Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

Összefoglalás

Windows 2021. november 9-én kiadott CVE-2021-42282-frissítések az alábbi hitelesítéseket adjuk hozzá az Active Directoryban (AD) lévő attribútumok esetén:

  • Egyszerű felhasználónév (UPN) és egyszerű szolgáltatásnév (SPN) egyedisége (újak a Windows 8, a Windows Server 2012 és a korábbi kiadásokban) 

  • SPN-alias egyedisége (új az összes Windows verzióban) 

Egyszerű felhasználónév és egyszerű szolgáltatásnév egyedisége

Ez a funkció garantálja, hogy az SPN-ek egyediek egy erdőben, ami megakadályozza, hogy a számítógépek és a tartományvezérlők ismétlődő SPN-eket adjanak hozzá. Ez a funkció már létezik a Windows 8.1-es és a fenti, és az SPN és az UPN egyedisége ismerteti.

SPN-alias egyedisége

A meglévő AD-attribútumok számos gyakori szolgáltatásosztályhoz definiálnak aliasokat a CIFS, HTTP és RPC szolgáltatások megfelelő HOST SPN-jével. Az AD attribútumot listának nevezzük az Active Directory-erdő konfigurációelnevezési környezetében. Előfordulhat, hogy a rendszergazdai jogosultságokkal nem rendelkező felhasználók nem rendelnek hozzá olyan SPN-t, amely implicit módon van hozzárendelve egy másik fiókhoz ezzel az aliasozással.

Megjegyzés: Ezt az ellenőrzést az UPN és a SPN egyediségét ellenőrző ellenőrzés mellett hajtják végre.

Az SPN-alias egyediség-ellenőrzései alapértelmezés szerint be vannak kapcsolva. Ezeket az ellenőrzést úgy kapcsolhatja ki, hogy módosítja a dSHeuristics attribútum 21. karakterét, amely karaktersorozatként értelmezett. A dSHeuristics attribútum alapértelmezés szerint nem létezik, de felveheti a következő megkülönböztető néven: "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". A lehetséges beállítások és azok bitértékei az alábbiak:

  • Value 0 – means Enforce All (no bits set 000) Default

  • 1. érték – az UPN-egyediség ellenőrzésének letiltása (0 bites készlet – 001)

  • 2. érték – az SPN egyediség-ellenőrzésének letiltása (1. bites készlet – 010)

  • 3. érték – Az UPN-egyediség és a SPN-egyediség ellenőrzésének letiltása. (bit 0 és 1 set - 011)

  • 4. érték – az SPN alias egyediség-ellenőrzésének letiltása (2. bites beállítás – 100)

  • 5. érték – Az SPN-alias és az UPN-egyediség ellenőrzésének letiltása (2. és bit 0 készlet – 101. bit)

  • 6. érték – Az SPN-alias és az SPN-egyediség letiltása (2. és 1. bites készlet – 110)

  • 7- érték – Az összes letiltása (minden bit 111-es halmaza)

Példa: Ha nincs engedélyezve a dSHeuristics beállítás az erdőben, és csak le szeretné tiltani az SPN-alias egyediségét, a dSHeuristics attribútumnak a következőre kell állítania: "000000000100000000024"

Ebben az esetben a következő karakterek vannak beállítva:
10. karakter: 1-re kell állítani, ha a dSHeuristics attribútum legalább 10 karakter
20. karakter: 2-re kell állítani, ha a dSHeuristics attribútum legalább 20 karakter
21st char: A fenti listában megadott értékre kell állítani; 4-es érték azt jelenti, hogy letiltja az SPN-alias egyediségét.

Megjegyzés: Ha a dSHeuristics attribútum már be van állítva, mindenképpen egyesítenie kell a meglévő beállításokat az új dSHeuristics attribútum-karakterláncmal, és győződjön meg arról, hogy a 10., a 20. és a 21. karakter a fentiek szerint van beállítva. A többi már beállított karakternek változatlannak kell maradnia.

A dSHeuristics karakterek konfigurálásával kapcsolatos további információkért lásd az alábbi dokumentumokat:

További információ

Mi az egyszerű szolgáltatásnév?

Az egyszerű szolgáltatásnév (SPN) egy szolgáltatási példány egyedi azonosítója. A Kerberos-hitelesítés SPN-ekkel társítja a szolgáltatási példányokat egy szolgáltatás-bejelentkezési fiókkal. Ez lehetővé teszi az ügyfélalkalmazásnak, hogy akkor is kérjen hitelesítést a szolgáltatástól, ha az ügyfél nem rendelkezik a fiók nevével. További részleteket az Egyszerű szolgáltatásnevek szolgáltatásnévnél talál.

Mi az egyszerű felhasználónév?

Az egyszerű felhasználónév (UPN) egy e-mail stílusú bejelentkezési név a felhasználóknak az internetes szabványos RFC 822 alapján. További részleteket a User-Principal-Name attribútumban talál.

Gyakori kérdések

1 . kérdés Mi történik, ha ismétlődő HOST alias SPN-t kell regisztrálnom a fiókhoz?

A1 Regisztrálja a szükséges szervizcsomagot rendszergazdaként.

2. kérdés Mi történik, ha kikapcsolom az egyéni spn vagy upn egyediséget?

A2 Ezt nem javasoljuk. Ha az SPN-ek nem egyediek, akkor úgy tűnik, hogy az ismétlődő SPN-eket egyáltalán nem regisztrálta. Az ismétlődő spn-t ugyanúgy regisztrálhatja, mint ha az eredetit regisztrálja. Ha az UPN-ek nem egyediek, az ismétlődő UPN-eket használó felhasználói keresések sikertelenek lesznek.

3. kérdés Mi történik, ha kikapcsolom az SPN-alias egyediségét?

A3 Ezt nem javasoljuk. Előfordulhat, hogy egy nem rendszergazda módosítja egy meglévő alias SPN felbontását a jelenlegi megoldásról egy olyan számítógépre, amely nem rendszergazdai jogosultságú. Előfordulhat, hogy ez a számítógép a szolgáltatásként működik, mert a Kerberos által használt kiszolgálói hitelesítés a host SPN-hez használt eredeti fiók helyett a szolgáltatás megfelelő állomásaként fogadja el az új fiókot.

4. kérdés: Hogyan találhatják meg a tartomány rendszergazdái a hálózaton már jelen vannak ismétlődő SPN-eket vagy UPN-eket?

A4 Ez nem praktikus anélkül, hogy kiterjedt parancsfájlokat írna a tartomány összes SPN-je és UPN-je számbavételéhez, és össze tudja korrelálni az ismétlődő értékeket.

5. kérdés Mi történik, ha vetélkedem a frissített, illetve nem frissített vagy nem egyező tartományvezérlők között található tartományvezérlők között?

A5 A replikáció nem lesz blokkolva az ismétlődő UPN-ek vagy SPN-fájlok miatt. Ezért az ismétlődések más tartományvezérlőkre is replikálhatók, ha az ismétlődő UPN-eket vagy SPN-eket olyan tartományvezérlőn hozták létre, amely nem rendelkezik a frissítéssel.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?
Ha elküldi a visszajelzést, a Microsoft felhasználja azt a termékei és szolgáltatásai továbbfejlesztéséhez. Az informatikai rendszergazda képes lesz ezeket az adatokat összegyűjteni. Adatvédelmi nyilatkozat.

Köszönjük a visszajelzését!

×