Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

Windows CVE-2021-42282 naujinimų, išleistų 2021 m. lapkričio 9 d., įtraukite šiuos atributų tikrinimus "Active Directory" (AD):

  • Vartotojo vardas (UPN) ir tarnybos pagrindinis pavadinimas (SPN) unikalumas (naujas ""Windows 8"", "Windows Server 2012" ir ankstesniuose leidimuose) 

  • SPN pseudonimo unikalumas (naujas visoms Windows versijoms) 

Vartotojo vardo ir tarnybos pagrindinio pavadinimo unikalumas

Ši funkcija užtikrina, kad SPN yra unikalūs miške, o tai neleidžia kompiuteriams ir domeno valdikliams įtraukti pasikartojančių SPN. Ši funkcija jau yra "Windows 8".1 ir aukščiau ir aprašyta SPN ir UPN unikalumo.

SPN pseudonimo unikalumas

Esamas AD atributas apibrėžia daugelio bendrųjų paslaugų klasių pseudonimus, atitinkančius atitinkamą PAGRINDINIO KOMPIUTERIO SPN, pvz., CIFS, HTTP ir RPC. AD atributas apibrėžiamas kaip sąrašas "Active Directory" miško konfigūracijos pavadinimų kontekste. Vartotojas, neturintis administratoriaus teisių, gali iš naujo priskirti SPN, kuris netiesiogiai priskirtas kitokiai paskyrai, naudodamas šį pseudonimą.

Pastaba Ši patikra vykdoma kartu su UPN ir SPN unikalumo tikrinimu.

SPN pseudonimo unikalumo patikros pagal numatytuosius parametrus yra įeiti. Šiuos tikrinimus galite išjungti modifikuodami dSHeuristics atributo 21-ą simbolį, kuris interpretuojamas kaip simbolių seka. Pagal numatytuosius nustatymus dSHeuristics atributo nėra, tačiau galite jį įtraukti po išskirtiniu pavadinimu "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Galimi parametrai ir jų atitinkamos bitų reikšmės yra tokios:

  • Reikšmė 0 – reiškia Įgalinti viską (be bitų rinkinio 000) Numatytoji reikšmė

  • Reikšmė 1 – reiškia Išjungti UPN unikalumo tikrinimą (0 bitų rinkinys – 001)

  • Reikšmė 2 – reiškia Išjungti SPN unikalumo patvirtinimą (1 bitų rinkinys – 010)

  • Reikšmė 3 – reiškia išjungti UPN unikalumą IR SPN unikalumą. (0 bitų ir 1 rinkinys – 011)

  • Reikšmė 4 – reiškia išjungti SPN pseudonimo unikalumo patvirtinimą (2 bitų rinkinys – 100)

  • Reikšmė 5 – reiškia IŠJUNGTI SPN pseudonimą AND UPN unikalumo patvirtinimą (2 bitų ir 0 bitų rinkinys – 101)

  • Reikšmė 6 – reiškia Išjungti SPN pseudonimą IR SPN unikalumą (2 bitų ir 1 bitų rinkinys – 110)

  • Reikšmė 7 – reiškia Išjungti viską (visi bitai nustatyti 111)

Pavyzdys: Jei jūsų miške nėra įgalinto kitų dSHeuristics parametrų ir norite išjungti TIK SPN pseudonimo unikalumo patvirtinimą, dSHeuristics atributas turi būti nustatytas kaip: "000000000100000000024"

Šiuo atveju nustatyti simboliai:
10-asis simbolis: turi būti nustatyta kaip 1, jei dSHeuristics atributas yra bent 10 simbolių
20-asis simbolis: turi būti nustatyta kaip 2, jei dSHeuristics atributas yra bent 20 simbolių
21-asis simbolis: turi būti nustatyta reikšmė aukščiau pateiktame sąraše; reikšmė 4 reiškia Išjungti SPN pseudonimo unikalumą.

Pastaba Jei atributas dSHeuristics jau nustatytas, būtinai suliekite esamus parametrus į naują dSHeuristics atributų eilutę ir patvirtinkite, kad 10-asis, 20-asis ir 21-asis simboliai nustatyti kaip nurodyta aukščiau. Kiti jau nustatyti simboliai turėtų likti nepakitę.

Daugiau informacijos apie dSHeuristics simbolių konfigūravimą žr. šiuos dokumentus:

Daugiau informacijos

Kas yra pagrindinis tarnybos pavadinimas?

Paslaugos pavadinimas (SPN) yra unikalus tarnybos egzemplioriaus identifikatorius. "Kerberos" autentifikavimas naudoja SPN tarnybos egzemplioriui susieti su tarnybos prisijungimo paskyra. Tai leidžia kliento programai prašyti, kad tarnyba autentifikuoti paskyrą, net jei klientas neturi paskyros pavadinimo. Daugiau informacijos žr. Pagrindiniai paslaugų pavadinimai.

Kas yra vartotojo vardas?

Vartotojo vardas (UPN) yra vartotojo el. pašto stiliaus prisijungimo vardas, pagrįstas interneto standartu RFC 822. Daugiau informacijos žr. Atributas Vartotojo vardas.

Dažnai užduodami klausimai

1 K Ką daryti, jei reikia užregistruoti pasikartojantį PAGRINDINIO KOMPIUTERIO pseudonimą paskyrai?

A1 Užregistruokite reikiamą SPN administratoriaus teisėmis.

K2 Kas nutiks, jei išjungiu SPN arba UPN unikalumą?

A2 To nerekomenduojame. Jei SPN nėra unikalūs, tai tarsi visi SPN, kurie yra dublikatai, nėra užregistruoti. Besidubliuojančios SPN registravimas turi tokį patį efektą, kaip ir išregistruojant pradinę. Jei UPN nėra unikalūs, vartotojo peržvalgų naudojant pasikartojančius UPN nepavyks.

Kas nutiks, jei išjungiu SPN pseudonimą?

A3 To nerekomenduojame. Ne administratorius gali pakeisti esamo pseudonimo SPN skiriamąją gebą iš dabartinės skiriamosios gebos į kompiuterį ne administratoriaus valdomi. Šis kompiuteris gali veikti kaip ši tarnyba, nes serverio autentifikavimas, kurį teikia "Kerberos", priims naują paskyrą kaip tinkamą tarnybos pagrindinį kompiuterį, o ne pradinę paskyrą su PAGRINDINIO KOMPIUTERIO SPN.

K4 Kaip domeno administratorius gali rasti pasikartojančius SPN arba UPN, kurie jau yra tinkle?

A4 Tai nėra praktiška nerašant išsamių scenarijų, kad būtų išvardyti visi SPN ir UPN iš domeno ir susieti su dublikatų radimas.

K5 Kas nutiks, jei turiu domeno valdiklių, kurie atnaujinami ir neatnaujinami arba neatitinka domeno valdiklių parametrų, mišinį?

A5 Replikavimas nebus blokuojamas dėl pasikartojančių UPN arba SPN. Todėl dublikatai gali replikuoti kitus domeno valdiklius, jei pasikartojantys UPN arba SPN sukuriami domeno valdiklyje, kuriame nėra naujinimo.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×