Összefoglalás
A CVE-2021-42278 egy biztonsági megkerülő biztonsági rést használ, amely lehetővé teszi a lehetséges támadóknak, hogy megszemélyesülnek egy tartományvezérlőt sAMAccountName-hamisítást használva.
Ez a cikk további részleteket és egy gyakori kérdéseket tartalmazó szakaszt tartalmaz az Active Directory biztonsági fiókok kezelőjéhez (SAM) az Windows 2021. november 9-én és újabb, a CVE-2021-42278-bandokumentált frissítések által végrehajtott merevlemez-módosításokhoz.
Active Directory-érvényesítési vizsgálatok
A CVE-2021-42278telepítése után az Active Directory elvégzi az alább felsorolt érvényesítési vizsgálatot az sAMAccountName és a UserAccountControl attribútumban a számítógépfiókok olyan felhasználói által létrehozott vagy módosított attribútumai esetében, akik nem rendelkezik rendszergazdai jogosultsággal a számítógépfiókok esetében.
-
sAMAccountType-ellenőrzés felhasználói és számítógépes fiókok esetén
-
Az ObjectClass=Computer (vagy a számítógép alosztálya) fiókoknak UserAccountControl jelzővel kell UF_WORKSTATION_TRUST_ACCOUNT vagy UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=A felhasználónak UAC-jelölővel kell UF_NORMAL_ACCOUNT vagy UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
sAMAccountName-ellenőrzés számítógépfiókok esetén
Egy olyan számítógépfiók sAMAccountName értéke, amelynek UserAccountControl attribútuma tartalmazza a UF_WORKSTATION_TRUST_ACCOUNT jelölőt, egy dollárjelre ($) kell végződnie. Ha ezek a feltételek nem teljesülnek, az Active Directory a hibakódot adja 0x523 ERROR_INVALID_ACCOUNTNAME. A sikertelen érvényesítéseket a rendszer a Címtár-szolgáltatások-SAM esemény 16991-es azonosítójával naplózza a rendszer eseménynaplójában.
Ha ezek a feltételek nem teljesülnek, az Active Directory hibakódot ad ACCESS_DENIED. A sikertelen érvényesítéseket a rendszer a Címtár-szolgáltatások-SAM esemény 16990-es azonosítójával naplózza a rendszer eseménynaplójában.
Naplózási események
Objektumosztály és UserAccountControl-ellenőrzés sikertelen
Ha az Objektumosztály és a UserAccountControl érvényesítése meghiúsul, a rendszer a következő eseményt naplózza a rendszernaplóban:
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Eseményforrás |
Directory-Services-SAM |
Eseményazonosító |
16990 |
Esemény szövege |
A biztonsági fiókkezelő letiltotta, hogy egy nem rendszergazda hozzon létre egy Active Directory-fiókot ebben a tartományban, amely nem egyező objektumosztályt és userAccountControl típusú jelölőket ad meg. Részletek: Fióknév: %1%n Account objectClass: %2%n userAccountControl: %3%n Hívó címe: %4%n Hívó sid: %5%n%n |
SAM-fióknév-ellenőrzés sikertelen
Ha az SAM-fióknév érvényesítése meghiúsul, a rendszer a következő eseményt naplózza a rendszernaplóban:
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Eseményforrás |
Directory-Services-SAM |
Eseményazonosító |
16991 |
Esemény szövege |
A biztonsági fiókkezelő letiltotta egy nem rendszergazda számára, hogy érvénytelen sAMAccountName használatával hozzon létre vagy hozzon létre egy számítógépes fiókot. A számítógépes sAMAccountName-fióknak egy $ jelre kell végződnie. Attempted sAMAccountName: %1 Ajánlott sAMAccountName: %1$ |
Sikeres számítógépfiók-létrehozási naplózási események
A számítógépfiókok sikeres létrehozásához az alábbi naplóesemények érhetők el:
-
4741(S): Létrejött egy számítógépfiók
-
4742(S): Számítógépfiók megváltozott
-
4743(S): A számítógépfiók törölve lett
További információ: Számítógépfiókok kezelése naplózása.
Gyakori kérdések
1. negyedév Milyen hatással van ez a frissítés az Active Directory meglévő objektumaira?
A1. Meglévő objektumok esetén az érvényesítés akkor történik meg, ha a rendszergazdai jogosultsággal nem rendelkező felhasználók módosítják az sAMAccountName vagy a UserAccountControl attribútumot.
2. negyedév Mi az a sAMAccountName?
A2. Az sAMAccountName az Active Directory összes rendszerbiztonsági tagjának egyedi attribútuma, amely felhasználókat, csoportokat és számítógépeket is tartalmaz. Az sAMAccountName névkorlátozásai a 3.1.1.6-osattribútumkorlátok az eredeti frissítésekben vannak dokumentálva.
3. negyedév Mi az a sAMAccountType?
A3. További információért olvassa el az alábbi dokumentumokat:
Három lehetséges sAMAccountType érték tartozik, amelyek négy lehetséges UserAccountcontrol-jelölőnek felelnek meg az alábbiak szerint:
userAccountControl |
sAMAccountType |
---|---|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
4. negyedév Melyek a UserAccountControl lehetséges értékei?
A4. További információért olvassa el az alábbi dokumentumokat:
5. negyedév Hogyan találhatom meg a környezetemből már meglévő nem kompatibilis objektumokat?
A5. A rendszergazdák egy PowerShell-parancsprogramot használva kereshetnek a címtárban meglévő nem kompatibilis fiókok között, az alábbi példákhoz hasonló módon.
Nem kompatibilis sAMAccountNameszámítógépfiókokat keresve:
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Nem kompatibilis UserAccountControl sAMAccountType-fiókkal rendelkező számítógépfiókok megkereséhez:
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |