Suvestinė
CVE-2022-21920 apsaugos įtrauktos į 2022 m. sausio 11 d. Windows naujinimus ir Windows naujinimus. Šie naujinimai apima patobulintą logiką, kad būtų galima aptikti 3 dalių tarnybos pagrindinių pavadinimų atakas, kai naudojamas "Microsoft Negotiate" autentifikavimo protokolas.
Šiame straipsnyje pateikiamos rekomendacijos, kai "Kerberos" autentifikavimas nepavyko.
Daugiau informacijos
Įdiegus 2022 m. sausio 11 d. Windows ir vėlesnius "Windows" naujinimus, gali nepavykti autentifikuoti 3 dalių SPN, kai "Kerberos" autentifikavimas nepavyko. Šiose aplinkose tikėtina, kad "Kerberos" autentifikavimas, skirtas 3 dalių SPN, kurį laiką neveikia. Galite matyti šį įvykį "Windows" sistemose, kad būtų galima padėti triage.
LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment. |
LSA Event 40970 Text version |
|
Saugos sistema aptiko pažeminimo bandymą, kai susisiekiate su 3 dalių SPN <SPN pavadinimo> su klaidos kodu "SAM duomenų bazė "Windows Server" neturi kompiuterio abonemento, kad būtų galima pasitikėti darbo vietos ryšiu (0x0000018b)" Autentifikavimas buvo atmestas. |
Veiksmas
"Microsoft" rekomenduoja trinti, kodėl nepavyko naudoti "Kerberos" 3 dalių SPN autentifikavimo. Kai kurios dažniausios "Kerberos" autentifikavimo klaidos priežastys yra šios:
-
SPN, kuris naudojamas kaip autentifikavimo paskirties vieta, yra neteisingai suformatuotas. Daugiau informacijos žr. Unikalių SPN vardų formatai.
Pastaba: Taikomosios programos ir API gali turėti griežtesnes arba skirtingas apibrėžtis, kas sudaro teisėtą SPN jų tarnybai.
Teisėto SPN pavyzdžiai
http/webserver
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Tarnyba / mašina1:10100
Galbūt netaisyvų SPN pavyzdžiaiSPN
Priežastis
Host/host/machine1
Tikėtina, kad pagrindinis kompiuteris / pagrindinis kompiuteris yra klaida, nes "host" paprastai yra paslaugų klasė, o ne kompiuterio pavadinimas. Gali būti, kad teisėtas SPN yra pagrindinis kompiuteris / kompiuteris1.
Ldap/machine/contoso.com:10100
Prievadus galima nurodyti pagrindinio kompiuterio pavadinime ("kompiuteris"), o ne tarnybos egzemplioriaus pavadinime. Gali būti, kad teisėtas SPN yra "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Kai kurios API tikisi DNS pavadinimo, o ne FQDN. Pvz ., funkcija DsBindA (ntdsapi.h) tikisi būti perduota DNS vardu. Jei perduodamas FQDN, gali būti, kad jis suformavo neformatuotas SPN.
Teisėtas SPN gali būti "ldap/dc-a/contoso.com"Norėdami išspręsti šias problemas, apsvarstykite galimybę naudoti tinkamą SPN arba užregistruoti neteisingai suformatuotas SPN į tinkamą tarnybos paskyrą.
-
SPN, kuris naudojamas kaip autentifikavimo tikslas, nėra. Norėdami išspręsti šią problemą, apsvarstykite galimybę užregistruoti SPN į tinkamą tarnybos paskyrą.
-
"Windows" kliento kompiuteryje nėra "Line of Sight" domeno valdikliui (pvz., DC atjungti, negalima rasti DNS arba blokuojama prieiga prie KDC prievado).
-
Gali būti, kad netBIOS pavadinimus naudojate tokiu atveju, kai "NetBIOS" pavadinimai neveikia. Pavyzdys yra prieiga prie domeno išteklių ne domeno kompiuteryje, o "NetBIOS" vardų skiriamoji geba išjungta arba neveikia.
"Microsoft" rekomenduoja naudoti vartotojo vardą (UPN) arba domenų vardų sistemą (DNS) pavadinimą, o ne NetBIOS pavadinimą.
SPN registravimas
Atsižvelgiant į taikomosios programos konfigūraciją ir aplinką, SPN gali būti konfigūruojamas tarnybos paskyros atribute Pagrindinis tarnybos pavadinimas arba kompiuterio paskyroje, kuri yra "Active Directory" domene, su kuriais "Kerberos" klientas bando sukurti "Kerberos" ryšį. Kad "Kerberos" autentifikavimas veiktų tinkamai, tikslinis SPN turi galioti.
Norėdami sužinoti, kaip įgalinti "Kerberos" autentifikavimą, žr. kiekvienos konkrečios taikomosios programos diegimo dokumentaciją arba palaikymo teikėją. Kai kurios taikomųjų programų diegimo programos arba taikomosios programos automatiškai užregistruoja SPN. Kūrėjams ir administratoriams yra skirtingos SPN registravimo parinktys:
-
Norėdami rankiniu būdu užregistruoti SPN tarnybos egzemplioriui, žr. Setspn.
-
Norėdami programiškai registruoti SPN tarnybos egzemplioriui, žr. Kaip tarnyba užregistruoja spn , apibūdinanti, kaip:
-
Paskambinkite funkcijai DsGetSpn, kad sukurtumėte vieną ar daugiau unikalių SPN tarnybos egzemplioriui. Daugiau informacijos žr. Unikalių SPN vardų formatai.
-
Paskambinkite į funkciją DsWriteAccountSpn, kad užregistruotų vardus tarnybos prisijungimo paskyroje.
-
Žinomos problemos
Šiuo metu nėra žinomų šio naujinimo problemų.