Sažetak
Zaštite za CVE-2022-21920 obuhvaćene su ažuriranjima za 11. siječnja 2022. Windows i novijim Windows ažuriranja. Ta ažuriranja sadrže poboljšanu logiku za otkrivanje napada na stariju vrijednost za 3-stupne nazive glavnih servisa prilikom korištenja protokola za provjeru autentičnosti za Microsoft Negotiate.
Ovaj članak sadrži smjernice kada provjera autentičnosti kerberosom nije uspjela.
Dodatne informacije
Instaliranje ažuriranja sustava Windows 11. siječnja 2022. i novijih ažuriranja sustava Windows može uzrokovati neuspjeh provjere autentičnosti za 3-4-4-4-4 SPN-ove u kojima provjera autentičnosti Kerberos nije uspješna. U tim je okruženjima vjerojatno da provjera autentičnosti kerberosom za 3-dio spn-ove ne funkcionira neko vrijeme. Možda ćete vidjeti sljedeći događaj na Windows klijentskim sustavima da biste pomogli u trijaži.
Lsa Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment. |
Lsa Event 40970 Text version |
|
Sigurnosni sustav otkrio je pokušaj pada na stariju 3-dio sPN-om <SPN name> s kodom pogreške "SAM baza podataka na poslužitelju Windows nema račun računala za odnos pouzdanosti radne stanice (0x0000018b)" Odbijena je provjera autentičnosti. |
Akcija
Microsoft preporučuje da u trijaži ukažete zašto kerberos provjera autentičnosti za trosmjesni SPN nije uspjela. Neki uobičajeni razlozi za neuspjeh provjere autentičnosti u kerberosu obuhvaćaju sljedeće:
-
SPN koji se koristi kao cilj provjere autentičnosti nije oblikovan. Dodatne informacije potražite u članku Oblici naziva za jedinstvene SPN-ove.
Napomena: Aplikacije i API-je mogu imati strože ili različite definicije za ono što predstavlja legitiman SPN za njihovu uslugu.
Primjeri legitimnog SPN-a
http/webserver
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Servis/stroj1:10100
Primjeri možda pogrešno oblikovanih SPN-ovaSPN
Razlog
Glavno računalo/računalo1
Glavno računalo/glavno računalo najvjerojatnije je pogreška jer je "domaćin" obično klasa usluge, a ne naziv računala. Moguće je da je legitimni SPN glavno računalo/računalo1.
Ldap/machine/contoso.com:10100
Priključci se mogu navesti u nazivu glavnog računala ("stroj"), a ne na nazivu instance servisa. Moguće je da je legitimni SPN "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Određeni API-je očekuje DNS naziv umjesto FQDN-a. Primjerice, funkcija DsBindA (ntdsapi.h) očekuje da će biti proslijeđena u DNS nazivu. Ako je FQDN proslijeđen, može rezultirati pogrešno oblikovanim SPN-om.
Legitimni SPN može biti "ldap/dc-a/contoso.com"Da biste riješili te probleme, razmislite o korištenju ispravnog SPN-a ili registriranju pogrešno oblikovanog SPN-a na odgovarajući račun servisa.
-
SPN koji se koristi kao cilj provjere autentičnosti ne postoji. Da biste ispravili taj problem, razmislite o registraciji SPN-a na odgovarajući račun servisa.
-
Klijentsko Windows nema kontroler kontrolera domene (kao što su DC-ovi su izvanmrežni, nije moguće pronaći u DNS-u ili je blokiran pristup KDC priključku).
-
Možda koristite NetBIOS nazive u scenariju u kojem netBIOS nazivi ne funkcioniraju. Primjer je pristup resursima domene s računala koje nije pridruženo domeni, a razlučivost naziva servisa NetBIOS onemogućena je ili ne funkcionira.
Microsoft preporučuje korištenje korisničkog imena (UPN-a) ili DNS-a (Domain Name System) umjesto naziva netBIOS-a.
Registracija SPN-ova
Ovisno o konfiguraciji aplikacije i okruženja, SPN-ovi mogu biti konfigurirani na atributu Naziv upravitelja servisa računa servisa ili računa računala koji se nalazi u domeni servisa Active Directory s kojim klijent Kerberos pokušava uspostaviti vezu s Kerberosom. Da bi kerberos provjera autentičnosti ispravno funkcionirala, ciljni SPN mora biti valjan.
Proučite dokumentaciju o implementaciji ili davatelja podrške za svaku konkretnu aplikaciju da biste provjerili kako omogućiti provjeru autentičnosti tvrtke Kerberos. Neki instalacijski programi aplikacija ili aplikacije automatski registriraju SPN-ove. Razvojni inženjeri i administratori mogu registrirati SPN:
-
Da biste ručno registrirali SPN-ove za instancu servisa, pogledajte Setspn.
-
Da biste programski registrirali SPN-ove za instancu servisa, pogledajte kako servis registrira svoje SPN-ove s opisom:
-
Nazovite funkciju DsGetSpn da biste stvorili jedan ili više jedinstvenih SPN-ova za instancu servisa. Dodatne informacije potražite u članku Oblici naziva za jedinstvene SPN-ove.
-
Nazovite funkciju DsWriteAccountSpn da biste registrirali imena na računu za prijavu servisa.
-
Poznati problemi
Trenutno nema poznatih problema s ovim ažuriranjem.