|
Dátum módosítása |
Leírás módosítása |
|
2026. február 3., csütörtök |
|
Összefoglalás
A 2021. november 9-én kiadott CVE-2021-42282 windowsos frissítéseivel az Active Directory (AD) attribútumaihoz a következő ellenőrzések adhatók hozzá:
-
Egyszerű felhasználónév (UPN) és egyszerű szolgáltatásnév (SPN) egyedisége (a Windows 8, a Windows Server 2012 és a korábbi kiadásokban újdonság)
-
SPN-alias egyedisége (minden Windows-verzióban új)
Egyszerű felhasználónév és szolgáltatásnév egyedisége
Ez a szolgáltatás garantálja, hogy az egyszerű szolgáltatásnevek egyediek egy erdőben, ami megakadályozza, hogy a számítógépek és a tartományvezérlők duplikált egyszerű szolgáltatásneveket adjanak hozzá. Ez a funkció már létezik a Windows 8.1-ben és a fenti verziókban, és az EGYSZERŰ SZOLGÁLTATÁSNÉV és az EGYSZERŰ FELHASZNÁLÓNÉV egyediségében szerepel.
SPN-alias egyedisége
A meglévő AD-attribútumok számos gyakori szolgáltatásosztály aliasait definiálják az egyenértékű HOST SPN-hez az olyan szolgáltatások esetében, mint a CIFS, a HTTP és az RPC. Az AD-attribútum listaként van definiálva az Active Directory-erdő konfigurációs elnevezési környezetében. Ha egy felhasználó nem rendelkezik rendszergazdai jogosultságokkal, előfordulhat, hogy nem rendel hozzá újra egy olyan egyszerű szolgáltatásnevet, amely implicit módon van hozzárendelve egy másik fiókhoz ezzel az aliasszal.
Megjegyzés Ez az ellenőrzés az egyszerű felhasználónév és az egyszerű szolgáltatásnév egyediségének ellenőrzése mellett valósul meg.
Az SPN-alias egyediségének ellenőrzései alapértelmezés szerint be vannak kapcsolva. Ezeket az ellenőrzéseket kikapcsolhatja a dSHeuristics attribútum 21st karakterének módosításával, amelyet a rendszer karaktersorozatként értelmez. A dSHeuristics attribútum alapértelmezés szerint nem létezik, de hozzáadhatja a "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" megkülönböztető név alatt. A lehetséges beállítások és a hozzájuk tartozó bitértékek a következők:
-
0 érték – az összes kényszerítése (nincs beállítva bit 000) Alapértelmezett
-
1. érték – az UPN egyediségének ellenőrzésének letiltását jelenti (bit 0 készlet – 001)
-
2. érték – az SPN egyediségének ellenőrzésének letiltását jelenti (1. bitkészlet – 010)
-
3. érték – az UPN-egyediség és az egyszerű szolgáltatásnév egyediségének ellenőrzésének letiltását jelenti. (bit 0 és 1 készlet - 011)
-
4. érték – azt jelenti, hogy tiltsa le az SPN-alias egyediségének ellenőrzését (bit 2 készlet – 100)
-
5. érték – azt jelenti, hogy tiltsa le az SPN-aliast és az UPN-egyediség-ellenőrzést (2. bit és 0. bit megadva – 101)
-
6- érték: Az SPN-alias és az SPN egyediségének letiltása (2. bit és 1. bitkészlet – 110)
-
7-es érték – azt jelenti, hogy az összes letiltása (az összes bit beállítása 111)
Példa: Ha az erdőben nincs más dSHeuristics beállítás engedélyezve, és csak az SPN-alias egyediségének ellenőrzését szeretné letiltani, a dSHeuristics attribútumnak a következőre kell állítania: "000000000100000000024" Az ebben az esetben beállított karakterek a következők: 10. karakter: 1 értékre kell állítani, ha a dSHeuristics attribútum legalább 10 karakterből áll 20. karakter: 2-re kell állítani, ha a dSHeuristics attribútum legalább 20 karakter 21st karakter: A fenti listában egy értékre kell állítani; A 4 érték az SPN-alias egyediségének letiltását jelenti.
