Összefoglalás

A CVE-2022-21920-as biztonsági frissítéseket a 2022. január 11-i Windows és a későbbi Windows tartalmazza. Ezek a frissítések továbbfejlesztett logikát tartalmaznak a háromrészes egyszerű szolgáltatásnevek visszalépési támadásának észleléséhez a Microsoft Negotiate hitelesítési protokoll használata esetén.

Ez a cikk útmutatást nyújt, ha a Kerberos-hitelesítés sikertelen.

További információ

A 2022. január 11-i Windows és újabb Windows-frissítések telepítése sikertelen lehet a hitelesítés olyan háromrészes SPN-ek esetén, amelyekben a Kerberos-hitelesítés sikertelen. Ezekben a környezetekben valószínű, hogy a Kerberos-hitelesítés a háromrészes SPN-ekhez egy ideje nem működött. Az osztályozást segítő Ügyfélrendszerek Windows az alábbi eseményt láthatja.

LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment.

LSA Event 40970 Text version

40970-es esemény

A biztonsági rendszer visszalépési kísérletet észlelt a háromrészes SPN-hez való kapcsolatfelvételkor

<SPN neve>

"A Windows-kiszolgálón található SAM-adatbázis nem rendelkezik számítógépfiókkal a munkaállomások megbízhatósági kapcsolatához (0x0000018b)" hibakód miatt a rendszer elutasította a hitelesítést.

Művelet

A Microsoft azt javasolja, hogy osztályozást javasoljon, hogy miért sikertelen a Kerberos-hitelesítés a háromrészes spn-hez. A Kerberos-hitelesítés sikertelenségének gyakori okai az alábbiak: 

  • A hitelesítés célként használt EGYSZERŰ felhasználócsoport formátuma hibás. További információ: Egyedi SPN-ek névformátumai.

    Megjegyzés: Az alkalmazások és AZ API-k szigorúbb vagy eltérő definíciókat is alkothatnak arra, hogy mi számít szolgáltatása egy valódi terméksúgónak.

    Példák valódi szervizcsomagok használatára

    http/webkiszolgáló 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/machine1:10100 

    Példák esetleg hibás SPN-re

    SPN 

    Ok 

    Állomás/állomás/gép1 

    A Host/host (Állomás/állomás) valószínűleg hiba, mivel a "host" általában szolgáltatásosztály, nem pedig számítógépnév. Lehetséges, hogy a valódi SPN az állomás/gép1. 

    Ldap/machine/contoso.com:10100 

    Portokat az állomásnéven ("gép") lehet megadni, a szolgáltatási példány neve nem. Lehetséges, hogy a valódi SPN "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Egyes API-k teljes tartománynév helyett DNS-nevet várnak. A DsBindA függvény (ntdsapi.h) függvény például várhatóan egy DNS-névben lesz átadhatja. Ha a teljes tartomány teljes tartománya át van ülve, akkor előfordulhat, hogy hibásan formázott teljes tartományon fog átesni.  A valódi SPN a következő lehet: "ldap/dc-a/contoso.com"

    A problémák megoldásához fontolja meg a megfelelő spn-re való használatot, vagy regisztrálja a hibásan formázott szervizcsomagot a megfelelő szolgáltatásfiókban.

  • A hitelesítési célként használt SPN nem létezik. A probléma megoldásához fontolja meg az spn-t a megfelelő szolgáltatásfiókban regisztrálni.

  • Az Windows ügyfélgép nem rendelkezik a tartományvezérlővel (például a DCS-k offline állapotban vannak, nem található meg a DNS-ben, vagy le van tiltva a KDC-porthoz való hozzáférés).

  • Lehet, hogy Net SYMS neveket használ olyan helyzetben, ahol a Net SYMS nevek nem működnek. Példa: A tartományhoz nem tartományhoz csatlakozott gépről való tartományi erőforrások elérése és a Net MINDKÉT. névfeloldás le van tiltva vagy nem működik.A Microsoft egyszerű felhasználónevet (UPN) vagy DNS-t (User Principal Name System) használatát javasolja. névre a Net SYMS név helyett.

SPN-ek regisztrálása 

Az alkalmazás és a környezet konfigurációja alapján az SPN-eket a szolgáltatásfiók Egyszerű név attribútumában vagy abban az Active Directory-tartományban lévő számítógépfiókban konfigurálhatja, amelyhez a Kerberos-ügyfél a Kerberos-kapcsolatot próbálja létesíteni. Ahhoz, hogy a Kerberos-hitelesítés megfelelően működjön, a cél SPN-nek érvényesnek kell lennie.

A Kerberos-hitelesítés engedélyezésére vonatkozó útmutatásért minden egyes alkalmazáshoz olvassa el a telepítési dokumentációt vagy a támogatási szolgáltatót. Egyes alkalmazástelepítők vagy -alkalmazások automatikusan regisztrálják az SPN-eket. Az spn-t a fejlesztők és a rendszergazdák egyaránt különböző módon regisztrálhatják:

  • Ha kézzel regisztrálnia kell az SPN-eket egy szolgáltatási példányban, tekintse meg a Setspn (Készlet) részt.

  • Ha programozottan regisztrálja az SPN-eket egy szolgáltatási példányban, tekintse meg a Hogyan regisztrálja egy szolgáltatás az SPN-eket?

    • Hívja fel a DsGetSpn függvényt egy vagy több egyedi SPN létrehozásához a szolgáltatási példányhoz. További információ: Egyedi SPN-ek névformátumai.

    • Hívja fel a DsWriteAccountSpn függvényt, és regisztrálja a neveket a szolgáltatás bejelentkezési fiókjában.

Ismert problémák

A frissítésnek jelenleg nincsenek ismert problémái.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.