Sažetak
Windows ažuriranja za CVE-2021-42282 objavljena 9. studenog 2021. dodaju sljedeće provjere za atribute u servisu Active Directory (AD):
-
Jedinstvenost korisničkog imena (UPN) i glavnog naziva servisa (SPN) (novo u sustavu Windows 8, Windows Server 2012 i starijim izdanjima)
-
Jedinstvenost SPN pseudonima (novost u svim Windows verzijama)
Jedinstvenost korisničkog imena i glavnog naziva servisa
Ta značajka jamči da su SPN-ovi jedinstveni u šumama, što sprječava računala i kontrolere domena da dodaju duplicirane SPN-ove. Ta funkcija već postoji u Windows 8.1 i iznad, a opisana je u SPN i UPN jedinstvenosti.
Jedinstvenost SPN pseudonima
Postojeći atribut AD definira pseudonime za mnoge uobičajene klase servisa u ekvivalentnu SPN-u hosta za servise kao što su CIFS, HTTP i RPC. Atribut AD definiran je kao popis u kontekstu imenovanja konfiguracije šume servisa Active Directory. Korisnik koji nema administratorska prava možda neće ponovno dodijeliti SPN koji je implicitno dodijeljen drugom računu pomoću tog pseudonima.
Napomena Ta se provjera implementira uz provjeru upn i SPN jedinstvenosti.
Provjere jedinstvenosti pseudonima za SPN po zadanom su uključene. Te provjere možete isključiti izmjenom 21. znaka atributa dSHeuristics , koji se tumači kao niz znakova. Atribut dSHeuristics po zadanom ne postoji, ali ga možete dodati pod istaknutim imenom "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Moguće postavke i njihove odgovarajuće vrijednosti bitova su sljedeće:
-
Vrijednost 0 – znači Nametanje svih (bez skupa bitova 000) Zadano
-
Vrijednost 1 – znači Onemogući provjeru upn jedinstvenosti (bit 0 set - 001)
-
Vrijednost 2 – znači Onemogućivanje provjere jedinstvenosti SPN-a (skup bitova 1 – 010)
-
Vrijednost 3 – znači Onemogućivanje upn jedinstvenosti i provjere jedinstvenosti SPN-a. (skup bita 0 i 1 – 011)
-
Vrijednost 4 – znači onemogućivanje provjere jedinstvenosti SPN pseudonima (skup bitova 2 – 100)
-
Vrijednost 5 – znači Onemogućivanje provjere jedinstvenosti SPN pseudonima i UPN-a (bit 2 i bit 0 set - 101)
-
Vrijednost 6 – znači Onemogućivanje SPN pseudonima i jedinstvenosti SPN-a (bit 2 i bit 1 set - 110)
-
Vrijednost 7 – znači Onemogući sve (svi bitovi postavljeni 111)
Primjer: Ako u šumama niste omogućili druge dSHeuristics postavke i želite samo onemogućiti provjeru jedinstvenosti SPN pseudonima, atribut dSHeuristics trebao bi biti postavljen na: "000000000100000000024"
Znakovi postavljeni u ovom slučaju su:
Deseti znak : mora biti postavljen na 1 ako je atribut dSHeuristics najmanje 10 znakova
20. znak: mora biti postavljen na 2 ako je atribut dSHeuristics najmanje 20 znakova
21. znak: Mora se postaviti na vrijednost na prethodnom popisu; Vrijednost 4 znači Onemogućivanje jedinstvene SPN pseudonima.
Napomena Ako je atribut dSHeuristics već postavljen, provjerite jesu li postojeće postavke spojene u novi niz atributa dSHeuristics i provjerite jesu li 10., 20. i 21. znakovi postavljeni kao gore. Ostali znakovi koji su već postavljeni moraju ostati nepromijenjeni.
Dodatne informacije o konfiguriranju dSHeuristics znakova potražite u sljedećim dokumentima:
Dodatne informacije
Što je glavni naziv servisa?
Glavni naziv servisa (SPN) jedinstveni je identifikator za instancu servisa. Provjera autentičnosti u kerberosu koristi SPN-ove za povezivanje instance servisa s računom za prijavu servisa. Na taj način klijentska aplikacija može zatražiti da servis provjeri autentičnost računa čak i ako klijent nema naziv računa. Dodatne informacije potražite u članku Nazivi glavnih servisa.
Što je korisničko glavno ime?
Korisničko glavno ime (UPN) ime je za prijavu u stilu e-pošte za korisnika na temelju internetskog standardnog RFC 822. Dodatne informacije potražite u članku Atribut User-Principal-Name.
Najčešća pitanja
P1 Što ako moram registrirati duplicirani SPN pseudonim hosta za račun?
A1 Registrirajte obavezni SPN kao administrator.
P2 Što se događa ako isključim jedinstvenost SPN-a ili UPN-a?
A2 To ne preporučujemo. Ako SPN-ovi nisu jedinstveni, to je kao da svi SPN-ovi koji su duplikati uopće nisu registrirani. Registriranje duplikata SPN-a ima isti učinak kao i poništavanje registracije izvornog. Ako UPN-ovi nisu jedinstveni, korisnička pretraživanja pomoću dupliciranih UPN-ova neće uspjeti.
P3 Što se događa ako isključim jedinstvenost SPN pseudonima?
A3 To ne preporučujemo. Ne administrator može promijeniti razlučivost postojećeg pseudonima SPN-a iz trenutne razlučivosti na računalo pod kontrolom koje nije administrator. To računalo može djelovati kao taj servis jer bi provjera autentičnosti poslužitelja koju nudi Kerberos prihvatio novi račun kao odgovarajuće glavno računalo za servis umjesto izvornog računa s SPN-om glavnog računala.
Q4 Kako administrator domene može pronaći duplicirane SPN-ove ili UPN-ove koji su već prisutni na mreži?
A4 To nije praktično bez pisanja opsežnog skripta radi numeriranja svih SPN-ova i UPN-ova iz domene i korelacije za pronalaženje duplikata.
Q5 Što se događa ako imam mješavinu domenskih kontrolera koji se ažuriraju i ne ažuriraju ili neusklađene postavke između kontrolera domena?
A5 Replikacija neće biti blokirana zbog dupliciranih UPN-ova ili SPN-ova. Duplikati se stoga mogu replicirati na druge kontrolere domena ako se duplicirani UPN-ovi ili SPN-ovi stvaraju na kontroleru domene koji nema ažuriranje.
