Sammendrag

Windows oppdateringer for CVE-2021-42282 utgitt 9. november 2021, legger du til følgende bekreftelser for attributter i Active Directory (AD):

  • Unikhet (UPN) og tjenesteprinsippnavn (SPN) (nytt for Windows 8, Windows Server 2012 og tidligere versjoner)

  • UNIKHET FOR SPN-alias (ny for alle Windows versjoner)

Unikhet for brukers hovednavn og tjenesteprinsippnavn

Denne funksjonen garanterer at SPN-er er unike i en skog, noe som hindrer datamaskiner og domenekontrollere i å legge til dupliserte SPN-er. Denne funksjonaliteten finnes allerede i Windows 8.1 og nyere, og er beskrevet i SPN- og UPN-unikhet.

UNIKHET FOR SPN-alias

Et eksisterende AD-attributt definerer aliaser for mange vanlige tjenesteklasser til tilsvarende VERT SPN for tjenester som CIFS, HTTP og RPC. AD-attributtet er definert som en liste i konfigurasjonsnavngivingskonteksten for en Active Directory-skog. En bruker som ikke har administratorrettigheter, kan ikke tilordne et SPN som er implisitt tilordnet til en annen konto ved hjelp av denne aliasingen.

Obs! Denne bekreftelsen implementeres i tillegg til bekreftelsen for UPN- og SPN-unikhet.

SPN-alias-unikhetsbekreftelser er aktivert som standard. Du kan deaktivere disse bekreftelsene ved å endre det 21. tegnet i dSHeuristics-attributtet, som tolkes som en serie med tegn. dSHeuristics-attributtet finnes ikke som standard, men du kan legge det til under det unike navnet "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Mulige innstillinger og tilhørende bitverdier er som følger:

  • Verdi 0 – betyr Fremtving alle (ingen biter angitt 000) Standard

  • Verdi 1 – betyr Deaktiver UPN Uniqueness-bekreftelse (bit 0 angitt – 001)

  • Verdi 2 – betyr Deaktiver SPN Uniqueness-bekreftelse (bit 1 angitt – 010)

  • Verdi 3 – betyr Deaktiver UPN Uniqueness AND SPN Uniqueness-bekreftelse. (bit 0 og 1 angitt – 011)

  • Verdi 4 – betyr Deaktiver SPN Alias Uniqueness-bekreftelse (bit 2 angitt – 100)

  • Verdi 5 – betyr Deaktiver SPN-alias og UPN Uniqueness-bekreftelse (bit 2 og bit 0 angitt – 101)

  • Verdi 6 – betyr Deaktiver SPN-alias og SPN-unikhet (bit 2 og bit 1 angitt – 110)

  • Verdi 7 – betyr Deaktiver alle (alle biter angitt 111)

Eksempel: Hvis ingen andre dSHeuristics-innstillinger er aktivert i skogen, og du bare vil deaktivere bekreftelse av unikhet for SPN-alias, bør attributtet dSHeuristics settes til: «000000000100000000024»

Tegnene som er angitt i dette tilfellet, er:
10.tegn: Må settes til 1 hvis dSHeuristics-attributtet er minst 10 tegn
20.tegn: Må settes til 2 hvis dSHeuristics-attributtet er på minst 20 tegn
21st char: Må angis til en verdi i listen ovenfor; verdi 4 betyr Deaktiver SPN Alias Uniqueness.

Obs! Hvis dSHeuristics-attributtet allerede er angitt, må du passe på å slå sammen de eksisterende innstillingene til den nye dSHeuristics-attributtstrengen og bekrefte at de tiende, 20. og 21. tegnene er angitt som ovenfor. De andre tegnene som allerede er angitt, skal forbli uendret.

Hvis du vil ha mer informasjon om hvordan du konfigurerer dSHeuristics-tegnene, kan du se følgende dokumenter:

Mer informasjon

Hva er et tjenesteprinsippnavn?

Et tjenesteprinsippnavn (SPN) er en unik identifikator for en tjenesteforekomst. Kerberos-godkjenning bruker SPN-er til å knytte en tjenesteforekomst til en tjenestepåloggingskonto. Dette gjør at et klientprogram kan be om at tjenesten godkjenner en konto selv om klienten ikke har kontonavnet. Se Tjenesteprinsippnavn for mer informasjon.

Hva er et brukerprinsippnavn?

Et brukerprinsippnavn (UPN) er et påloggingsnavn i e-poststil for en bruker basert på Internett-standarden RFC 822. Hvis du vil ha mer informasjon, kan du se Attributtet User-Principal-Name.

Vanlige spørsmål

Spørsmål 1 Hva om jeg trenger å registrere et duplisert VERT-alias SPN for kontoen?

A1 Registrer det nødvendige SPN-et som administrator.

Spørsmål 2 Hva skjer hvis jeg slår av SPN eller UPN unikhet?

A2 Vi anbefaler ikke dette. Hvis SPN-er ikke er unike, er det som om alle SPN-er som er duplikater, ikke er registrert i det hele tatt. Registrering av en duplisert SPN har samme effekt som å avregistrere den opprinnelige. Hvis UPN-er ikke er unike, vil brukeroppslag som bruker dupliserte UPN-er, mislykkes.

Spørsmål 3 Hva skjer hvis jeg deaktiverer unikhet for SPN-alias?

A3 Vi anbefaler ikke dette. En ikke-administrator kan endre oppløsningen på et eksisterende alias SPN fra den gjeldende oppløsningen til en datamaskin under ikke-administratorens kontroll. Denne datamaskinen kan fungere som denne tjenesten fordi servergodkjenningen som Kerberos gir, vil godta den nye kontoen som riktig vert for tjenesten i stedet for den opprinnelige kontoen med VERTS-SPN.

Q4 Hvordan kan en domeneadministrator finne dupliserte SPN-er eller UPN-er som allerede finnes på nettverket?

A4 Dette er ikke praktisk uten å skrive omfattende skripting for å nummerere alle SPN-er og UPN-er fra domenet og korrelere for å finne duplikater.

Q5 Hva skjer hvis jeg har en blanding av domenekontrollere som oppdateres og ikke oppdateres eller ikke samsvarer med innstillingene mellom domenekontrollere?

A5 Replikering blokkeres ikke på grunn av dupliserte UPN-er eller SPN-er. Duplikater kan derfor replikeres til andre domenekontrollere hvis dupliserte UPN-er eller SPN-er opprettes på en domenekontroller som ikke har oppdateringen.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med kvaliteten på oversettelsen?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×