|
Ubah tanggal |
Ubah deskripsi |
|
3 Februari 2026 |
|
Rangkuman
Pembaruan Windows untuk CVE-2021-42282 yang dirilis pada 9 November 2021 menambahkan verifikasi berikut untuk atribut dalam Direktori Aktif (AD):
-
Nama pokok pengguna (UPN) dan keunikan nama pokok layanan (SPN) (baru untuk Windows 8, Windows Server 2012, dan rilis sebelumnya)Â
-
Keunikan alias SPN (baru untuk semua versi Windows)Â
Nama utama pengguna dan keunikan nama utama layanan
Fitur ini menjamin bahwa SPN unik di hutan, yang mencegah komputer dan pengontrol domain menambahkan SPN duplikat. Fungsionalitas ini sudah ada di Windows 8.1 dan di atasnya dan dijelaskan dalam keunikan SPN dan UPN.
Keunikan alias SPN
Atribut AD yang sudah ada menentukan alias untuk banyak kelas layanan umum ke SPN HOST yang setara untuk layanan seperti CIFS, HTTP, dan RPC. Atribut AD didefinisikan sebagai daftar dalam konteks penamaan konfigurasi hutan Direktori Aktif. Pengguna yang tidak memiliki hak administrator mungkin tidak menetapkan ulang SPN yang ditetapkan secara implisit ke akun lain menggunakan aliasing ini.
Catatan Verifikasi ini diterapkan selain verifikasi keunikan UPN dan SPN.
Verifikasi keunikan alias SPN aktif secara default. Anda dapat menonaktifkan verifikasi ini dengan mengubah karakter 21st atribut dSHeuristics , yang diinterpretasikan sebagai serangkaian karakter. Atribut dSHeuristics tidak ada secara default, tetapi Anda bisa menambahkannya di bawah nama yang dibedakan "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Pengaturan yang memungkinkan dan nilai bit terkaitnya adalah sebagai berikut:
-
Nilai 0 – berarti Berlakukan Semua (tanpa bit yang diatur 000) Default
-
Nilai 1 – berarti Nonaktifkan verifikasi Keunikan UPN (bit 0 set - 001)
-
Nilai 2 - berarti Nonaktifkan verifikasi Keunikan SPN (set bit 1 - 010)
-
Nilai 3 – berarti Nonaktifkan verifikasi Keunikan UPN DAN KEunikan SPN. (bit 0 dan 1 set - 011)
-
Nilai 4 – berarti Nonaktifkan VERIFIKASI KEunikan ALIAS SPN (bit 2 set - 100)
-
Nilai 5 - berarti Nonaktifkan Alias SPN DAN verifikasi Keunikan UPN (bit 2 dan bit 0 set - 101)
-
Nilai 6 - berarti Nonaktifkan Alias SPN DAN Keunikan SPN (set bit 2 dan bit 1 - 110)
-
Nilai 7 – berarti Nonaktifkan Semua (semua bit diatur 111)
Contoh: Jika Anda tidak memiliki pengaturan dSHeuristics lain yang diaktifkan di hutan Anda dan Anda hanya ingin menonaktifkan verifikasi keunikan alias SPN, atribut dSHeuristics harus diatur ke: "000000000100000000024" Karakter yang diatur dalam kasus ini adalah: 10th char: Harus diatur ke 1 jika atribut dSHeuristics setidaknya 10 karakter 20th char: Harus diatur ke 2 jika atribut dSHeuristics minimal 20 karakter 21st char: Harus diatur ke nilai dalam daftar di atas; nilai 4 berarti Nonaktifkan Keunikan Alias SPN.
Catatan Jika atribut dSHeuristics sudah diatur, pastikan untuk menggabungkan pengaturan yang sudah ada ke dalam string atribut dSHeuristics baru Anda dan mengonfirmasi bahwa karakter ke-10, 20 dan 21 diatur sebagai di atas. Karakter lain yang sudah diatur harus tetap tidak berubah.
Untuk informasi selengkapnya tentang mengonfigurasi karakter dSHeuristics silakan lihat dokumen berikut:
Informasi selengkapnya
Apa itu nama pokok layanan?
Nama prinsipal layanan (SPN) adalah pengidentifikasi unik untuk instans layanan. Autentikasi Kerberos menggunakan SPN untuk mengaitkan instans layanan dengan akun masuk layanan. Ini memungkinkan aplikasi klien untuk meminta agar layanan mengautentikasi akun meskipun klien tidak memiliki nama akun. Silakan lihat Nama Pokok Layanan untuk detail selengkapnya.
Apa itu nama utama pengguna?
Nama prinsipal pengguna (UPN) adalah nama masuk gaya email untuk pengguna berdasarkan RFC 822 standar internet. Untuk detail selengkapnya, silakan lihat Atribut User-Principal-Name.
Pertanyaan umum
Q1 Bagaimana jika saya perlu mendaftarkan duplikat HOST alias SPN untuk akun?
A1 Daftarkan SPN yang diperlukan sebagai Administrator Perusahaan Direktori Aktif.
T2 Apa yang terjadi jika saya menonaktifkan keunikan SPN atau UPN?
A2 Kami tidak merekomendasikan ini. Jika SPN tidak unik, maka seolah-olah SPN yang merupakan duplikat tidak terdaftar sama sekali. Mendaftarkan SPN duplikat memiliki efek yang sama dengan membatalkan pendaftaran yang asli. Jika UPN tidak unik, pencarian pengguna menggunakan UPN duplikat akan gagal.
Q3 Apa yang terjadi jika saya menonaktifkan keunikan alias SPN?
A3 Kami tidak merekomendasikan ini. Non-administrator mungkin mengubah resolusi alias SPN yang sudah ada dari resolusinya saat ini ke komputer di bawah kontrol non-administrator. Komputer tersebut mungkin bertindak sebagai layanan tersebut karena autentikasi server yang disediakan Kerberos akan menerima akun baru sebagai host yang tepat untuk layanan, bukan akun asli dengan SPN HOST.
Q4 Bagaimana administrator domain dapat menemukan SPN duplikat atau UPN yang sudah ada di jaringan?
A4 Ini tidak praktis tanpa menulis scripting ekstensif untuk menghitung semua SPN dan UPN dari domain dan berkorelasi untuk menemukan duplikat.
Q5 Apa yang terjadi jika saya memiliki campuran pengontrol domain yang diperbarui dan tidak diperbarui atau tidak cocok dengan pengaturan antar pengontrol domain?
A5 Replikasi tidak akan diblokir karena UPN duplikat atau SPN. Oleh karena itu, duplikat bisa mereplikasi ke pengontrol domain lain jika UPN duplikat atau SPN dibuat pada pengontrol domain yang tidak memiliki pembaruan.
