Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Podsumowanie

Windows aktualizacji CVE-2021-42282 opublikowanych 9 listopada 2021 r. dodaj następujące weryfikacje atrybutów w usłudze Active Directory (AD):

  • Unikatowość nazwy głównej użytkownika (UPN) i nazwy głównej usługi (SPN) (nowość Windows 8, Windows Server 2012 i wcześniejszych wersji) 

  • Unikatowość aliasu SPN (nowość we wszystkich Windows wersjach) 

Unikatowość nazwy głównej użytkownika i nazwy głównej usługi

Ta funkcja gwarantuje, że nazwy SPN są unikatowe w lesie, co uniemożliwia komputerom i kontrolerom domen dodawanie zduplikowanych nazw SPN. Ta funkcja już istnieje w programie Windows 8.1 i przedstawionych w tece opisano unikatowość spN i UPN.

Unikatowość aliasu SPN

Istniejący atrybut AD definiuje aliasy wielu popularnych klas usług jako odpowiednik nazwy SPN hosta dla usług takich jak CIFS, HTTP i RPC. Atrybut AD jest zdefiniowany jako lista w kontekście nazewnictwa konfiguracji lasu usługi Active Directory. Użytkownik, który nie ma uprawnień administratora, może nie ponownie przypisać nazwy spn, która jest niejawnie przypisana do innego konta przy użyciu tego aliasu.

Uwaga 16. Ta weryfikacja jest zaimplementowana oprócz weryfikacji unikatowości upn i spn.

Weryfikacje unikatowości aliasów SPN są domyślnie włączone. Te weryfikacje można wyłączyć, modyfikując 21. znak atrybutu dSHeuristics , który jest interpretowany jako seria znaków. Domyślnie atrybut dSHeuristics nie istnieje, ale można go dodać pod nazwą wyróżniającą "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Możliwe ustawienia i odpowiadające im wartości bitowe są następujące:

  • Wartość 0 — oznacza wymuszanie wszystkich (bez ustawionej wartości bitów 000) Domyślne

  • Wartość 1 — oznacza wyłączenie weryfikacji unikatowości upn (bit 0 set - 001)

  • Wartość 2 — oznacza wyłączenie weryfikacji unikatowości z dodatkiem SPN (bit 1 set - 010)

  • Wartość 3 — oznacza wyłączenie weryfikacji unikatowości upn oraz unikatowości spN. (bit 0 i 1 zestaw - 011)

  • Wartość 4 — oznacza wyłączenie weryfikacji unikatowości aliasu SPN (bit 2 set - 100)

  • Wartość 5 — oznacza wyłączenie weryfikacji aliasów SPN oraz unikatowej nazwy użytkownika (ustawionej w bitach 2 i bitowych 0 — 101)

  • Wartość 6 — oznacza wyłączenie unikatowości aliasu SPN ORAZ nazwy spN (bit 2 i bit 1, zestaw — 110)

  • Wartość 7 — oznacza wartość Wyłącz wszystko (wszystkie bity mają ustawioną wartość 111)

Przykład: Jeśli w lesie nie włączono żadnych innych ustawień dSHeuristics i chcesz wyłączyć tylko weryfikację unikatowości aliasów SPN, atrybut dSHeuristics powinien mieć ustawioną wartość: "000000000100000000024"

Znaki ustawione w tym przypadku to:
10.znak : Musi zostać ustawiona wartość 1, jeśli atrybut dSHeuristics ma co najmniej 10 znaków
20.znak : Musi zostać ustawiona wartość 2, jeśli atrybut dSHeuristics ma co najmniej 20 znaków
21st char: Musi być ustawiona na wartość z powyższej listy; wartość 4 oznacza wartość Wyłącz unikatowość aliasów SPN.

Uwaga 16. Jeśli atrybut dSHeuristics jest już ustawiony, scal istniejące ustawienia z nowym ciągiem atrybutów dSHeuristics i upewnij się, że 10, 20 i 21 są ustawione jak powyżej. Pozostałe ustawione znaki powinny pozostać niezmienione.

Aby uzyskać więcej informacji na temat konfigurowania znaków dSHeuristics, zapoznaj się z następującymi dokumentami:

Więcej informacji

Co to jest nazwa podmiotu zabezpieczeń usługi?

Główna nazwa usługi (SPN) to identyfikator unikatowy wystąpienia usługi. Uwierzytelnianie Kerberos używa sieci SPN do skojarzenia wystąpienia usługi z kontem logowania usługi. Dzięki temu aplikacja klientowa może zażądać uwierzytelnienia konta przez usługę, nawet jeśli klient nie ma nazwy konta. Aby uzyskać więcej szczegółowych informacji, zobacz Nazwy główne usług.

Co to jest główna nazwa użytkownika?

Główna nazwa użytkownika (UPN) to nazwa logowania użytkownika oparta na standardzie internetowym RFC 822. Aby uzyskać więcej szczegółowych informacji, zobacz Atrybut User-Principal-Name.

Często zadawane pytania

P1 Co zrobić, jeśli muszę zarejestrować zduplikowany alias HOST (SPN) dla konta?

A1 Zarejestruj wymaganą spn jako administrator.

K2 Co się stanie, jeśli wyłączę unikatowość spn lub upn?

A2 Nie jest to zalecane. Jeśli wartości spn nie są unikatowe, wygląda to na to, że wszystkie zduplikowane sieci SPN nie są w ogóle rejestrowane. Zarejestrowanie zduplikowanej pliku SPN ma taki sam skutek, jak wyrejestrowanie oryginalnej. Jeśli nazwy UPN nie są unikatowe, wyszukiwania użytkowników z zduplikowanymi nazwami UPN nie powiedzie się.

P3 Co się stanie, jeśli wyłączę unikatowość aliasu SPN?

A3 Nie jest to zalecane. Użytkownik niebędący administratorem może zmienić rozwiązanie istniejącej nazwy SPN aliasu z bieżącej rozdzielczości na komputer pod kontrolą osoby, która nie jest administratorem. Ten komputer może działać jak ta usługa, ponieważ uwierzytelnianie serwera zapewniane przez protokół Kerberos zaakceptowałoby nowe konto jako odpowiedniego hosta dla usługi, a nie dla pierwotnego konta z dodatkiem SPN hosta.

W jaki sposób administrator domeny może znaleźć zduplikowane nazwy SPN lub UPN już obecne w sieci?

A4 Nie jest to praktyczne, bez pisania rozbudowanego skryptu w celu wyliczenia wszystkich nazw SPN i upn z domeny oraz skorelowania ich w celu znalezienia duplikatów.

Pytanie 5. Co się stanie, jeśli mam mieszaninę zaktualizowanych i nie zaktualizowanych lub niedopasowanych ustawień w kontrolerach domeny?

A5 Replikacja nie zostanie zablokowana z powodu zduplikowanych sieci UPN lub sieci SPN. Dlatego duplikaty mogą replikować się w innych kontrolerach domeny, jeśli na kontrolerze domeny, który nie ma aktualizacji, utworzono zduplikowane nazwy UPN lub nazwy SPN.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×