.1.6 Ograničenjaatributa za izvorišna ažuriranja .

Q3. Što je sAMAccountType?

A3. Dodatne informacije potražite u sljedećim dokumentima:

Tri su moguće vrijednosti vrste sAMAccountType koje odgovaraju četirima mogućim zastavicama useraccountcontrol na sljedeći način:

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

Q4. Koje su moguće vrijednosti za UserAccountControl?

A4. Dodatne informacije potražite u sljedećim dokumentima:

Q5. Kako pronaći nesukladne objekte koji već postoje u mom okruženju?

A5. Administratori mogu pretraživati direktorij za postojeće račune koji nisu usklađeni pomoću skripte komponente PowerShell, kao što su primjeri u nastavku.

Da biste pronašli račune računala koji imaju nesukladan sAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Da biste pronašli račune računala koji imaju nesukladan UserAccountControl sAMAccountType:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Resursi

Potrebna vam je dodatna pomoć?

Proširite svoje vještine

Istražite osposobljavanje >

Prvi koristite nove značajke

Pridružite se Microsoft Insidere >

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×