Primjenjuje se na
Windows Server 2008 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10, version 1607, all editions Windows 10, version 1809, all editions Windows Server 2016 Windows 10, version 1909, all editions Windows Server 2019 Windows 10, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 Windows Server 2022

Sažetak

Zaštite za CVE-2022-21920 obuhvaćene su ažuriranjima za 11. siječnja 2022. Windows i novijim Windows ažuriranja. Ta ažuriranja sadrže poboljšanu logiku za otkrivanje napada na stariju vrijednost za 3-stupne nazive glavnih servisa prilikom korištenja protokola za provjeru autentičnosti za Microsoft Negotiate.

Ovaj članak sadrži smjernice kada provjera autentičnosti kerberosom nije uspjela.

Dodatne informacije

Instaliranje ažuriranja sustava Windows 11. siječnja 2022. i novijih ažuriranja sustava Windows može uzrokovati neuspjeh provjere autentičnosti za 3-4-4-4-4 SPN-ove u kojima provjera autentičnosti Kerberos nije uspješna. U tim je okruženjima vjerojatno da provjera autentičnosti kerberosom za 3-dio spn-ove ne funkcionira neko vrijeme. Možda ćete vidjeti sljedeći događaj na Windows klijentskim sustavima da biste pomogli u trijaži.

Lsa Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment.

Lsa Event 40970 Text version

Događaj 40970

Sigurnosni sustav otkrio je pokušaj pada na stariju 3-dio sPN-om

<SPN name>

s kodom pogreške "SAM baza podataka na poslužitelju Windows nema račun računala za odnos pouzdanosti radne stanice (0x0000018b)" Odbijena je provjera autentičnosti.

Akcija

Microsoft preporučuje da u trijaži ukažete zašto kerberos provjera autentičnosti za trosmjesni SPN nije uspjela. Neki uobičajeni razlozi za neuspjeh provjere autentičnosti u kerberosu obuhvaćaju sljedeće: 

  • SPN koji se koristi kao cilj provjere autentičnosti nije oblikovan. Dodatne informacije potražite u članku Oblici naziva za jedinstvene SPN-ove.

    Napomena: Aplikacije i API-je mogu imati strože ili različite definicije za ono što predstavlja legitiman SPN za njihovu uslugu.

    Primjeri legitimnog SPN-a

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Servis/stroj1:10100 

    Primjeri možda pogrešno oblikovanih SPN-ova

    SPN 

    Razlog 

    Glavno računalo/računalo1 

    Glavno računalo/glavno računalo najvjerojatnije je pogreška jer je "domaćin" obično klasa usluge, a ne naziv računala. Moguće je da je legitimni SPN glavno računalo/računalo1. 

    Ldap/machine/contoso.com:10100 

    Priključci se mogu navesti u nazivu glavnog računala ("stroj"), a ne na nazivu instance servisa. Moguće je da je legitimni SPN "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Određeni API-je očekuje DNS naziv umjesto FQDN-a. Primjerice, funkcija DsBindA (ntdsapi.h) očekuje da će biti proslijeđena u DNS nazivu. Ako je FQDN proslijeđen, može rezultirati pogrešno oblikovanim SPN-om.  Legitimni SPN može biti "ldap/dc-a/contoso.com"

    Da biste riješili te probleme, razmislite o korištenju ispravnog SPN-a ili registriranju pogrešno oblikovanog SPN-a na odgovarajući račun servisa.

  • SPN koji se koristi kao cilj provjere autentičnosti ne postoji. Da biste ispravili taj problem, razmislite o registraciji SPN-a na odgovarajući račun servisa.

  • Klijentsko Windows nema kontroler kontrolera domene (kao što su DC-ovi su izvanmrežni, nije moguće pronaći u DNS-u ili je blokiran pristup KDC priključku).

  • Možda koristite NetBIOS nazive u scenariju u kojem netBIOS nazivi ne funkcioniraju. Primjer je pristup resursima domene s računala koje nije pridruženo domeni, a razlučivost naziva servisa NetBIOS onemogućena je ili ne funkcionira.Microsoft preporučuje korištenje korisničkog imena (UPN-a) ili DNS-a (Domain Name System) umjesto naziva netBIOS-a.

Registracija SPN-ova 

Ovisno o konfiguraciji aplikacije i okruženja, SPN-ovi mogu biti konfigurirani na atributu Naziv upravitelja servisa računa servisa ili računa računala koji se nalazi u domeni servisa Active Directory s kojim klijent Kerberos pokušava uspostaviti vezu s Kerberosom. Da bi kerberos provjera autentičnosti ispravno funkcionirala, ciljni SPN mora biti valjan.

Proučite dokumentaciju o implementaciji ili davatelja podrške za svaku konkretnu aplikaciju da biste provjerili kako omogućiti provjeru autentičnosti tvrtke Kerberos. Neki instalacijski programi aplikacija ili aplikacije automatski registriraju SPN-ove. Razvojni inženjeri i administratori mogu registrirati SPN:

  • Da biste ručno registrirali SPN-ove za instancu servisa, pogledajte Setspn.

  • Da biste programski registrirali SPN-ove za instancu servisa, pogledajte kako servis registrira svoje SPN-ove s opisom:

    • Nazovite funkciju DsGetSpn da biste stvorili jedan ili više jedinstvenih SPN-ova za instancu servisa. Dodatne informacije potražite u članku Oblici naziva za jedinstvene SPN-ove.

    • Nazovite funkciju DsWriteAccountSpn da biste registrirali imena na računu za prijavu servisa.

Poznati problemi

Trenutno nema poznatih problema s ovim ažuriranjem.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost