|
Keisti datą |
Keisti aprašą |
|
2026 m. vasario 3 d. |
|
Suvestinė
"Windows" naujinimai, skirti CVE-2021-42282 , išleisti 2021 m. lapkričio 9 d., įtraukia šiuos "Active Directory" (AD) atributų tikrinimus:
-
Sistemos vartotojo vardas (UPN) ir tarnybos pagrindinio pavadinimo (SPN) unikalumas (naujas „Windows 8“, Windows Server 2012" ir ankstesni leidimai)
-
SPN pseudonimo unikalumas (naujas visose "Windows" versijose)
Sistemos vartotojo vardas ir tarnybos pagrindinio pavadinimo unikalumas
Ši funkcija užtikrina, kad SPN yra unikalūs miške, o tai neleidžia kompiuteriams ir domeno valdikliams įtraukti pasikartojančių SPN. Ši funkcija jau yra „Windows 8“.1 ir naujesnėse versijose ir aprašyta SPN ir UPN unikalumo aprašyme.
SPN pseudonimo unikalumas
Esamas AD atributas apibrėžia daugelio bendrųjų paslaugų klasių pseudonimus kaip lygiaverčius PAGRINDINIO KOMPIUTERIO SPN paslaugoms, pvz., CIFS, HTTP ir RPC. AD atributas apibrėžiamas kaip sąrašas "Active Directory" miško konfigūracijos pavadinimo kontekste. Vartotojas, neturintis administratoriaus teisių, gali nepriskirti SPN, kuris netiesiogiai priskirtas kitam abonementui naudojant šį pseudonimą.
Pastaba Šis tikrinimas atliekamas kartu su UPN ir SPN unikalumo tikrinimu.
SPN pseudonimo unikalumo tikrinimas įjungtas pagal numatytuosius parametrus. Šiuos patvirtinimus galite išjungti modifikuodami dSHeuristics atributo 21st simbolį, kuris interpretuojamas kaip simbolių seka. Pagal numatytuosius nustatymus atributo dSHeuristics nėra, tačiau galite jį įtraukti išskirtiniu pavadinimu "CN=Directory Service", CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Galimi parametrai ir atitinkamos jų bitų reikšmės yra tokie:
-
Reikšmė 0 – reiškia Įgalinti viską (nėra bitų rinkinio 000) numatytoji reikšmė
-
Reikšmė 1 – reiškia išjungti UPN unikalumo tikrinimą (0 bitų rinkinys – 001)
-
Reikšmė 2 – reiškia išjungti SPN unikalumo tikrinimą (1 bitų rinkinys – 010)
-
3 reikšmė – reiškia išjungti UPN unikalumą IR SPN unikalumo tikrinimą. (bitų 0 ir 1 rinkinys – 011)
-
Reikšmė 4 – reiškia išjungti SPN pseudonimo unikalumo tikrinimą (2 bitų rinkinys – 100)
-
Reikšmė 5 – reiškia išjungti SPN pseudonimą IR UPN unikalumo tikrinimą (2 bitų ir 0 bitų rinkinys – 101)
-
Reikšmė 6 – reiškia išjungti SPN pseudonimą IR SPN unikalumą (2 bitų ir 1 bitų rinkinys – 110)
-
Reikšmė 7 – reiškia Išjungti viską (visų bitų rinkinys 111)
Pavyzdys: Jei jūsų miške nėra įgalintų kitų dSHeuristics parametrų ir norite išjungti tik SPN pseudonimo unikalumo tikrinimą, atributas dSHeuristics turėtų būti nustatytas į: "000000000100000000024" Šiuo atveju nustatyti tokie simboliai: 10simbolių : turi būti nustatyta į 1, jei dSHeuristics atributas yra bent 10 simbolių 20simbolio : turi būti nustatyta į 2, jei dSHeuristics atributas yra bent 20 simbolių 21st char: turi būti nustatyta reikšmė aukščiau pateiktame sąraše; reikšmė 4 reiškia Išjungti SPN pseudonimo unikalumą.
Pastaba Jei atributas dSHeuristics jau nustatytas, suliekite esamus parametrus į naują dSHeuristics atributo eilutę ir įsitikinkite, kad 10, 20 ir 21 simboliai nustatyti kaip anksčiau. Kiti jau nustatyti simboliai turi likti nepakeisti.
Daugiau informacijos apie dSHeuristics simbolių konfigūravimą žr. šiuose dokumentuose:
Daugiau informacijos
Kas yra pagrindinis tarnybos pavadinimas?
Pagrindinis tarnybos pavadinimas (SPN) yra unikalus tarnybos egzemplioriaus identifikatorius. "Kerberos" autentifikavimas naudoja SPN, kad susietų tarnybos egzempliorių su tarnybos prisijungimo abonementu. Tai leidžia kliento programai prašyti, kad tarnyba autentifikuoja paskyrą, net jei klientas neturi abonemento pavadinimo. Daugiau informacijos žr. Pagrindinis tarnybos pavadinimas .
Kas yra sistemos vartotojo vardas?
Sistemos vartotojo vardas (UPN) yra vartotojo el. pašto stiliaus prisijungimo vardas, pagrįstas interneto standartiniu RFC 822. Daugiau informacijos žr. User-Principal-Name atributas.
Dažnai užduodami klausimai
1 K Ką daryti, jei reikia užregistruoti paskyros PAGRINDINIO KOMPIUTERIO pseudonimo SPN dublikatą?
A1 Užregistruoti reikiamą SPN kaip "Active Directory" įmonės administratorių.
2 k. Kas nutiks, jei išjungsiu SPN arba UPN unikalumą?
A2 Nerekomenduojame to daryti. Jei SPN nėra unikalūs, vadinasi, visi SPN, kurie yra dublikatai, nėra visiškai užregistruoti. Besidubliuojančio SPN registravimas veikia taip pat, kaip išregistruojamas pradinis. Jei UPN nėra unikalūs, vartotojo peržvalgos, naudojančios pasikartojančius UPN, nepavyks.
3 k. Kas nutiks, jei išjungsiu SPN pseudonimo unikalumą?
A3 Nerekomenduojame to daryti. Ne administratorius gali pakeisti esamo pseudonimo SPN skiriamąją gebą iš dabartinės skiriamosios gebos į kompiuterį, kurį valdo ne administratorius. Šis kompiuteris gali veikti kaip ta tarnyba, nes serverio autentifikavimas, kurį pateikia Kerberos, priims naują abonementą kaip tinkamą tarnybos pagrindinį kompiuterį, o ne pradinį abonementą su HOST SPN.
4 K. Kaip domeno administratorius gali rasti tinkle jau esančius pasikartojančius SPN arba UPN?
A4 Tai nepraktiška nerašant išsamių scenarijų, kad būtų galima išvardyti visus domeno SPN ir UPN ir susieti, kad būtų galima rasti dublikatus.
5 k. Kas nutiks, jei turiu atnaujintų ir neatnaujintų arba nesutampančių domeno valdiklių parametrų domenų valdiklius?
A5 Replikavimas nebus blokuojamas dėl pasikartojančių UPN arba SPN. Todėl dublikatai gali replikuoti į kitus domeno valdiklius, jei dubliuoti UPN arba SPN sukuriami domeno valdiklyje, kuriame nėra naujinimo.
