Sažetak
CVE-2021-42278 upućuje na slabe točke sigurnosne zaobilaženje koje potencijalnim napadačima omogućuje oponašanje kontrolera domene pomoću sAMAccountName računa računala.
U ovom se članku navode dodatni detalji i odjeljak s najčešćim pitanjima za upravitelj računa za sigurnost servisa Active Directory (SAM) koji otvrdnjuje promjene koje su napravili ažuriranja sustava Windows objavljena 9. studenog 2021. i novija kao što je dokumentirano u članku CVE-2021-42278.
Provjere provjere valjanosti servisa Active Directory
Kada instalirate CVE-2021-42278,Active Directory će izvršiti provjere valjanosti navedene u nastavku na atributima sAMAccountName i UserAccountControl računa računala koje su stvorili ili izmijenili korisnici koji ne imaju administratorska prava za račune računala.
-
sAMAccountType provjera valjanosti za korisničke i računalne račune
-
ObjectClass=Računi računala (ili podklase računala) moraju imati zastavice useraccountControl UF_WORKSTATION_TRUST_ACCOUNT ili UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=Korisnik mora imati UAC zastavice UF_NORMAL_ACCOUNT ili UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
provjera valjanosti sAMAccountName za račune računala
SAMAccountName računa računala čiji atribut UserAccountControl sadrži zastavicu UF_WORKSTATION_TRUST_ACCOUNT mora završiti znakom od jednog dolara ($). Kada ti uvjeti nisu ispunjeni, Active Directory vraća kod pogreške 0x523 ERROR_INVALID_ACCOUNTNAME. Neuspjele provjere valjanosti zapisuje se u ID događaja Directory-Services-SAM 16991 u zapisniku događaja sustava.
Kada ti uvjeti nisu ispunjeni, Active Directory vraća kod pogreške ACCESS_DENIED. Neuspjele provjere valjanosti zapisuje se u ID događaja Directory-Services-SAM 16990 u zapisniku događaja sustava.
Događaji nadzora
Pogreška provjere valjanosti klase objekta i UserAccountControl
Kada provjera valjanosti klase objekta i UserAccountControl ne uspije, u zapisniku sustava zapisuje se sljedeći događaj:
Zapisnik događaja |
Sustav |
Vrsta događaja |
Pogreška |
Izvor događaja |
Directory-Services-SAM |
ID događaja |
16990 |
Tekst događaja |
Upravitelj sigurnosnog računa onemogućio je administratoru stvaranje računa servisa Active Directory u ovoj domeni s neusklađenim oznakama vrste objectClass i userAccountControl. Detalji: Naziv računa: %1%n Objekt RačunaKlasa: %2%n userAccountControl: %3%n Adresa pozivatelja: %4%n SID pozivatelja: %5%n%n |
Provjera valjanosti naziva SAM računa nije uspjelo
Kada provjera valjanosti naziva SAM računa ne uspije, u zapisnik sustava zapisuje se sljedeći događaj:
Zapisnik događaja |
Sustav |
Vrsta događaja |
Pogreška |
Izvor događaja |
Directory-Services-SAM |
ID događaja |
16991 |
Tekst događaja |
Upravitelj sigurnosnog računa onemogućio je administratoru stvaranje ili preimenovanje računa računala pomoću sAMAccountName koji nije valjan. sAMAccountName na računalnim računima mora završiti jednim pratećim znakom $. Pokušaj sAMAccountName: %1 Preporučeni sAMAccountName: %1$ |
Uspješni događaji nadzora nad stvaranjem računa računala
Sljedeći su postojeći događaji nadzora dostupni za uspješno stvaranje računa računala:
-
4741(S): stvoren je račun računala
-
4742(S): promijenjen je račun računala
-
4743(S): izbrisan je račun računala
Dodatne informacije potražite u članku Nadzor upravljanja računom računala.
Najčešća pitanja
Q1. Kako ažuriranje utječe na postojeće objekte u servisu Active Directory?
A1. Provjera valjanosti postojećih objekata odvija se kada korisnici koji ne imaju administratorska prava mijenjaju atribute sAMAccountName ili UserAccountControl.
Q2. Što je sAMAccountName?
A2. sAMAccountName jedinstveni je atribut za sve sigurnosne upravitelje servisa Active Directory i obuhvaća korisnike, grupe i računala. Ograničenja naziva za sAMAccountName dokumentirana su u 3.1.1.6 Ograničenjaatributa za izvorišna ažuriranja .
Q3. Što je sAMAccountType?
A3. Dodatne informacije potražite u sljedećim dokumentima:
Tri su moguće vrijednosti vrste sAMAccountType koje odgovaraju četirima mogućim zastavicama useraccountcontrol na sljedeći način:
userAccountControl |
sAMAccountType |
---|---|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
Q4. Koje su moguće vrijednosti za UserAccountControl?
A4. Dodatne informacije potražite u sljedećim dokumentima:
Q5. Kako pronaći nesukladne objekte koji već postoje u mom okruženju?
A5. Administratori mogu pretraživati direktorij za postojeće račune koji nisu usklađeni pomoću skripte komponente PowerShell, kao što su primjeri u nastavku.
Da biste pronašli račune računala koji imaju nesukladan sAMAccountName:
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Da biste pronašli račune računala koji imaju nesukladan UserAccountControl sAMAccountType:
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |