Taikoma
Windows Server 2008 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10, version 1607, all editions Windows 10, version 1809, all editions Windows Server 2016 Windows 10, version 1909, all editions Windows Server 2019 Windows 10, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 Windows Server 2022

Suvestinė

CVE-2022-21920 apsaugos įtrauktos į 2022 m. sausio 11 d. Windows naujinimus ir Windows naujinimus. Šie naujinimai apima patobulintą logiką, kad būtų galima aptikti 3 dalių tarnybos pagrindinių pavadinimų atakas, kai naudojamas "Microsoft Negotiate" autentifikavimo protokolas.

Šiame straipsnyje pateikiamos rekomendacijos, kai "Kerberos" autentifikavimas nepavyko.

Daugiau informacijos

Įdiegus 2022 m. sausio 11 d. Windows ir vėlesnius "Windows" naujinimus, gali nepavykti autentifikuoti 3 dalių SPN, kai "Kerberos" autentifikavimas nepavyko. Šiose aplinkose tikėtina, kad "Kerberos" autentifikavimas, skirtas 3 dalių SPN, kurį laiką neveikia. Galite matyti šį įvykį "Windows" sistemose, kad būtų galima padėti triage.

LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment.

LSA Event 40970 Text version

Įvykis 40970

Saugos sistema aptiko pažeminimo bandymą, kai susisiekiate su 3 dalių SPN

<SPN pavadinimo>

su klaidos kodu "SAM duomenų bazė "Windows Server" neturi kompiuterio abonemento, kad būtų galima pasitikėti darbo vietos ryšiu (0x0000018b)" Autentifikavimas buvo atmestas.

Veiksmas

"Microsoft" rekomenduoja trinti, kodėl nepavyko naudoti "Kerberos" 3 dalių SPN autentifikavimo. Kai kurios dažniausios "Kerberos" autentifikavimo klaidos priežastys yra šios: 

  • SPN, kuris naudojamas kaip autentifikavimo paskirties vieta, yra neteisingai suformatuotas. Daugiau informacijos žr. Unikalių SPN vardų formatai.

    Pastaba: Taikomosios programos ir API gali turėti griežtesnes arba skirtingas apibrėžtis, kas sudaro teisėtą SPN jų tarnybai.

    Teisėto SPN pavyzdžiai

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Tarnyba / mašina1:10100 

    Galbūt netaisyvų SPN pavyzdžiai

    SPN 

    Priežastis 

    Host/host/machine1 

    Tikėtina, kad pagrindinis kompiuteris / pagrindinis kompiuteris yra klaida, nes "host" paprastai yra paslaugų klasė, o ne kompiuterio pavadinimas. Gali būti, kad teisėtas SPN yra pagrindinis kompiuteris / kompiuteris1. 

    Ldap/machine/contoso.com:10100 

    Prievadus galima nurodyti pagrindinio kompiuterio pavadinime ("kompiuteris"), o ne tarnybos egzemplioriaus pavadinime. Gali būti, kad teisėtas SPN yra "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Kai kurios API tikisi DNS pavadinimo, o ne FQDN. Pvz ., funkcija DsBindA (ntdsapi.h) tikisi būti perduota DNS vardu. Jei perduodamas FQDN, gali būti, kad jis suformavo neformatuotas SPN.  Teisėtas SPN gali būti "ldap/dc-a/contoso.com"

    Norėdami išspręsti šias problemas, apsvarstykite galimybę naudoti tinkamą SPN arba užregistruoti neteisingai suformatuotas SPN į tinkamą tarnybos paskyrą.

  • SPN, kuris naudojamas kaip autentifikavimo tikslas, nėra. Norėdami išspręsti šią problemą, apsvarstykite galimybę užregistruoti SPN į tinkamą tarnybos paskyrą.

  • "Windows" kliento kompiuteryje nėra "Line of Sight" domeno valdikliui (pvz., DC atjungti, negalima rasti DNS arba blokuojama prieiga prie KDC prievado).

  • Gali būti, kad netBIOS pavadinimus naudojate tokiu atveju, kai "NetBIOS" pavadinimai neveikia. Pavyzdys yra prieiga prie domeno išteklių ne domeno kompiuteryje, o "NetBIOS" vardų skiriamoji geba išjungta arba neveikia."Microsoft" rekomenduoja naudoti vartotojo vardą (UPN) arba domenų vardų sistemą (DNS) pavadinimą, o ne NetBIOS pavadinimą.

SPN registravimas 

Atsižvelgiant į taikomosios programos konfigūraciją ir aplinką, SPN gali būti konfigūruojamas tarnybos paskyros atribute Pagrindinis tarnybos pavadinimas arba kompiuterio paskyroje, kuri yra "Active Directory" domene, su kuriais "Kerberos" klientas bando sukurti "Kerberos" ryšį. Kad "Kerberos" autentifikavimas veiktų tinkamai, tikslinis SPN turi galioti.

Norėdami sužinoti, kaip įgalinti "Kerberos" autentifikavimą, žr. kiekvienos konkrečios taikomosios programos diegimo dokumentaciją arba palaikymo teikėją. Kai kurios taikomųjų programų diegimo programos arba taikomosios programos automatiškai užregistruoja SPN. Kūrėjams ir administratoriams yra skirtingos SPN registravimo parinktys:

  • Norėdami rankiniu būdu užregistruoti SPN tarnybos egzemplioriui, žr. Setspn.

  • Norėdami programiškai registruoti SPN tarnybos egzemplioriui, žr. Kaip tarnyba užregistruoja spn , apibūdinanti, kaip:

    • Paskambinkite funkcijai DsGetSpn, kad sukurtumėte vieną ar daugiau unikalių SPN tarnybos egzemplioriui. Daugiau informacijos žr. Unikalių SPN vardų formatai.

    • Paskambinkite į funkciją DsWriteAccountSpn, kad užregistruotų vardus tarnybos prisijungimo paskyroje.

Žinomos problemos

Šiuo metu nėra žinomų šio naujinimo problemų.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras