Összefoglalás
A CVE-2022-21920-as biztonsági frissítéseket a 2022. január 11-i Windows és a későbbi Windows tartalmazza. Ezek a frissítések továbbfejlesztett logikát tartalmaznak a háromrészes egyszerű szolgáltatásnevek visszalépési támadásának észleléséhez a Microsoft Negotiate hitelesítési protokoll használata esetén.
Ez a cikk útmutatást nyújt, ha a Kerberos-hitelesítés sikertelen.
További információ
A 2022. január 11-i Windows és újabb Windows-frissítések telepítése sikertelen lehet a hitelesítés olyan háromrészes SPN-ek esetén, amelyekben a Kerberos-hitelesítés sikertelen. Ezekben a környezetekben valószínű, hogy a Kerberos-hitelesítés a háromrészes SPN-ekhez egy ideje nem működött. Az osztályozást segítő Ügyfélrendszerek Windows az alábbi eseményt láthatja.
LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment. |
LSA Event 40970 Text version |
|
A biztonsági rendszer visszalépési kísérletet észlelt a háromrészes SPN-hez való kapcsolatfelvételkor <SPN neve> "A Windows-kiszolgálón található SAM-adatbázis nem rendelkezik számítógépfiókkal a munkaállomások megbízhatósági kapcsolatához (0x0000018b)" hibakód miatt a rendszer elutasította a hitelesítést. |
Művelet
A Microsoft azt javasolja, hogy osztályozást javasoljon, hogy miért sikertelen a Kerberos-hitelesítés a háromrészes spn-hez. A Kerberos-hitelesítés sikertelenségének gyakori okai az alábbiak:
-
A hitelesítés célként használt EGYSZERŰ felhasználócsoport formátuma hibás. További információ: Egyedi SPN-ek névformátumai.
Megjegyzés: Az alkalmazások és AZ API-k szigorúbb vagy eltérő definíciókat is alkothatnak arra, hogy mi számít szolgáltatása egy valódi terméksúgónak.
Példák valódi szervizcsomagok használatára
http/webkiszolgáló
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Service/machine1:10100
SPN
Ok
Állomás/állomás/gép1
A Host/host (Állomás/állomás) valószínűleg hiba, mivel a "host" általában szolgáltatásosztály, nem pedig számítógépnév. Lehetséges, hogy a valódi SPN az állomás/gép1.
Ldap/machine/contoso.com:10100
Portokat az állomásnéven ("gép") lehet megadni, a szolgáltatási példány neve nem. Lehetséges, hogy a valódi SPN "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Egyes API-k teljes tartománynév helyett DNS-nevet várnak. A DsBindA függvény (ntdsapi.h) függvény például várhatóan egy DNS-névben lesz átadhatja. Ha a teljes tartomány teljes tartománya át van ülve, akkor előfordulhat, hogy hibásan formázott teljes tartományon fog átesni. A valódi SPN a következő lehet: "ldap/dc-a/contoso.com"
A problémák megoldásához fontolja meg a megfelelő spn-re való használatot, vagy regisztrálja a hibásan formázott szervizcsomagot a megfelelő szolgáltatásfiókban.
-
A hitelesítési célként használt SPN nem létezik. A probléma megoldásához fontolja meg az spn-t a megfelelő szolgáltatásfiókban regisztrálni.
-
Az Windows ügyfélgép nem rendelkezik a tartományvezérlővel (például a DCS-k offline állapotban vannak, nem található meg a DNS-ben, vagy le van tiltva a KDC-porthoz való hozzáférés).
-
Lehet, hogy Net SYMS neveket használ olyan helyzetben, ahol a Net SYMS nevek nem működnek. Példa: A tartományhoz nem tartományhoz csatlakozott gépről való tartományi erőforrások elérése és a Net MINDKÉT. névfeloldás le van tiltva vagy nem működik.(User Principal Name System) használatát javasolja. névre a Net SYMS név helyett.
A Microsoft egyszerű felhasználónevet (UPN) vagy DNS-t
SPN-ek regisztrálása
Az alkalmazás és a környezet konfigurációja alapján az SPN-eket a szolgáltatásfiók Egyszerű név attribútumában vagy abban az Active Directory-tartományban lévő számítógépfiókban konfigurálhatja, amelyhez a Kerberos-ügyfél a Kerberos-kapcsolatot próbálja létesíteni. Ahhoz, hogy a Kerberos-hitelesítés megfelelően működjön, a cél SPN-nek érvényesnek kell lennie.
A Kerberos-hitelesítés engedélyezésére vonatkozó útmutatásért minden egyes alkalmazáshoz olvassa el a telepítési dokumentációt vagy a támogatási szolgáltatót. Egyes alkalmazástelepítők vagy -alkalmazások automatikusan regisztrálják az SPN-eket. Az spn-t a fejlesztők és a rendszergazdák egyaránt különböző módon regisztrálhatják:
-
Ha kézzel regisztrálnia kell az SPN-eket egy szolgáltatási példányban, tekintse meg a Setspn (Készlet) részt.
-
Ha programozottan regisztrálja az SPN-eket egy szolgáltatási példányban, tekintse meg a Hogyan regisztrálja egy szolgáltatás az SPN-eket?
-
Hívja fel a DsGetSpn függvényt egy vagy több egyedi SPN létrehozásához a szolgáltatási példányhoz. További információ: Egyedi SPN-ek névformátumai.
-
Hívja fel a DsWriteAccountSpn függvényt, és regisztrálja a neveket a szolgáltatás bejelentkezési fiókjában.
-
Ismert problémák
A frissítésnek jelenleg nincsenek ismert problémái.