Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Sažetak

Zaštite za CVE-2022-21920 obuhvaćene su ažuriranjima za 11. siječnja 2022. Windows i novijim Windows ažuriranja. Ta ažuriranja sadrže poboljšanu logiku za otkrivanje napada na stariju vrijednost za 3-stupne nazive glavnih servisa prilikom korištenja protokola za provjeru autentičnosti za Microsoft Negotiate.

Ovaj članak sadrži smjernice kada provjera autentičnosti kerberosom nije uspjela.

Dodatne informacije

Instaliranje ažuriranja sustava Windows 11. siječnja 2022. i novijih ažuriranja sustava Windows može uzrokovati neuspjeh provjere autentičnosti za 3-4-4-4-4 SPN-ove u kojima provjera autentičnosti Kerberos nije uspješna. U tim je okruženjima vjerojatno da provjera autentičnosti kerberosom za 3-dio spn-ove ne funkcionira neko vrijeme. Možda ćete vidjeti sljedeći događaj na Windows klijentskim sustavima da biste pomogli u trijaži.

Lsa Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment.

Lsa Event 40970 Text version

Događaj 40970

Sigurnosni sustav otkrio je pokušaj pada na stariju 3-dio sPN-om

<SPN name>

s kodom pogreške "SAM baza podataka na poslužitelju Windows nema račun računala za odnos pouzdanosti radne stanice (0x0000018b)" Odbijena je provjera autentičnosti.

Akcija

Microsoft preporučuje da u trijaži ukažete zašto kerberos provjera autentičnosti za trosmjesni SPN nije uspjela. Neki uobičajeni razlozi za neuspjeh provjere autentičnosti u kerberosu obuhvaćaju sljedeće: 

  • SPN koji se koristi kao cilj provjere autentičnosti nije oblikovan. Dodatne informacije potražite u članku Oblici naziva za jedinstvene SPN-ove.

    Napomena: Aplikacije i API-je mogu imati strože ili različite definicije za ono što predstavlja legitiman SPN za njihovu uslugu.

    Primjeri legitimnog SPN-a

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Servis/stroj1:10100 


    Primjeri možda pogrešno oblikovanih SPN-ova

    SPN 

    Razlog 

    Glavno računalo/računalo1 

    Glavno računalo/glavno računalo najvjerojatnije je pogreška jer je "domaćin" obično klasa usluge, a ne naziv računala. Moguće je da je legitimni SPN glavno računalo/računalo1. 

    Ldap/machine/contoso.com:10100 

    Priključci se mogu navesti u nazivu glavnog računala ("stroj"), a ne na nazivu instance servisa. Moguće je da je legitimni SPN "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Određeni API-je očekuje DNS naziv umjesto FQDN-a. Primjerice, funkcija DsBindA (ntdsapi.h) očekuje da će biti proslijeđena u DNS nazivu. Ako je FQDN proslijeđen, može rezultirati pogrešno oblikovanim SPN-om.  
    Legitimni SPN može biti "ldap/dc-a/contoso.com"

    Da biste riješili te probleme, razmislite o korištenju ispravnog SPN-a ili registriranju pogrešno oblikovanog SPN-a na odgovarajući račun servisa.

  • SPN koji se koristi kao cilj provjere autentičnosti ne postoji. Da biste ispravili taj problem, razmislite o registraciji SPN-a na odgovarajući račun servisa.

  • Klijentsko Windows nema kontroler kontrolera domene (kao što su DC-ovi su izvanmrežni, nije moguće pronaći u DNS-u ili je blokiran pristup KDC priključku).

  • Možda koristite NetBIOS nazive u scenariju u kojem netBIOS nazivi ne funkcioniraju. Primjer je pristup resursima domene s računala koje nije pridruženo domeni, a razlučivost naziva servisa NetBIOS onemogućena je ili ne funkcionira.

    Microsoft preporučuje korištenje korisničkog imena (UPN-a) ili DNS-a (Domain Name System) umjesto naziva netBIOS-a.

Registracija SPN-ova 

Ovisno o konfiguraciji aplikacije i okruženja, SPN-ovi mogu biti konfigurirani na atributu Naziv upravitelja servisa računa servisa ili računa računala koji se nalazi u domeni servisa Active Directory s kojim klijent Kerberos pokušava uspostaviti vezu s Kerberosom. Da bi kerberos provjera autentičnosti ispravno funkcionirala, ciljni SPN mora biti valjan.

Proučite dokumentaciju o implementaciji ili davatelja podrške za svaku konkretnu aplikaciju da biste provjerili kako omogućiti provjeru autentičnosti tvrtke Kerberos. Neki instalacijski programi aplikacija ili aplikacije automatski registriraju SPN-ove. Razvojni inženjeri i administratori mogu registrirati SPN:

  • Da biste ručno registrirali SPN-ove za instancu servisa, pogledajte Setspn.

  • Da biste programski registrirali SPN-ove za instancu servisa, pogledajte kako servis registrira svoje SPN-ove s opisom:

    • Nazovite funkciju DsGetSpn da biste stvorili jedan ili više jedinstvenih SPN-ova za instancu servisa. Dodatne informacije potražite u članku Oblici naziva za jedinstvene SPN-ove.

    • Nazovite funkciju DsWriteAccountSpn da biste registrirali imena na računu za prijavu servisa.

Poznati problemi

Trenutno nema poznatih problema s ovim ažuriranjem.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×