Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

CVE-2021-42278 išsprendžia saugos apėjimo pažeidžiamumą, kuris leidžia galimiems puolatojams apsimesti domeno valdikliu naudojant kompiuterio paskyros sAMAccountName apsimetimą.

Šiame straipsnyje pateikiama papildoma informacija ir dažnai užduodamų klausimų skyrius, skirtas "Active Directory" saugos paskyrų tvarkytuvui (SAM) sukietėja "Windows" naujinimų, išleistų 2021 m. lapkričio 9 d. ir vėliau, kaip dokumentuota CVE-2021-42278.

"Active Directory" tikrinimo tikrinimai

Įdiegus CVE-2021-42278, "Active Directory" atliks toliau nurodytus tikrinimo tikrinimus kompiuterio paskyrų sAMAccountName ir UserAccountControl atributuose, sukurtuose arba modifikuotuose vartotojų, neturintiems kompiuterio paskyrų administratoriaus teisių. 

  1. sAMAccountType validation for user and computer accounts

    • ObjectClass=Computer (arba kompiuterio poklasis) paskyrose turi būti "UserAccountControl" UF_WORKSTATION_TRUST_ACCOUNT arba UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=Vartotojas turi turėti UAC vėliavėles UF_NORMAL_ACCOUNT arba UF_INTERDOMAIN_TRUST_ACCOUNT

  2. sAMAccountName validation for computer accounts

    Kompiuterio paskyros, kurios Atribute UserAccountControl yra žymė UF_WORKSTATION_TRUST_ACCOUNT sAMAccountName, turi baigtis vienu dolerio ženklu ($). Kai šios sąlygos netenkinamos, "Active Directory" grąžins trikties kodą 0x523 ERROR_INVALID_ACCOUNTNAME. Nepavykęs tikrinimas užregistruojamas katalogų tarnybos-SAM įvykio ID 16991 sistemos įvykių žurnale.

Kai šios sąlygos netenkinamos, "Active Directory" grąžina klaidos kodą ACCESS_DENIED. Nepavykęs tikrinimas užregistruojamas katalogų tarnybos-SAM įvykio ID 16990 sistemos įvykių žurnale.

Įvykių tikrinimas

Objekto klasės ir UserAccountControl tikrinimo klaida

Kai objekto klasė ir UserAccountControl tikrinimas nepavyksta, sistemos žurnale bus užregistruotas šis įvykis:

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

Directory-Services-SAM

Įvykio ID

16990

Įvykio tekstas

Saugos paskyrų tvarkytuvas užblokavo ne administratoriaus teises kurti "Active Directory" paskyrą šiame domene su nesutampantis objectClass ir userAccountControl paskyros tipo vėliavėle.

Išsami informacija:

Paskyros pavadinimas: %1%n

Paskyros objektasKlasė: %2%n

userAccountControl: %3%n

Skambintojas: %4%n

Skambintojas SID: %5%n%n

SAM paskyros pavadinimo tikrinimo klaida

Kai SAM paskyros pavadinimo tikrinimas nepavyksta, sistemos žurnale bus užregistruotas šis įvykis:

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

Directory-Services-SAM

Įvykio ID

16991

Įvykio tekstas

Saugos paskyrų tvarkytuvas užblokavo ne administratoriaus teises kurti arba pervardyti kompiuterio paskyrą naudodamas neleistiną sAMAccountName. sAMAccountName kompiuterio paskyrose turi baigtis vienu galiu $ ženklu.

Bandėte sAMAccountName: %1

Rekomenduojamas sAMAccountName: %1$

Sėkmingi kompiuterio paskyros kūrimo audito įvykiai

Sėkmingai kuriant kompiuterio paskyrą galimi šie esami audito įvykiai:

  • 4741(S): buvo sukurta kompiuterio paskyra

  • 4742(S): buvo pakeista kompiuterio paskyra

  • 4743(S): buvo panaikinta kompiuterio paskyra

Daugiau informacijos žr. Kompiuterio paskyros valdymo auditas.

Dažnai užduodami klausimai

Q1. Kaip šis naujinimas veikia esamus "Active Directory" objektus?

A1. Esamų objektų tikrinimas įvyksta, kai vartotojai, kurie neturi administratoriaus teisių, modifikuoja sAMAccountName arba UserAccountControl atributus.

2 K. Kas yra sAMAccountName?

A2. sAMAccountName yra unikalus atributas visuose "Active Directory" saugos vadovuose ir apima vartotojus, grupes ir kompiuterius. sAMAccountName pavadinimo apribojimai dokumentuojami 3.1.1.6 atributų apribojimai, skirti kilmės naujinams.

Q3. Kas yra sAMAccountType?

A3. Norėdami gauti daugiau informacijos, perskaitykite šiuos dokumentus:

Yra trys galimos sAMAccountType reikšmės, kurios atitinka keturias galimas UserAccountcontrol vėliavėles taip:

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

Q4. Kokios galimos "UserAccountControl" reikšmės?

A4. Norėdami gauti daugiau informacijos, perskaitykite šiuos dokumentus:

K5. Kaip rasti reikalavimų neatitinkančius objektus, kurie jau yra mano aplinkoje?

A5. Administratoriai gali ieškoti savo kataloge esamų reikalavimų neatitinkančių paskyrų naudodami "PowerShell" scenarijų, pvz., toliau pateikiamus pavyzdžius.

Norėdami rasti kompiuterio paskyras, kurios turi neatitinkantį sAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Norėdami rasti kompiuterio paskyras, kurios neatitinka "UserAccountControl sAMAccountType":

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Ištekliai

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×