|
Modifica data |
Modificare la descrizione |
|
3 febbraio 2026 |
|
Riassunto
Gli aggiornamenti di Windows per CVE-2021-42282 rilasciati il 9 novembre 2021 aggiungono le seguenti verifiche per gli attributi in Active Directory (AD):
-
Univocità del nome dell'entità utente (UPN) e del nome dell'entità servizio (SPN) (novità di Windows 8, Windows Server 2012 e versioni precedenti)
-
Univocità degli alias SPN (novità per tutte le versioni di Windows)
Univocità del nome dell'entità utente e del nome dell'entità servizio
Questa funzionalità garantisce che gli SPN siano univoci in una foresta, impedendo ai computer e ai controller di dominio di aggiungere SPN duplicati. Questa funzionalità esiste già in Windows 8.1 e versioni precedenti ed è descritta nell'univocità di SPN e UPN.
Univocità degli alias SPN
Un attributo AD esistente definisce gli alias per molte classi di servizi comuni all'HOST SPN equivalente per servizi come CIFS, HTTP e RPC. L'attributo AD è definito come elenco nel contesto di denominazione della configurazione di una foresta di Active Directory. Un utente che non dispone di diritti di amministratore potrebbe non riassegnare un SPN assegnato in modo implicito a un altro account usando questo aliasing.
Nota Questa verifica viene implementata in aggiunta alla verifica dell'univocità di UPN e SPN.
Le verifiche dell'univocità degli alias SPN sono attivate per impostazione predefinita. È possibile disattivare queste verifiche modificando il carattere 21st dell'attributo dSHeuristics , che viene interpretato come una serie di caratteri. L'attributo dSHeuristics non esiste per impostazione predefinita, ma è possibile aggiungerlo con il nome distinto "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Le impostazioni possibili e i valori di bit corrispondenti sono i seguenti:
-
Valore 0: indica Imponi tutto (nessun bit impostato su 000) Predefinito
-
Valore 1: indica Disabilita la verifica dell'univocità UPN (set di bit 0 - 001)
-
Valore 2: significa disabilitare la verifica dell'univocità di SPN (set di bit 1 - 010)
-
Valore 3 – indica Disabilitare l'univocità DELL'UPN e la verifica dell'univocità DI SPN. (bit 0 e 1 set - 011)
-
Valore 4: significa disabilitare la verifica dell'univocità dell'alias SPN (set di bit 2 - 100)
-
Valore 5- significa Disabilitare l'alias SPN e la verifica dell'univocità dell'UPN (set di bit 2 e bit 0 - 101)
-
Valore 6- indica Disabilitare l'alias SPN E l'univocità SPN (set di bit 2 e bit 1 - 110)
-
Valore 7: indica Disabilita tutto (tutti i bit impostati 111)
Esempio: Se non sono abilitate altre impostazioni dSHeuristics nella foresta e si vuole disabilitare solo la verifica dell'univocità dell'alias SPN, l'attributo dSHeuristics deve essere impostato su: "000000000100000000024" I caratteri impostati in questo caso sono: 10th char: deve essere impostato su 1 se l'attributo dSHeuristics è di almeno 10 caratteri 20th char: Deve essere impostato su 2 se l'attributo dSHeuristics è di almeno 20 caratteri 21st char: Deve essere impostato su un valore nell'elenco precedente; valore 4 significa Disabilitare l'univocità dell'alias SPN.
Nota Se l'attributo dSHeuristics è già impostato, assicurarsi di unire le impostazioni esistenti nella nuova stringa dell'attributo dSHeuristics e verificare che i caratteri 10°, 20° e 21° siano impostati come sopra. Gli altri caratteri già impostati devono rimanere invariati.
Per altre informazioni sulla configurazione dei caratteri dSHeuristics, vedere i documenti seguenti:
Altre informazioni
Che cos'è il nome di un'entità servizio?
Un nome dell'entità servizio (SPN) è un identificatore univoco per un'istanza del servizio. L'autenticazione Kerberos utilizza spN per associare un'istanza del servizio a un account di accesso al servizio. In questo modo un'applicazione client può richiedere al servizio di autenticare un account anche se il client non ha il nome dell'account. Per altre informazioni, vedere Nomi entità servizio .
Che cos'è un nome dell'entità utente?
Un nome dell'entità utente (UPN) è un nome di accesso in stile e-mail per un utente basato sullo standard Internet RFC 822. Per ulteriori informazioni, vedere Attributo User-Principal-Name.
Domande frequenti
D1 Cosa succede se è necessario registrare un SPN di alias HOST duplicato per l'account?
A1 Registrare il nome SPN richiesto come amministratore di Active Directory Enterprise.
D2 Cosa succede se si disattiva l'univocità di SPN o UPN?
A2 Questa operazione non è consigliata. Se i nomi SPN non sono univoci, è come se i nomi SPN duplicati non siano registrati affatto. La registrazione di un SPN duplicato ha lo stesso effetto dell'annullamento della registrazione di quello originale. Se gli UPN non sono univoci, le ricerche utente che usano UPN duplicati non riusciranno.
D3 Cosa succede se si disattiva l'univocità dell'alias SPN?
A3 Questa operazione non è consigliata. Un non amministratore potrebbe modificare la risoluzione di un alias SPN esistente dalla risoluzione corrente a un computer sotto il controllo del non amministratore. Tale computer potrebbe agire come tale servizio perché l'autenticazione del server fornita da Kerberos accetterebbe il nuovo account come host corretto per il servizio anziché come account originale con l'SPN HOST.
D4 In che modo un amministratore di dominio può trovare SPN o UPN duplicati già presenti nella rete?
A4 Questo non è pratico senza scrivere script estesi per enumerare tutti gli SPN e gli UPN dal dominio e correlati alla ricerca di duplicati.
D5 Cosa succede se si dispone di una combinazione di controller di dominio aggiornati e non aggiornati o non corrispondenti tra i controller di dominio?
A5 La replica non verrà bloccata a causa di UPN o SPN duplicati. Pertanto, i duplicati possono essere replicati in altri controller di dominio se gli UPN o gli SPN duplicati vengono creati in un controller di dominio che non dispone dell'aggiornamento.
