Kopsavilkums

CVE-2022-21920 aizsardzība ir iekļauta 2022. gada 11. janvārī, Windows atjauninājumus un Windows atjauninājumus. Šie atjauninājumi satur uzlabotu loģiku, lai noteiktu pazemināšanas uzbrukumus 3 daļu pakalpojumu pamatnosauktiem, izmantojot Microsoft apspriedīšanās autentifikācijas protokolu.

Šajā rakstā sniegti norādījumi, ja Kerberos autentifikācija nav sekmīga.

Papildinformācija

Instalējot 2022. gada 11. janvāri, Windows atjauninājumi un jaunākas versijas Windows atjaunināšana var izraisīt neveiksmīgu autentifikāciju 3 daļu SPN, kur Kerberos autentifikācija nav sekmīga. Šajā vidē pastāv iespēja, ka Kerberos autentifikācija 3 daļu SPT jau kādu laiku nedarbojas. Iespējams, redzēsit tālāk norādīto notikumu Windows sistēmās, lai palīdzētu ķīlēt.

LSA event 40970 Ekrānuzņēmums, kurā identificēta NTLM atkāpšanās konkrētam SPN no Microsoft testa vides.

LSA Event 40970 teksta versija

Notikums 40970

Sazinoties ar 3 daļu SPN, drošības sistēma ir konstatējusi pazemināšanas mēģinājumu

<SPN nosaukumu>

ar kļūdas kodu "SAM datu bāzei Windows serverī nav datora konta darbstacijas drošības kontroles relācijai (0x0000018b)" Autentifikācija tika liegta.

Darbība

Microsoft iesaka ciltīs, kāpēc Kerberos autentifikācija 3 daļu SPN neizdevās. Daži bieži sastopami iemesli, kāpēc Kerberos autentifikācijas kļūme ir šāda: 

  • SPN, kas tiek izmantots kā autentifikācijas mērķis, ir nepareizi formatēts. Papildinformāciju skatiet rakstā Unikālu SPT nosaukumu formāti.

    Piezīme.: Lietojumprogrammām un API var būt stingrākas vai atšķirīgas definīcijas, kas veido likumīgu SPN viņu pakalpojumam.

    Likumīgu SPN piemēri

    http/tīmekļa serveris 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Pakalpojums/dators1:10100 


    Iespējami nepareizi formatētu SPT piemēri

    SPN 

    Iemesls 

    Resursdators/resursdators/dators1 

    Resursdators/resursdators, visticamāk, ir kļūda, jo "resursdators" parasti ir pakalpojumu klase, nevis datora nosaukums. Iespējams, ka likumīgā SPN ir resursdators/dators1. 

    Ldap/machine/contoso.com:10100 

    Portus var norādīt resursdatora nosaukumā ("dators"), nevis pakalpojuma instances nosaukumā. Iespējams, ka likumīgās SPN ir "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Noteikti API gaida DNS nosaukumu, nevis FQDN. Piemēram, funkcija DsBindA (ntdsapi.h) gaida, ka tiks nodota DNS nosaukumā. Ja tiek nodots FQDN, tas var izraisīt malformēto SPN.  
    Likumīgs SPN var būt "ldap/dc-a/contoso.com"

    Lai novērstu šīs problēmas, apsveriet iespēju izmantot pareizo SPN vai reģistrēt nepareizi formatētos SPN pareizajā pakalpojuma kontā.

  • SPN, kas tiek izmantots kā autentifikācijas mērķis, nepastāv. Lai novērstu šo problēmu, apsveriet iespēju reģistrēt SPN pareizajā pakalpojuma kontā.

  • Klienta Windows nav domēna kontrollera līnijas (piemēram, DC ir bezsaistē, nevar atklāt DNS vai tiek bloķēta piekļuve KDC portam).

  • Iespējams, ka izmantojat NetMAKSĀJOTS nosaukumus scenārijā, kad NetMAKSĀJOTS nosaukumi nedarbojas. Piemērs ir piekļuve domēnu resursiem no datora, kurā nav pievienots domēns, un Net KGS nosaukumu atpazīšana ir atspējota vai nedarbojas.

    Microsoft iesaka izmantot pamatnosauļu (User Principal Name – UPN) vai domēnu nosaukumu sistēmu (Domain Name System - DNS) NetMAKSĀJOTS nosaukuma vietā.

SPT reģistrēšana 

Atkarībā no lietojumprogrammas un vides konfigurācijas SPN var būt konfigurēti pakalpojuma konta atribūtam Service Principal Name vai datora kontam, kas atrodas Active Directory domēnā, ko Kerberos klients mēģina izveidot Kerberos savienojumu ar. Lai Kerberos autentifikācija darbotos pareizi, mērķa SPN ir jābūt derīgam.

Skatiet izvietošanas dokumentāciju vai katras konkrētās programmas atbalsta nodrošinātāju, lai saņemtu norādījumus par Kerberos autentifikācijas iespējošanu. Daži lietojumprogrammu instalētāji vai lietojumprogrammas automātiski reģistrē SPT. Gan izstrādātājiem, gan administratoriem ir dažādas iespējas reģistrēt SPN:

  • Lai pakalpojuma instancei manuāli reģistrētu SPN, skatiet rakstu Setspn.

  • Lai programmiski reģistrētu SPT pakalpojumu instancei, skatiet rakstu Kā pakalpojums reģistrē savus SPT, aprakstot, kā:

    • Zvaniet funkcijai DsGetSpn, lai izveidotu vienu vai vairākus unikālus SPN pakalpojuma instancei. Papildinformāciju skatiet rakstā Unikālu SPT nosaukumu formāti.

    • Zvaniet funkcijai DsWriteAccountSpn, lai reģistrētu vārdus pakalpojuma pieteikšanās kontā.

Zināmās problēmas

Pašlaik nav nevienas zināmas problēmas ar šo atjauninājumu.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×