Samenvatting
Windows updates voor CVE-2021-42282 die op 9 november 2021 zijn uitgebracht, voegt u de volgende verificaties toe voor kenmerken in Active Directory (AD):
-
Uniciteit van de gebruikersnaam (UPN) en de spn-naam (service principal name) (nieuw voor Windows 8, Windows Server 2012 en eerdere versies)
-
UNIEKE SPN-alias (nieuw voor alle Windows versies)
Unieke gebruikersnaam en servicenaam
Deze functie garandeert dat SPN's uniek zijn in een forest, waardoor computers en domeincontrollers geen dubbele SPN's kunnen toevoegen. Deze functionaliteit bestaat al in Windows 8.1 en hoger en wordt beschreven in de uniekheid van SPN en UPN.
UNIEKE SPN-alias
Een bestaand AD-kenmerk definieert aliassen voor veelgebruikte serviceklassen met het equivalente HOST SPN voor services zoals CIFS, HTTP en RPC. Het AD-kenmerk wordt gedefinieerd als een lijst in de context van de naamgeving van de configuratie van een Active Directory-forest. Een gebruiker die geen beheerdersrechten heeft, kan mogelijk geen SPN opnieuw toewijzen die impliciet is toegewezen aan een ander account met deze aliasing.
Opmerking Deze verificatie wordt geïmplementeerd naast de verificatie voor upn- en SPN-uniekheid.
Verificaties van de SPN-alias uniciteit zijn standaard ingeschakeld. U kunt deze verificaties uitschakelen door het 21e teken van het kenmerk dSHeuristics te wijzigen, dat wordt geïnterpreteerd als een reeks tekens. Het kenmerk dSHeuristics bestaat niet standaard, maar u kunt het toevoegen onder de voorname naam "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Mogelijke instellingen en bijbehorende bitwaarden zijn als volgt:
-
Waarde 0: betekent Alles afdwingen (geen bitsset 000) Standaard
-
Waarde 1 : verificatie upn-uniekheid uitschakelen (bit 0 set - 001)
-
Waarde 2: verificatie spn-uniekheid uitschakelen (bit 1 set - 010)
-
Waarde 3: upn-uniciteit en spn-uniekheidsverificatie uitschakelen. (bit 0 en 1 set - 011)
-
Waarde 4: spn alias uniquenessverificatie uitschakelen (bit 2 set - 100)
-
Waarde 5: spn-alias en upn-uniekheidsverificatie uitschakelen (bit 2 en bit 0 set - 101)
-
Waarde 6: spn-alias en spn-uniekheid uitschakelen (bit 2 en bit 1 set - 110)
-
Waarde 7: alles uitschakelen (alle bitsset 111)
Voorbeeld: Als er geen andere dSHeuristics-instellingen zijn ingeschakeld in uw forest en u alleen verificatie van DE SPN-alias uniciteit wilt uitschakelen, moet het kenmerk dSHeuristics zijn ingesteld op: '000000000100000000024'
De tekens die in dit geval zijn ingesteld, zijn:
10e teken: moet zijn ingesteld op 1 als het kenmerk dSHeuristics ten minste 10 tekens is
20e teken: moet zijn ingesteld op 2 als het kenmerk dSHeuristics ten minste 20 tekens is
21e char: Moet zijn ingesteld op een waarde in de bovenstaande lijst; waarde 4 betekent Spn Alias Uniqueness uitschakelen.
Opmerking Als het kenmerk dSHeuristics al is ingesteld, moet u de bestaande instellingen samenvoegen in de nieuwe dSHeuristics-kenmerkreeks en bevestigen dat de 10e, 20e en 21e tekens zijn ingesteld als hierboven. De andere tekens die al zijn ingesteld, moeten ongewijzigd blijven.
Raadpleeg de volgende documenten voor meer informatie over het configureren van dSHeuristics-tekens:
Meer informatie
Wat is een naam van de service principal?
Een service principal name (SPN) is een unieke id voor een service-exemplaar. Kerberos-verificatie gebruikt SPN's om een service-exemplaar te koppelen aan een service-aanmeldingsaccount. Op deze manier kan een clienttoepassing een account laten verifiëren door de service, zelfs als de client de accountnaam niet heeft. Zie Service Principal Names voor meer informatie.
Wat is een gebruikersnaam?
Een gebruikersnaam (UPN) is een aanmeldingsnaam in e-mailstijl voor een gebruiker op basis van de internetstandaard RFC 822. Zie het kenmerk User-Principal-Name voor meer informatie.
Veelgestelde vragen
Q1 Wat moet ik doen als ik een dubbele HOST alias SPN voor account moet registreren?
A1 Registreer de vereiste SPN als beheerder.
Q2 Wat gebeurt er als ik spn- of UPN-uniekheid uit schakel?
A2 Dit wordt niet aangeraden. Als SPN's niet uniek zijn, is het alsof spn's die duplicaten zijn, helemaal niet zijn geregistreerd. Het registreren van een dubbele SPN heeft hetzelfde effect als het afmelden van de oorspronkelijke spn. Als UPN's niet uniek zijn, mislukt het zoeken van gebruikers met dubbele UPN's.
Q3 Wat gebeurt er als ik de unieke spn-alias uit schakel?
A3 Dit wordt niet aangeraden. Een niet-beheerder kan de resolutie van een bestaande alias SPN wijzigen van de huidige resolutie in een computer onder het beheer van de niet-beheerder. Deze computer kan als die service fungeren omdat de serververificatie die Kerberos biedt, het nieuwe account accepteert als de juiste host voor de service in plaats van het oorspronkelijke account met de HOST SPN.
Q4 Hoe kan een domeinbeheerder dubbele SPN's of UPN's vinden die al aanwezig zijn in het netwerk?
A4 Dit is niet praktisch zonder uitgebreide scripts te schrijven om alle SPN's en UPN's uit het domein op te snoemen en te correleren om duplicaten te zoeken.
V5 Wat gebeurt er als ik een combinatie heb van domeincontrollers die zijn bijgewerkt en niet zijn bijgewerkt of niet overeenkomende instellingen tussen domeincontrollers?
A5 Replicatie wordt niet geblokkeerd vanwege dubbele UPN's of SPN's. Daarom kunnen duplicaten worden gerepliceerd naar andere domeincontrollers als de dubbele UPN's of SPN's worden gemaakt op een domeincontroller die de update niet heeft.
