|
Data da alteração |
Alterar descrição |
|
3 de fevereiro de 2026 |
|
Resumo
As atualizações do Windows para CVE-2021-42282 disponibilizadas a 9 de novembro de 2021 adicionam as seguintes verificações para atributos no Active Directory (AD):
-
Exclusividade de nome UPN e SPN (nome da entidade de serviço) (novo no Windows 8, no Windows Server 2012 e em versões anteriores)
-
Exclusividade de alias de SPN (novo em todas as versões do Windows)
Exclusividade de nome UPN e nome da entidade de serviço
Esse recurso garante que os SPNs sejam exclusivos em uma floresta, o que impede que computadores e controladores de domínio adicionem SPNs duplicados. Esta funcionalidade já existe em Windows 8.1 e acima e está descrita na exclusividade do SPN e do UPN.
Exclusividade de alias de SPN
Um atributo existente do AD define aliases para muitas classes de serviço comuns para o HOST SPN equivalente para serviços como CIFS, HTTP e RPC. O atributo do AD é definido como uma lista no contexto de nomenclatura de configuração de uma floresta do Active Directory. Um utilizador que não tenha direitos de administrador pode não reatribuir um SPN implicitamente atribuído a uma conta diferente com este aliasing.
Observação Essa verificação é implementada além da verificação de exclusividade de UPN e SPN.
As verificações de exclusividade de alias de SPN são ativadas por padrão. Pode desativar estas verificações ao modificar o caráter 21st do atributo dSHeuristics , que é interpretado como uma série de carateres. O atributo dSHeuristics não existe por padrão, mas você pode adicioná-lo com o nome diferenciado “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local”. As configurações possíveis e seus valores de bits correspondentes são:
-
Valor 0 – significa Impor Tudo (sem bits definidos como 000) Predefinição
-
Valor 1 – significa Desativar a verificação de Exclusividade do UPN (bit 0 definido - 001)
-
Valor 2 – significa Desativar a verificação de Exclusividade do SPN (bit 1 definido - 010)
-
Valor 3 – significa Desativar a Exclusividade do UPN e a verificação de Exclusividade do SPN. (bit 0 e 1 definido - 011)
-
Valor 4 – significa Desativar a verificação de Exclusividade do Alias SPN (bit 2 definido - 100)
-
Valor 5 – significa Desativar o Alias SPN e a verificação de Exclusividade do UPN (bit 2 e bit 0 definido - 101)
-
Valor 6 – significa Desativar o Alias SPN E a Exclusividade do SPN (bit 2 e bit 1 definido - 110)
-
Valor 7 – significa Desativar Tudo (todos os bits definidos como 111)
Exemplo: Se não tiver outras definições de dSHeuristics ativadas na floresta e apenas quiser desativar a verificação da exclusividade do alias SPN, o atributo dSHeuristics deve ser definido como: "000000000100000000024" Os carateres definidos neste caso são: 10º caráter: tem de ser definido como 1 se o atributo dSHeuristics for, pelo menos, 10 carateres 20th char: tem de ser definido como 2 se o atributo dSHeuristics for, pelo menos, 20 carateres 21st char: tem de ser definido como um valor na lista acima; value 4 significa Disable SPN Alias Uniqueness.
Observação Se o atributo dSHeuristics já estiver definido, certifique-se de que intercala as definições existentes na nova cadeia de atributos dSHeuristics e confirme que os 10º, 20º e 21º carateres estão definidos como acima. Os outros carateres que já estão definidos devem permanecer inalterados.
Para obter mais informações sobre como configurar os carateres dSHeuristics, veja os seguintes documentos:
Mais informações
O que é um nome da entidade de serviço?
Um SPN (nome da entidade de serviço) é um identificador exclusivo para uma instância de serviço. A autenticação Kerberos usa SPNs para associar uma instância de serviço a uma conta de entrada de serviço. Isso permite que um aplicativo cliente solicite que o serviço autentique uma conta, mesmo se o cliente não tiver o nome da conta. Veja Nomes dos Principais de Serviço para obter mais detalhes.
O que é o nome UPN?
Um nome principal de utilizador (UPN) é um nome de início de sessão de estilo de e-mail para um utilizador com base no RFC 822 padrão da Internet. Para obter mais detalhes, veja User-Principal-Name attribute (Atributo User-Principal-Name).
Perguntas frequentes
P1 E se eu precisar registrar um SPN de alias de HOST duplicado para uma conta?
R1 Registe o SPN necessário como Administrador do Active Directory Enterprise.
P2 O que acontecerá se eu desativar a exclusividade de SPN ou UPN?
R2 Não recomendamos isso. Se os SPNs não forem exclusivos, será como se os SPNs duplicados não tivessem sido registrados. O registro de um SPN duplicado tem o mesmo efeito que o cancelamento do registro do original. Se os UPNs não forem exclusivos, as pesquisas de usuário que usarem UPNs duplicados falharão.
P3 O que acontecerá se eu desativar a exclusividade de alias de SPN?
R3 Não recomendamos isso. Um não administrador pode alterar a resolução de um alias de SPN existente de sua resolução atual para um computador sob o controle do não administrador. Esse computador pode atuar como esse serviço, pois a autenticação de servidor fornecida pelo Kerberos aceitaria a nova conta como o host correto para o serviço, em vez da conta original com o HOST SPN.
P4 Como um administrador de domínio pode localizar SPNs ou UPNs duplicados já presentes na rede?
R4 Isso não é prático sem escrever scripts extensos para enumerar todos os SPNs e UPNs do domínio e correlacionar para localizar duplicatas.
P5 O que acontecerá se eu tiver uma mistura de controladores de domínio atualizados e não atualizados ou configurações incompatíveis entre os controladores de domínio?
R5 A replicação não será bloqueada devido a UPNs ou SPNs duplicados. Portanto, as duplicatas poderão ser replicadas para outros controladores de domínio se os UPNs ou os SPNs duplicados forem criados em um controlador de domínio que não tenha a atualização.
