|
Datum wijzigen |
Beschrijving wijzigen |
|
dinsdag 3 februari 2026 |
|
Samenvatting
Windows-updates voor CVE-2021-42282, uitgebracht op 9 november 2021, voegen de volgende verificaties toe voor kenmerken in Active Directory (AD):
-
Uniekheid van UPN (User Principal Name) en SPN (Service Principal Name) (nieuw in Windows 8, Windows Server 2012 en eerdere releases)
-
Uniekheid van SPN-alias (nieuw in alle Windows-versies)
Uniekheid van user principal name en service-principal name
Deze functie garandeert dat SPN's uniek zijn in een forest, waardoor computers en domeincontrollers geen dubbele SPN's kunnen toevoegen. Deze functionaliteit bestaat al in Windows 8.1 en hoger en wordt beschreven in SPN- en UPN-uniekheid.
Uniekheid van SPN-alias
Een bestaand AD-kenmerk definieert aliassen voor veel algemene serviceklassen naar de equivalente HOST SPN voor services zoals CIFS, HTTP en RPC. Het AD-kenmerk wordt gedefinieerd als een lijst in de naamgevingscontext van een Active Directory-forest. Een gebruiker die geen beheerdersrechten heeft, kan een SPN die impliciet is toegewezen aan een ander account niet opnieuw toewijzen met behulp van deze aliasing.
Opmerking Deze verificatie wordt geïmplementeerd naast de verificatie voor de uniekheid van UPN en SPN.
Verificaties van de uniekheid van SPN-aliassen zijn standaard ingeschakeld. U kunt deze verificaties uitschakelen door het teken 21st van het kenmerk dSHeuristics te wijzigen, dat wordt geïnterpreteerd als een reeks tekens. Het kenmerk dSHeuristics bestaat niet standaard, maar u kunt het toevoegen onder de DN-naam 'CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local'. Mogelijke instellingen en de bijbehorende bitwaarden zijn als volgt:
-
Waarde 0: betekent alles afdwingen (geen bits ingesteld op 000) Standaard
-
Waarde 1: betekent upn-uniekheidsverificatie uitschakelen (bit 0 set - 001)
-
Waarde 2: betekent verificatie van SPN-uniekheid uitschakelen (bit 1 set - 010)
-
Waarde 3: betekent verificatie van UPN-uniekheid EN SPN-uniekheid uitschakelen. (bit 0 en 1 set - 011)
-
Waarde 4 : betekent verificatie van de uniekheid van SPN-alias uitschakelen (bit 2 set - 100)
-
Waarde 5 : betekent verificatie van SPN-alias en UPN-uniekheid uitschakelen (bit 2 en bit 0 set - 101)
-
Waarde 6 - betekent spn-alias en SPN-uniekheid uitschakelen (bit 2 en bit 1 set - 110)
-
Waarde 7: betekent Alles uitschakelen (alle bits ingesteld op 111)
Voorbeeld: Als u geen andere dSHeuristics-instellingen hebt ingeschakeld in uw forest en u alleen verificatie van de uniekheid van SPN-alias wilt uitschakelen, moet het kenmerk dSHeuristics worden ingesteld op: '000000000100000000024' De tekens die in dit geval worden ingesteld, zijn:10e teken: moet worden ingesteld op 1 als het kenmerk dSHeuristics ten minste 10 tekens is 20e teken: moet worden ingesteld op 2 als het kenmerk dSHeuristics ten minste 20 tekens is 21st teken: moet worden ingesteld op een waarde in de bovenstaande lijst; waarde 4 betekent Uniekheid van SPN-alias uitschakelen.
Opmerking Als het kenmerk dSHeuristics al is ingesteld, moet u ervoor zorgen dat u de bestaande instellingen samenvoegt in uw nieuwe dSHeuristics-kenmerktekenreeks en controleert u of de 10e, 20e en 21e tekens zijn ingesteld zoals hierboven. De andere tekens die al zijn ingesteld, moeten ongewijzigd blijven.
Raadpleeg de volgende documenten voor meer informatie over het configureren van de dSHeuristics-tekens:
Meer informatie
Wat is een service-principalnaam?
Een service-principal name (SPN) is een unieke id voor een service-exemplaar. Kerberos-verificatie maakt gebruik van SPN's om een service-exemplaar te koppelen aan een service-aanmeldingsaccount. Hierdoor kan een clienttoepassing aanvragen dat de service een account verifieert, zelfs als de client de accountnaam niet heeft. Zie Namen van service-principals voor meer informatie.
Wat is een user principal name?
Een USER Principal Name (UPN) is een aanmeldingsnaam in e-mailstijl voor een gebruiker op basis van de internetstandaard RFC 822. Zie Het kenmerk User-Principal-Name voor meer informatie.
Veelgestelde vragen
Q1 Wat moet ik doen als ik een dubbele HOST-alias-SPN voor account moet registreren?
A1 Registreer de vereiste SPN als Active Directory Enterprise-beheerder.
V2 Wat gebeurt er als ik SPN- of UPN-uniekheid uitschakelt?
A2 Dit wordt afgeraden. Als SPN's niet uniek zijn, is het alsof SPN's die duplicaten zijn, helemaal niet worden geregistreerd. Het registreren van een dubbele SPN heeft hetzelfde effect als het ongedaan maken van de registratie van de oorspronkelijke. Als UPN's niet uniek zijn, mislukken zoekacties van gebruikers met behulp van dubbele UPN's.
V3 Wat gebeurt er als ik uniekheid van SPN-alias uitschakelt?
A3 Dit wordt afgeraden. Een niet-beheerder kan de resolutie van een bestaande alias-SPN wijzigen van de huidige resolutie naar een computer die door de niet-beheerder wordt beheerd. Deze computer kan fungeren als die service omdat de serververificatie die Kerberos biedt, het nieuwe account zou accepteren als de juiste host voor de service in plaats van het oorspronkelijke account met de HOST-SPN.
Q4 Hoe kan een domeinbeheerder dubbele SPN's of UPN's vinden die al aanwezig zijn op het netwerk?
A4 Dit is niet praktisch zonder uitgebreide scripting te schrijven om alle SPN's en UPN's uit het domein op te sommen en te correleren om duplicaten te vinden.
Q5 Wat gebeurt er als ik een combinatie van domeincontrollers heb die zijn bijgewerkt en die niet zijn bijgewerkt of niet overeenkomende instellingen tussen domeincontrollers?
A5 Replicatie wordt niet geblokkeerd vanwege dubbele UPN's of SPN's. Dubbele waarden kunnen daarom worden gerepliceerd naar andere domeincontrollers als de dubbele UPN's of SPN's worden gemaakt op een domeincontroller waarop de update niet is geïnstalleerd.