Megjegyzés Ha a dSHeuristics attribútum már be van állítva, mindenképpen egyesítse a meglévő beállításokat az új dSHeuristics attribútumsztringgel, és győződjön meg arról, hogy a 10., 20. és 21. karakter a fenti módon van beállítva. A többi már beállított karakternek változatlannak kell maradnia.
A dSHeuristics karakterek konfigurálásával kapcsolatos további információkért tekintse meg az alábbi dokumentumokat:
További információ
Mi az egyszerű szolgáltatásnév?
A szolgáltatásnév (SPN) egy szolgáltatáspéldány egyedi azonosítója. A Kerberos-hitelesítés egyszerű szolgáltatásnevekkel társít egy szolgáltatáspéldányt egy szolgáltatás bejelentkezési fiókjához. Ez lehetővé teszi az ügyfélalkalmazás számára, hogy akkor is kérje a fiók hitelesítését, ha az ügyfél nem rendelkezik a fiók nevével. További részletekért lásd: Egyszerű szolgáltatásnevek .
Mi az egyszerű felhasználónév?
Az egyszerű felhasználónév (UPN) egy felhasználó e-mail stílusú bejelentkezési neve, amely az RFC 822 internetes szabványon alapul. További részletekért tekintse meg a User-Principal-Name attribútumot.
Gyakori kérdések
1. kérdés : Mi a teendő, ha duplikált HOST alias SPN-t kell regisztrálnom a fiókhoz?
A1 Regisztrálja a szükséges egyszerű szolgáltatásneveket Active Directory vállalati rendszergazdaként.
2. kérdés Mi történik, ha kikapcsolom az SPN-t vagy az UPN egyediségét?
A2 Ezt nem javasoljuk. Ha az egyszerű szolgáltatásnevek nem egyediek, akkor úgy tűnik, hogy az ismétlődő SPN-ek egyáltalán nincsenek regisztrálva. A duplikált egyszerű szolgáltatásnév regisztrálása ugyanazzal a hatással jár, mint az eredeti egyszerű szolgáltatásnév regisztrációjának törlése. Ha az egyszerű felhasználónevek nem egyediek, az ismétlődő UPN-eket használó felhasználói keresések sikertelenek lesznek.
3. kérdés Mi történik, ha kikapcsolom az SPN-aliasok egyediségét?
A3 Ezt nem javasoljuk. Egy nem rendszergazda módosíthatja egy meglévő alias SPN feloldását a jelenlegi megoldásról egy olyan számítógépre, amely a nem rendszergazda felügyelete alatt áll. Ez a számítógép azért működhet szolgáltatásként, mert a Kerberos által biztosított kiszolgálóhitelesítés az új fiókot fogadja el a szolgáltatás megfelelő gazdagépeként a HOST SPN-nel rendelkező eredeti fiók helyett.
4. kérdés: Hogyan találhatják meg a tartományi rendszergazdák a hálózaton már meglévő duplikált egyszerű szolgáltatásneveket vagy egyszerű szolgáltatásneveket?
A4 Ez nem praktikus anélkül, hogy átfogó szkriptelést írunk a tartomány összes egyszerű szolgáltatásnevének és egyszerű szolgáltatásnevének számbavételéhez, valamint az ismétlődések kereséséhez.
5. kérdés: Mi történik, ha a tartományvezérlők között frissített és nem frissített vagy eltérő beállításokat tartalmazó tartományvezérlők vannak?
A5 A replikáció nem lesz blokkolva duplikált egyszerű felhasználónév vagy egyszerű szolgáltatásnév miatt. Ezért az ismétlődések replikálhatók más tartományvezérlőkre, ha a duplikált UPN-eket vagy egyszerű szolgáltatásneveket olyan tartományvezérlőn hozzák létre, amely nem rendelkezik a frissítéssel.
