|
Promjena datuma |
Promjena opisa |
|
3. veljače 2026. |
|
Sažetak
Ažuriranja sustava Windows za CVE-2021-42282 objavljena 9. studenog 2021. dodaju sljedeće provjere za atribute u servisu Active Directory (AD):
-
Jedinstvenost korisničkog imena (UPN) i upravitelja servisa (SPN) (novo u Windows 8, Windows Server 2012 i starijim izdanjima)
-
Jedinstvenost pseudonima za SPN (novo u svim verzijama sustava Windows)
Jedinstvenost korisničkog imena i imena upravitelja usluge
Ta značajka jamči da su SPN-ovi jedinstveni u šumi, što sprječava računala i kontrolore domene da dodaju duplicirane SPN-ove. Ta funkcija već postoji u Windows 8.1 i novijim verzijama, a opisana je u jedinstvenosti SPN-a i UPN-a.
Jedinstvenost pseudonima za SPN
Postojeći atribut AD definira pseudonime za mnoge klase uobičajenih servisa u ekvivalentni SPN glavnog računala za servise kao što su CIFS, HTTP i RPC. Atribut AD definiran je kao popis u kontekstu imenovanja konfiguracije šume servisa Active Directory. Korisnik koji nema administratorska prava možda neće ponovno dodijeliti SPN koji je implicitno dodijeljen drugom računu pomoću tog pseudonima.
Napomena Ta se provjera implementira uz provjeru jedinstvenosti UPN-a i SPN-a.
Provjere jedinstvenosti pseudonima za SPN po zadanom su uključene. Te provjere možete isključiti izmjenom21. znaka atributa dSHeuristics , koji se tumači kao niz znakova. Atribut dSHeuristics po zadanom ne postoji, ali ga možete dodati pod razlikovnim nazivom "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Moguće postavke i njihove odgovarajuće vrijednosti bitova su sljedeće:
-
Vrijednost 0 – znači Nametni sve (bez skupa bitova 000) Zadano
-
Vrijednost 1 – znači Onemogućivanje provjere jedinstvenosti UPN-a (bit 0 set - 001)
-
Vrijednost 2 – znači onemogućivanje provjere jedinstvenosti SPN-a (bit 1 set - 010)
-
Vrijednost 3 – znači Onemogućivanje upn jedinstvenosti i provjere jedinstvenosti SPN-a. (bit 0 i 1 skup - 011)
-
Vrijednost 4 – znači onemogućivanje provjere jedinstvenosti SPN pseudonima (bit 2 set - 100)
-
Vrijednost 5 – znači onemogućivanje provjere jedinstvenosti SPN pseudonima I UPN-a (bit 2 i bit 0 set - 101)
-
Vrijednost 6 – znači Onemogućivanje SPN pseudonima i jedinstvenosti SPN-a (bit 2 i bit 1 set - 110)
-
Vrijednost 7 – znači Onemogući sve (svi bitovi postavljeni 111)
Primjer: Ako u šumi nemate omogućene druge dSHeuristics postavke i želite onemogućiti samo provjeru jedinstvenosti SPN pseudonima, atribut dSHeuristics trebao bi biti postavljen na: "000000000100000000024" Znakovi postavljeni u ovom slučaju su: 10. znak: mora biti postavljen na 1 ako je atribut dSHeuristics najmanje 10 znakova 20. znak : mora biti postavljen na 2 ako je atribut dSHeuristics najmanje 20 znakova 21st char: Must be set to a value in the list above; vrijednost 4 znači Onemogući jedinstvenost SPN pseudonima.
Napomena Ako je atribut dSHeuristics već postavljen, provjerite jesu li postojeće postavke spojene u novi niz atributa dSHeuristics i provjerite jesu li gore navedeni 10., 20. i 21. znak. Ostali znakovi koji su već postavljeni trebali bi ostati nepromijenjeni.
Dodatne informacije o konfiguriranju dSHeuristics znakova potražite u sljedećim dokumentima:
Dodatne informacije
Što je naziv upravitelja servisa?
Naziv upravitelja servisa (SPN) jedinstveni je identifikator za instancu servisa. Kerberos provjera autentičnosti koristi SPN-ove za povezivanje instance servisa s računom za prijavu servisa. To klijentskoj aplikaciji omogućuje da zatraži provjeru autentičnosti računa čak i ako klijent nema naziv računa. Dodatne informacije potražite u članku Nazivi upravitelja servisa.
Što je glavno ime korisnika?
Korisničko glavno ime (UPN) ime je za prijavu u stilu e-pošte za korisnika na temelju internetskog standardnog RFC 822. Dodatne informacije potražite u članku Atribut User-Principal-Name.
Najčešća pitanja
P1 Što ako moram registrirati duplicirani SPN pseudonim glavnog računala za račun?
A1 Registrirajte obavezni SPN kao administrator za Active Directory Enterprise.
Q2 Što se događa ako isključim jedinstvenost SPN-a ili UPN-a?
A2 To ne preporučujemo. Ako SPN-ovi nisu jedinstveni, to je kao da svi SPN-ovi koji su duplikati nisu registrirani. Registriranje dupliciranog SPN-a ima isti učinak kao poništavanje registracije izvornog. Ako UPN-ovi nisu jedinstveni, korisnička pretraživanja pomoću dupliciranih UPN-ova neće uspjeti.
Q3 Što se događa ako isključim jedinstvenost SPN pseudonima?
A3 To ne preporučujemo. SPN koji nije administrator može promijeniti razlučivost postojećeg pseudonima iz trenutne razlučivosti na računalo pod kontrolom koje nije administrator. To računalo može funkcionirati kao taj servis jer bi provjera autentičnosti poslužitelja koju pruža Kerberos prihvatila novi račun kao odgovarajuće glavno računalo za servis umjesto izvornog računa s HOST SPN-om.
P4 Kako administrator domene može pronaći duplicirane SPN-ove ili UPN-ove koji već postoje na mreži?
A4 To nije praktično bez pisanja opsežnog skripta za enumeraciju svih SPN-ova i UPN-ova iz domene i povezivanje s pronalaženjem duplikata.
Q5 Što se događa ako imam mješavinu domenskog kontrolera koji se ažuriraju i ne ažuriraju ili ne podudaraju između domenskog kontrolera?
A5 Replikacija se neće blokirati zbog dupliciranih UPN-ova ili SPN-ova. Stoga duplikati mogu replicirati na druge kontrolore domene ako su duplicirani UPN-ovi ili SPN-ovi stvoreni na domenski kontroler koji nema ažuriranje.
