Kopsavilkums
CVE-2022-21920 aizsardzība ir iekļauta 2022. gada 11. janvārī, Windows atjauninājumus un Windows atjauninājumus. Šie atjauninājumi satur uzlabotu loģiku, lai noteiktu pazemināšanas uzbrukumus 3 daļu pakalpojumu pamatnosauktiem, izmantojot Microsoft apspriedīšanās autentifikācijas protokolu.
Šajā rakstā sniegti norādījumi, ja Kerberos autentifikācija nav sekmīga.
Papildinformācija
Instalējot 2022. gada 11. janvāri, Windows atjauninājumi un jaunākas versijas Windows atjaunināšana var izraisīt neveiksmīgu autentifikāciju 3 daļu SPN, kur Kerberos autentifikācija nav sekmīga. Šajā vidē pastāv iespēja, ka Kerberos autentifikācija 3 daļu SPT jau kādu laiku nedarbojas. Iespējams, redzēsit tālāk norādīto notikumu Windows sistēmās, lai palīdzētu ķīlēt.
LSA event 40970 Ekrānuzņēmums, kurā identificēta NTLM atkāpšanās konkrētam SPN no Microsoft testa vides. |
LSA Event 40970 teksta versija |
|
Sazinoties ar 3 daļu SPN, drošības sistēma ir konstatējusi pazemināšanas mēģinājumu <SPN nosaukumu> ar kļūdas kodu "SAM datu bāzei Windows serverī nav datora konta darbstacijas drošības kontroles relācijai (0x0000018b)" Autentifikācija tika liegta. |
Darbība
Microsoft iesaka ciltīs, kāpēc Kerberos autentifikācija 3 daļu SPN neizdevās. Daži bieži sastopami iemesli, kāpēc Kerberos autentifikācijas kļūme ir šāda:
-
SPN, kas tiek izmantots kā autentifikācijas mērķis, ir nepareizi formatēts. Papildinformāciju skatiet rakstā Unikālu SPT nosaukumu formāti.
Piezīme.: Lietojumprogrammām un API var būt stingrākas vai atšķirīgas definīcijas, kas veido likumīgu SPN viņu pakalpojumam.
Likumīgu SPN piemēri
http/tīmekļa serveris
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Pakalpojums/dators1:10100
Iespējami nepareizi formatētu SPT piemēriSPN
Iemesls
Resursdators/resursdators/dators1
Resursdators/resursdators, visticamāk, ir kļūda, jo "resursdators" parasti ir pakalpojumu klase, nevis datora nosaukums. Iespējams, ka likumīgā SPN ir resursdators/dators1.
Ldap/machine/contoso.com:10100
Portus var norādīt resursdatora nosaukumā ("dators"), nevis pakalpojuma instances nosaukumā. Iespējams, ka likumīgās SPN ir "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Noteikti API gaida DNS nosaukumu, nevis FQDN. Piemēram, funkcija DsBindA (ntdsapi.h) gaida, ka tiks nodota DNS nosaukumā. Ja tiek nodots FQDN, tas var izraisīt malformēto SPN.
Likumīgs SPN var būt "ldap/dc-a/contoso.com"Lai novērstu šīs problēmas, apsveriet iespēju izmantot pareizo SPN vai reģistrēt nepareizi formatētos SPN pareizajā pakalpojuma kontā.
-
SPN, kas tiek izmantots kā autentifikācijas mērķis, nepastāv. Lai novērstu šo problēmu, apsveriet iespēju reģistrēt SPN pareizajā pakalpojuma kontā.
-
Klienta Windows nav domēna kontrollera līnijas (piemēram, DC ir bezsaistē, nevar atklāt DNS vai tiek bloķēta piekļuve KDC portam).
-
Iespējams, ka izmantojat NetMAKSĀJOTS nosaukumus scenārijā, kad NetMAKSĀJOTS nosaukumi nedarbojas. Piemērs ir piekļuve domēnu resursiem no datora, kurā nav pievienots domēns, un Net KGS nosaukumu atpazīšana ir atspējota vai nedarbojas.
Microsoft iesaka izmantot pamatnosauļu (User Principal Name – UPN) vai domēnu nosaukumu sistēmu (Domain Name System - DNS) NetMAKSĀJOTS nosaukuma vietā.
SPT reģistrēšana
Atkarībā no lietojumprogrammas un vides konfigurācijas SPN var būt konfigurēti pakalpojuma konta atribūtam Service Principal Name vai datora kontam, kas atrodas Active Directory domēnā, ko Kerberos klients mēģina izveidot Kerberos savienojumu ar. Lai Kerberos autentifikācija darbotos pareizi, mērķa SPN ir jābūt derīgam.
Skatiet izvietošanas dokumentāciju vai katras konkrētās programmas atbalsta nodrošinātāju, lai saņemtu norādījumus par Kerberos autentifikācijas iespējošanu. Daži lietojumprogrammu instalētāji vai lietojumprogrammas automātiski reģistrē SPT. Gan izstrādātājiem, gan administratoriem ir dažādas iespējas reģistrēt SPN:
-
Lai pakalpojuma instancei manuāli reģistrētu SPN, skatiet rakstu Setspn.
-
Lai programmiski reģistrētu SPT pakalpojumu instancei, skatiet rakstu Kā pakalpojums reģistrē savus SPT, aprakstot, kā:
-
Zvaniet funkcijai DsGetSpn, lai izveidotu vienu vai vairākus unikālus SPN pakalpojuma instancei. Papildinformāciju skatiet rakstā Unikālu SPT nosaukumu formāti.
-
Zvaniet funkcijai DsWriteAccountSpn, lai reģistrētu vārdus pakalpojuma pieteikšanās kontā.
-
Zināmās problēmas
Pašlaik nav nevienas zināmas problēmas ar šo atjauninājumu.