|
Endre dato |
Endre beskrivelse |
|
3. februar 2026 kl. |
|
Oppsummering
Windows-oppdateringer for CVE-2021-42282 utgitt 9. november 2021 legger til følgende bekreftelser for attributter i Active Directory (AD):
-
Brukerhovednavn (UPN) og spn-unikhet (service principal name) (nytt for Windows 8, Windows Server 2012 og tidligere versjoner)
-
UNIKHET for SPN-alias (nytt for alle Windows-versjoner)
Unikhet for brukerhovednavn og tjenestekontohavernavn
Denne funksjonen garanterer at SPN-er er unike i en skog, noe som hindrer datamaskiner og domenekontrollere i å legge til dupliserte SPN-er. Denne funksjonaliteten finnes allerede i Windows 8.1 og nyere, og er beskrevet i SPN- og UPN-unikhet.
UNIKHET for SPN-alias
Et eksisterende AD-attributt definerer aliaser for mange vanlige tjenesteklasser til tilsvarende HOST SPN for tjenester som CIFS, HTTP og RPC. AD-attributtet er definert som en liste i konfigurasjonsnavnekonteksten for en Active Directory-skog. En bruker som ikke har administratorrettigheter, tilordner kanskje ikke en SPN som er implisitt tilordnet til en annen konto ved hjelp av dette aliaset.
Obs! Denne bekreftelsen implementeres i tillegg til bekreftelsen for UPN- og SPN-unikhet.
Bekreftelse av SPN-alias unikhet er aktivert som standard. Du kan deaktivere disse bekreftelsene ved å endre 21st-tegnet i dSHeuristics-attributtet, som tolkes som en rekke tegn. DSHeuristics-attributtet finnes ikke som standard, men du kan legge det til under det unike navnet "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Mulige innstillinger og tilhørende bitverdier er som følger:
-
Verdi 0 – betyr Bruk alle (ingen biter angitt 000) Standard
-
Verdi 1 – betyr Deaktiver UPN Uniqueness-bekreftelse (bit 0 sett – 001)
-
Verdi 2 – betyr Deaktiver SPN Uniqueness-bekreftelse (bit 1 sett – 010)
-
Verdi 3 – betyr deaktiver UPN Uniqueness OG SPN Uniqueness-bekreftelse. (bit 0 og 1 sett - 011)
-
Verdi 4 – betyr deaktiver bekreftelse av UNIKHET for SPN-alias (bit 2 sett – 100)
-
Verdi 5 – betyr deaktiver bekreftelse av SPN Alias OG UPN Uniqueness (bit 2 og bit 0 angitt – 101)
-
Verdi 6 - betyr Deaktiver SPN Alias OG SPN Uniqueness (bit 2 og bit 1 sett - 110)
-
Verdi 7 – betyr Deaktiver alle (alle biter angitt 111)
Eksempel: Hvis du ikke har noen andre dSHeuristics-innstillinger aktivert i skogen, og du bare vil deaktivere BEKREFTELSE av SPN-aliasets unikhet, skal dSHeuristics-attributtet settes til: «000000000100000000024» Tegnene som er angitt i dette tilfellet, er: 10. tegn: Må settes til 1 hvis dSHeuristics-attributtet er minst 10 tegn 20. tegn: Må settes til 2 hvis dSHeuristics-attributtet er minst 20 tegn 21st tegn: Må settes til en verdi i listen ovenfor; verdi 4 betyr Deaktiver SPN Alias Uniqueness.
Obs! Hvis dSHeuristics-attributtet allerede er angitt, må du passe på å slå sammen de eksisterende innstillingene til den nye attributtstrengen dSHeuristics og bekrefte at 10th, 20th og 21st tegn er angitt som ovenfor. De andre tegnene som allerede er angitt, skal forbli uendret.
Hvis du vil ha mer informasjon om hvordan du konfigurerer dSHeuristics-tegnene, kan du se følgende dokumenter:
Mer informasjon
Hva er et tjenestekontohavernavn?
Et tjenestehovednavn (SPN) er en unik identifikator for en tjenesteforekomst. Kerberos-godkjenning bruker SPN-er til å knytte en tjenesteforekomst til en tjenestepåloggingskonto. Dette gjør det mulig for et klientprogram å be om at tjenesten godkjenner en konto selv om klienten ikke har kontonavnet. Se tjenestekontohavernavn for mer informasjon.
Hva er et brukerhovednavn?
Et brukerhovednavn (UPN) er et påloggingsnavn i e-poststil for en bruker basert på Internett-standarden RFC 822. Hvis du vil ha mer informasjon, kan du se attributtet Brukerhovednavn.
Vanlige spørsmål
Q1 Hva om jeg trenger å registrere en duplisert HOST alias SPN for kontoen?
A1 Registrer den nødvendige SPN-en som Active Directory Enterprise-administrator.
Q2 Hva skjer hvis jeg deaktiverer SPN- eller UPN-unikhet?
A2 Vi anbefaler ikke dette. Hvis SPN-er ikke er unike, er det som om eventuelle SPN-er som er duplikater, ikke er registrert i det hele tatt. Registrering av en duplisert SPN har samme effekt som å avregistrere den opprinnelige. Hvis UPN-er ikke er unike, mislykkes brukeroppslag ved hjelp av dupliserte UPN-er.
Q3 Hva skjer hvis jeg slår av SPN alias unikhet?
A3 Vi anbefaler ikke dette. En ikke-administrator kan endre oppløsningen til et eksisterende alias SPN fra gjeldende oppløsning til en datamaskin under ikke-administratorens kontroll. Denne datamaskinen kan fungere som denne tjenesten fordi servergodkjenningen som Kerberos tilbyr, godtar den nye kontoen som riktig vert for tjenesten i stedet for den opprinnelige kontoen med HOST SPN.
Q4 Hvordan kan en domeneadministrator finne dupliserte SPN-er eller UPN-er som allerede finnes på nettverket?
A4 Dette er ikke praktisk uten å skrive omfattende skripting for å liste opp alle SPN-er og UPN-er fra domenet og koordinere for å finne duplikater.
Q5 Hva skjer hvis jeg har en blanding av domenekontrollere som er oppdaterte og ikke oppdaterte eller ikke samsvarende innstillinger mellom domenekontrollere?
A5 Replikering blokkeres ikke på grunn av dupliserte UPN-er eller SPN-er. Duplikater kan derfor replikeres til andre domenekontrollere hvis de dupliserte UPN-ene eller SPN-ene opprettes på en domenekontroller som ikke har oppdateringen.
