Podsumowanie
CvE-2021-42278 rozwiązuje lukę w zabezpieczeniach, która umożliwia potencjalnym atakującym personifikowanie kontrolera domeny za pomocą spoofingu sAMAccountName konta komputera.
Ten artykuł zawiera dodatkowe informacje oraz sekcję często zadawanych pytań dla menedżera kont zabezpieczeń usługi Active Directory (SAM) udostępniających zmiany wprowadzone w aktualizacjach programu Windows opublikowanych 9 listopada 2021 r. i nowszych w dokumencie CVE-2021-42278.
Testy poprawności usługi Active Directory
Po zainstalowaniu kodu CVE-2021-42278usługa Active Directory wykona inspekcję sprawdzania poprawności podaną poniżej wartości sAMAccountName i UserAccountKontrolowanie atrybutów kont komputerów utworzonych lub zmodyfikowanych przez użytkowników, którzy nie mają praw administratora dla kont komputerów.
-
Sprawdzanie poprawności typu sAMAccountType dla kont użytkowników i komputerów
-
ObjectClass=Computer (lub podklasa komputera) konta muszą mieć flagi UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT lub UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User musi mieć flagi AC UF_NORMAL_ACCOUNT lub UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
Sprawdzanie poprawności sAMAccountName dla kont komputerowych
SAMAccountName konta komputera, którego atrybut UserAccountControl zawiera UF_WORKSTATION_TRUST_ACCOUNT musi kończyć się jednym znakiem dolara ($). Jeśli te warunki nie są spełnione, usługa Active Directory zwraca kod błędu 0x523 ERROR_INVALID_ACCOUNTNAME. Nieudane sprawdzanie poprawności jest rejestrowane w identyfikatorze zdarzenia Directory-Services-SAM 16991 w dzienniku zdarzeń systemu.
Jeśli te warunki nie są spełnione, usługa Active Directory zwraca kod błędu ACCESS_DENIED. Nieudane sprawdzanie poprawności jest rejestrowane w identyfikatorze zdarzenia Directory-Services-SAM 16990 w dzienniku zdarzeń systemu.
Inspekcja zdarzeń
Klasa obiektu i błąd sprawdzania poprawności przez UserAccount
Gdy sprawdzanie poprawności danych Object i UserAccountControl zakończy się niepowodzeniem, w dzienniku systemu zostanie zarejestrowane następujące zdarzenie:
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Błąd |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Identyfikator zdarzenia |
16990 |
|
Tekst zdarzenia |
Menedżer konta zabezpieczeń zablokował użytkownikowi, który nie jest administratorem, utworzenie konta usługi Active Directory w tej domenie z niedopasowanym obiektemKlasa i userAccountKontrolka typu konta. Szczegóły: Nazwa konta: %1%n Obiekt AccountClass: %2%n userAccountControl: %3%n Adres rozmówcy: %4%n Identyfikator SID wywołującego: %5%n%n |
Błąd sprawdzania poprawności nazwy konta SAM
W przypadku niepowodzenia sprawdzania poprawności nazwy konta SAM w dzienniku systemu zostanie zarejestrowane następujące zdarzenie:
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Błąd |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Identyfikator zdarzenia |
16991 |
|
Tekst zdarzenia |
Menedżer konta zabezpieczeń zablokował administratorowi, który nie jest administratorem, tworzenie lub zmienianie nazwy konta komputera przy użyciu nieprawidłowej nazwy SAMAccountName. Wartość sAMAccountName na kontach komputerowych musi kończyć się pojedynczym znakiem $ na końcu. Próbowano sAMAccountName: %1 Zalecana nazwa sAMAccountName: %1$ |
Pomyślne zdarzenia inspekcji tworzenia konta na komputerze
Dostępne są następujące istniejące zdarzenia inspekcji na temat pomyślnego utworzenia konta na komputerze:
-
4741(S): utworzono konto komputera
-
4742(S): zmieniono konto komputera
-
4743(S): Usunięto konto komputera
Aby uzyskać więcej informacji, zobacz Inspekcja zarządzania kontami komputerów.
Często zadawane pytania
K1. Jak ta aktualizacja wpływa na istniejące obiekty w usłudze Active Directory?
A1. W przypadku istniejących obiektów sprawdzanie poprawności jest sprawdzane, gdy użytkownicy, którzy nie mają praw administratora, modyfikują atrybuty sAMAccountName lub UserAccountControl.
K2. Co to jest sAMAccountName?
A2. SAMAccountName to unikatowy atrybut dla wszystkich głównych zabezpieczeń w usłudze Active Directory, który obejmuje użytkowników, grupy i komputery. Ograniczenia nazw dla parametru sAMAccountName o dokumencie 3.1.1.6Ograniczenia atrybutów dla aktualizacji pochodzących.
K3. Co to jest typ sAMAccountType?
A3. Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:
Istnieją trzy możliwe wartości sAMAccountType, które odpowiadają czterem możliwym flagom kontroli przez UserAccount w następujący sposób:
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
K4. Jakie są możliwe wartości dla kontroli konta użytkownika?
A4. Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:
K5. Jak znaleźć obiekty niezgodne, które już istnieją w moim środowisku?
A5. Administratorzy mogą przeszukiwać swoje katalogi w poszukiwaniu istniejących niezgodnych kont za pomocą skryptu programu PowerShell, jak w poniższych przykładach.
Aby znaleźć konta komputerów, które mają niezgodne konto sAMAccountName:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Aby znaleźć konta komputerów, które mają niezgodne useraccountControl sAMAccountType:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
