Riepilogo
Windows aggiornamenti per CVE-2021-42282 rilasciati il 9 novembre 2021 aggiungere le verifiche seguenti per gli attributi in Active Directory (AD):
-
Unicità del nome dell'entità utente (UPN) e del nome dell'entità servizio (SPN) (novità di Windows 8, Windows Server 2012 e versioni precedenti)
-
Univocità dell'alias SPN (novità di Windows versioni)
Univocità del nome dell'entità utente e del nome dell'entità servizio
Questa caratteristica garantisce che i nomi SPN siano univoci in una foresta, impedendo ai computer e ai controller di dominio di aggiungere nomi SPN duplicati. Questa funzionalità esiste già in Windows 8.1 e successive ed è descritta nell'univocità SPN e UPN.
Univocità dell'alias SPN
Un attributo ACTIVE esistente definisce alias per molte classi di servizi comuni all'SPN HOST equivalente per servizi come CIFS, HTTP e RPC. L'attributo ACTIVE è definito come elenco nel contesto dei nomi di configurazione di una foresta di Active Directory. Un utente che non dispone di diritti di amministratore potrebbe non riassegnare un nome SPN assegnato in modo implicito a un account diverso usando questo alias.
Note Questa verifica viene implementata oltre alla verifica dell'univocità di UPN e SPN.
Le verifiche dell'univocità degli alias SPN sono disponibili per impostazione predefinita. È possibile disattivare queste verifiche modificando il 21° carattere dell'attributo dSHeuristics , che viene interpretato come una serie di caratteri. L'attributo dSHeuristics non esiste per impostazione predefinita, ma è possibile aggiungerlo con il nome distinto "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Le impostazioni possibili e i valori di bit corrispondenti sono i seguenti:
-
Valore 0 : significa Applica tutto (nessun bit impostato su 000) Predefinito
-
Valore 1: significa Disabilita verifica univocità UPN (bit 0 set - 001)
-
Valore 2: significa disabilitare la verifica dell'univocità SPN (bit 1 set - 010)
-
Valore 3: significa Disabilitare l'univocità UPN e la verifica dell'univocità SPN. (bit 0 e 1 impostati - 011)
-
Valore 4: significa disabilitare la verifica dell'univocità dell'alias SPN (bit 2 impostato - 100)
-
Valore 5: significa Disabilitare la verifica dell'univocità dell'alias SPN e UPN (bit 2 e bit 0 impostato - 101)
-
Valore 6 - indica Disabilita alias SPN E univocità SPN (bit 2 e bit 1 impostato - 110)
-
Valore 7: significa Disabilita tutto (tutti i bit impostati su 111)
Esempio: Se nell'insieme di strutture non sono abilitate altre impostazioni di dSHeuristics e si vuole disabilitare solo la verifica dell'univocità dell'alias SPN, l'attributo dSHeuristics deve essere impostato su: "000000000100000000024"
I caratteri impostati in questo caso sono:
10° carattere: deve essere impostato su 1 se l'attributo dSHeuristics è di almeno 10 caratteri
20° carattere: deve essere impostato su 2 se l'attributo dSHeuristics è di almeno 20 caratteri
21st char: Deve essere impostato su un valore nell'elenco precedente; il valore 4 indica Disabilita univocità alias SPN.
Note Se l'attributo dSHeuristics è già impostato, assicurarsi di unire le impostazioni esistenti nella nuova stringa dell'attributo dSHeuristics e verificare che i caratteri 10, 20 e 21 siano impostati come sopra. Gli altri caratteri già impostati devono rimanere invariati.
Per altre informazioni sulla configurazione dei caratteri dSHeuristics, vedere i documenti seguenti:
Ulteriori informazioni
Che cos'è il nome di un'entità servizio?
Un nome dell'entità servizio (SPN) è un identificatore univoco per un'istanza del servizio. L'autenticazione Kerberos usa i nomi SPN per associare un'istanza del servizio a un account di accesso del servizio. In questo modo un'applicazione client può richiedere l'autenticazione di un account da parte del servizio, anche se il client non ha il nome dell'account. Per altre informazioni, vedere Nomi delle entità servizio.
Che cos'è un nome dell'entità utente?
Un nome dell'entità utente (UPN) è un nome di accesso di tipo posta elettronica per un utente basato sullo standard Internet RFC 822. Per altre informazioni, vedere Attributo User-Principal-Name.
Domande frequenti
D1 Cosa succede se è necessario registrare un nome SPN alias HOST duplicato per l'account?
A1 Registrare il nome SPN richiesto come amministratore.
D2 Cosa succede se si disattiva l'univocità SPN o UPN?
A2 Non è consigliabile. Se i nomi SPN non sono univoci, è come se gli SPN duplicati non fossero registrati affatto. La registrazione di un nome SPN duplicato ha lo stesso effetto dell'annullamento della registrazione di quello originale. Se gli UPN non sono univoci, le ricerche degli utenti che usano UPN duplicati non riusciranno.
D3 Cosa succede se si disattiva l'univocità degli alias SPN?
A3 Non è consigliabile. Un utente non amministratore potrebbe modificare la risoluzione di un nome SPN alias esistente dalla risoluzione corrente a un computer sotto il controllo del non amministratore. Il computer potrebbe fungere da servizio perché l'autenticazione server fornita da Kerberos accetterebbe il nuovo account come host corretto per il servizio anziché come account originale con l'SPN HOST.
D4 Come può un amministratore di dominio trovare SPN o UPN duplicati già presenti nella rete?
A4 Questo non è pratico senza scrivere script estesi per enumerare tutti gli SPN e gli UPN del dominio e correlare alla ricerca di duplicati.
D5 Cosa succede se si ha una combinazione di controller di dominio aggiornati e non aggiornati o non corrispondenti tra i controller di dominio?
A5 La replica non verrà bloccata a causa di UPN o SPN duplicati. Di conseguenza, i duplicati possono essere replicati in altri controller di dominio se gli UPN o gli SPN duplicati vengono creati in un controller di dominio che non ha l'aggiornamento.
