Kopsavilkums

CVE-2021-42278 pievēršas drošības apiešanas ievainojamībai, kas ļauj potenciālajiem uzbrukumiem personificēt domēna kontrolleri, izmantojot datora konta izlikšanās sAMAccountName izlikšanās.

Šajā rakstā sniegta papildinformācija un bieži uzdoto jautājumu sadaļa Active Directory drošības kontu pārvaldnieka (SAM) rūdīšanas izmaiņām, ko veic Windows atjauninājumi, kas izlaisti 2021. gada 9. novembrī un jaunākas versijas, kā dokumentēti programmā CVE-2021-42278.

Active Directory validācijas pārbaudes.

Pēc CVE-2021-42278instalēšanas Active Directory izpildīs tālāk norādīto validāciju lietotāju izveidoto vai modificēto datoru kontu sAMAccountName un UserAccountControl atribūtiem, kuriem nav administratora tiesību datoru kontiem. 

  1. sAMAccountType validācija lietotāju un datoru kontiem

    • ObjectClass=Datora (vai datora apakšklases) kontiem jābūt userAccountControl UF_WORKSTATION_TRUST_ACCOUNT vai UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=Lietotājam ir jābūt jūsu vai jūsu UF_NORMAL_ACCOUNT vai UF_INTERDOMAIN_TRUST_ACCOUNT

  2. sAMAccountName validācija datoru kontiem

    Tā datora konta sAMAccountName, kura userAccountControl atribūtā ir iekļauts UF_WORKSTATION_TRUST_ACCOUNT ir jābeidzas ar vienu dolāra zīmi ($). Ja šie nosacījumi nav izpildīti, Active Directory atgriež kļūmes kodu 0x523 ERROR_INVALID_ACCOUNTNAME. Neizdevās validācijas tiek reģistrētas direktorijs-services-SAM notikuma ID 16991 sistēmas notikumu žurnālā.

Ja šie nosacījumi nav izpildīti, Active Directory atgriež kļūmes kodu ACCESS_DENIED. Neizdevās validācijas tiek reģistrētas direktorijs-services-SAM notikuma ID 16990 sistēmas notikumu žurnālā.

Notikumu auditēšana

Objektu klase un UserAccountControl validācijas kļūme

Ja neizdodas validēt objektu klasi un UserAccountControl, sistēmas žurnālā tiek reģistrēts tālāk redzamais notikums.

Notikumu žurnāls

Sistēma

Notikuma tips

Kļūda

Notikuma avots

Directory-Services-SAM

Notikuma ID

16990

Notikuma teksts

Drošības kontu pārvaldnieks bloķēja to, ka administrators nav administrators, izveidojot šī domēna Active Directory kontu ar neatbilstošām objektuklasēm un userAccountControl konta tipa karodziņiem.

Detalizēta informācija:

Konta nosaukums: %1%n

Konta objektu_klasi: %2%n

userAccountControl: %3%n

Zvanītāja adrese: %4%n

Zvanītāja SID: %5%n%n

SAM konta nosaukuma validācijas kļūme

Ja SAM konta nosaukuma validācija neizdodas, sistēmas žurnālā tiek reģistrēts tālāk redzamais notikums.

Notikumu žurnāls

Sistēma

Notikuma tips

Kļūda

Notikuma avots

Directory-Services-SAM

Notikuma ID

16991

Notikuma teksts

Drošības kontu pārvaldnieks bloķēja administratoru, kas nav administrators, izveidojot vai pārdēvējot datora kontu, izmantojot nederīgu sAMAccountName. sAMAccountName datora kontos ir jābūt ar vienu beigu $ zīmi.

Mēģinājums izmantot sAMAccountName: %1

Ieteicamais sAMAccountName: %1$

Sekmīgi datora konta izveides auditēšanas notikumi

Sekmīgai datora konta izveidei ir pieejami šādi esošie auditēšanas notikumi:

  • 4741(S): tika izveidots datora konts

  • 4742(S): tika mainīts datora konts

  • 4743(S): ir izdzēsts datora konts

Papildinformāciju skatiet rakstā Audita datora konta pārvaldība.

Bieži uzdotie jautājumi

1. c. Kā šis atjauninājums ietekmē esošos objektus pakalpojumā Active Directory?

A1. Esošiem objektiem validācija tiek veikta tad, ja lietotājiem nav administratora tiesību, modificējiet atribūtus sAMAccountName vai UserAccountControl.

2. Q. Kas ir sAMAccountName?

A2. sAMAccountName ir unikāls atribūts visos Active Directory drošības pamatos un ietver lietotājus, grupas un datorus. sAMAccountName nosaukumu ierobežojumi ir dokumentēti 3.1.1.6 atribūtuierobežojumi izcelsmes atjauninājumiem.

3. C. Kas ir sAMAccountType?

A3. Lai iegūtu papildinformāciju, izlasiet šos dokumentus:

Pastāv trīs iespējamās sAMAccountType vērtības, kas atbilst četriem iespējamiem userAccountcontrol karodziņiem, kā norādīts tālāk.

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

4. Q. Kādas ir userAccountControl iespējamās vērtības?

A4. Lai iegūtu papildinformāciju, izlasiet šos dokumentus:

5. C. Kā atrast neatbilstošus objektus, kas jau pastāv manā vidē?

A5. Administratori var meklēt savā direktorijā esošus neatbilstošus kontus, izmantojot PowerShell skriptu līdzīgi tālāk redzamajam piemēram.

Lai atrastu datoru kontus, kuriem ir neatbilstošs sAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Lai atrastu datoru kontus, kuriem ir neatbilstošs UserAccountControl sAMAccountType:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Resursi

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar tulkojuma kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×