|
Zmień datę |
Zmień opis |
|
3 lutego 2026 r. |
|
Podsumowanie
Aktualizacje systemu Windows dla cve-2021-42282 wydane 9 listopada 2021 r. dodają następujące weryfikacje atrybutów w usłudze Active Directory (AD):
-
Unikatowość głównej nazwy użytkownika (UPN) i głównej nazwy usługi (SPN) (nowość w Windows 8, Windows Server 2012 i wcześniejszych wersjach)
-
Unikatowość aliasu SPN (nowość we wszystkich wersjach systemu Windows)
Unikatowość głównej nazwy użytkownika i głównej nazwy usługi
Ta funkcja gwarantuje, że nazwy SPN są unikatowe w lesie, co uniemożliwia komputerom i kontrolerom domeny dodawanie zduplikowanych nazw SPN. Ta funkcja już istnieje w Windows 8.1 i powyżej i jest opisana w unikatowości nazw spn i głównej nazwy użytkownika.
Unikatowość aliasu SPN
Istniejący atrybut usługi AD definiuje aliasy dla wielu typowych klas usługi na równoważną nazwę SPN hosta dla usług, takich jak CIFS, HTTP i RPC. Atrybut AD jest definiowany jako lista w kontekście nazewnictwa konfiguracji lasu usługi Active Directory. Użytkownik, który nie ma uprawnień administratora, nie może ponownie przypisać nazwy SPN niejawnie przypisanej do innego konta przy użyciu tego aliasu.
Uwaga Ta weryfikacja jest zaimplementowana oprócz weryfikacji unikatowości głównej nazwy użytkownika i nazwy SPN.
Weryfikacja unikatowości aliasów SPN jest domyślnie włączona. Weryfikację tę można wyłączyć, modyfikując znak 21st atrybutu dSHeuristics , który jest interpretowany jako seria znaków. Atrybut dSHeuristics nie istnieje domyślnie, ale można go dodać pod nazwą wyróżniającą "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Możliwe ustawienia i odpowiadające im wartości bitowe są następujące:
-
Wartość 0 — oznacza opcję Wymuszaj wszystko (bez zestawu bitów 000) Wartość domyślna
-
Wartość 1 — oznacza wyłączenie weryfikacji unikatowości głównej nazwy użytkownika (zestaw bitów 0 — 001)
-
Wartość 2 — oznacza wyłączenie weryfikacji unikatowości nazwy SPN (zestaw bitów 1 — 010)
-
Wartość 3 — oznacza wyłącz weryfikację unikatowości głównej nazwy użytkownika ORAZ unikatowości nazw SPN. (zestaw bitów 0 i 1 — 011)
-
Wartość 4 — oznacza wyłączenie weryfikacji unikatowości aliasu SPN (zestaw bitów 2 — 100)
-
Wartość 5 — oznacza wyłączenie weryfikacji unikatowości aliasu SPN i głównej nazwy użytkownika (zestaw bitów 2 i bitów 0 — 101)
-
Wartość 6 — oznacza wyłączenie aliasu SPN ORAZ unikatowości spn (zestaw bitów 2 i bitów 1 — 110)
-
Wartość 7 — oznacza opcję Wyłącz wszystko (wszystkie bity ustawione na 111)
Przykład: Jeśli w lesie nie włączono żadnych innych ustawień dSHeuristics i chcesz wyłączyć tylko weryfikację unikatowości aliasu SPN, atrybut dSHeuristics powinien mieć ustawioną wartość: "000000000100000000024" Znaki ustawione w tym przypadku to: 10znak : Musi być ustawiona wartość 1, jeśli atrybut dSHeuristics ma co najmniej 10 znaków 20znak : Musi być ustawiona wartość 2, jeśli atrybut dSHeuristics ma co najmniej 20 znaków 21st char: Musi być ustawiona na wartość z powyższej listy; wartość 4 oznacza Wyłącz unikatowość aliasu SPN.
Uwaga Jeśli atrybut dSHeuristics jest już ustawiony, upewnij się, że scalisz istniejące ustawienia z nowym ciągiem atrybutu dSHeuristics i upewnij się, że 10, 20 i 21 znaki są ustawione jak powyżej. Pozostałe znaki, które zostały już ustawione, powinny pozostać niezmienione.
Aby uzyskać więcej informacji na temat konfigurowania znaków dSHeuristics, zapoznaj się z następującymi dokumentami:
Więcej informacji
Co to jest nazwa podmiotu zabezpieczeń usługi?
Główna nazwa usługi (SPN) to unikatowy identyfikator wystąpienia usługi. Uwierzytelnianie Kerberos używa nazw SPN do skojarzenia wystąpienia usługi z kontem logowania usługi. Dzięki temu aplikacja klienckia może zażądać uwierzytelnienia konta przez usługę, nawet jeśli klient nie ma nazwy konta. Aby uzyskać więcej szczegółowych informacji, zobacz Nazwy główne usług .
Co to jest główna nazwa użytkownika?
Główna nazwa użytkownika (UPN) to nazwa logowania w stylu poczty e-mail dla użytkownika oparta na standardzie internetowym RFC 822. Aby uzyskać więcej szczegółowych informacji, zobacz Atrybut User-Principal-Name.
Często zadawane pytania
P1 Co zrobić, jeśli muszę zarejestrować zduplikowaną nazwę SPN aliasu HOST dla konta?
A1 Zarejestruj wymaganą nazwę spn jako administrator przedsiębiorstwa usługi Active Directory.
P2 Co się stanie, jeśli wyłączę unikatowość nazw spn lub głównej nazwy użytkownika?
A2 Nie zalecamy tego. Jeśli nazwy SPN nie są unikatowe, oznacza to, że nazwy SPN będące duplikatami w ogóle nie są zarejestrowane. Zarejestrowanie zduplikowanej nazwy SPN ma taki sam skutek jak wyrejestrowanie oryginalnej nazwy. Jeśli nazwy UPN nie są unikatowe, wyszukiwanie użytkowników przy użyciu zduplikowanych nazw UPN zakończy się niepowodzeniem.
P3 Co się stanie, jeśli wyłączę unikatowość aliasów SPN?
A3 Nie zalecamy tego. Inny niż administrator może zmienić rozdzielczość istniejącej nazwy SPN aliasu z bieżącej rozdzielczości na komputer pod kontrolą osoby niebędącej administratorem. Ten komputer może pełnić rolę tej usługi, ponieważ uwierzytelnianie serwera zapewniane przez protokół Kerberos akceptowałoby nowe konto jako właściwego hosta usługi zamiast pierwotnego konta z nazwą SPN hosta.
Q4 Jak administrator domeny może znaleźć zduplikowane nazwy SPN lub UPN już obecne w sieci?
A4 Nie jest to praktyczne bez pisania obszernych skryptów w celu wyliczenia wszystkich nazw SPN i UPN z domeny i skorelowania w celu znalezienia duplikatów.
P5 Co się stanie, jeśli mam kombinację kontrolerów domeny, które są aktualizowane, a nie zaktualizowane lub niepasują ustawień między kontrolerami domeny?
A5 Replikacja nie zostanie zablokowana z powodu zduplikowanych nazw UPN lub SPN. W związku z tym duplikaty mogą być replikowane do innych kontrolerów domeny, jeśli zduplikowane nazwy UPN lub NAZWY SPN są tworzone na kontrolerze domeny, który nie ma aktualizacji.
