Resumo
As atualizações do Windows para CVE-2021-42282 lançadas em 9 de novembro de 2021 adicionam as seguintes verificações para atributos no AD (Active Directory):
-
Exclusividade de nome UPN e SPN (nome da entidade de serviço) (novo no Windows 8, no Windows Server 2012 e em versões anteriores)
-
Exclusividade de alias de SPN (novo em todas as versões do Windows)
Exclusividade de nome UPN e nome da entidade de serviço
Esse recurso garante que os SPNs sejam exclusivos em uma floresta, o que impede que computadores e controladores de domínio adicionem SPNs duplicados. Esta funcionalidade já existe no Windows 8.1 e superior e é descrita em Exclusividade de SPN e nome UPN.
Exclusividade de alias de SPN
Um atributo existente do AD define aliases para muitas classes de serviço comuns para o HOST SPN equivalente para serviços como CIFS, HTTP e RPC. O atributo do AD é definido como uma lista no contexto de nomenclatura de configuração de uma floresta do Active Directory. Um usuário que não tem direitos de administrador pode não reatribuir um SPN atribuído implicitamente a uma conta diferente usando esse aliasing.
Observação Essa verificação é implementada além da verificação de exclusividade de UPN e SPN.
As verificações de exclusividade de alias de SPN são ativadas por padrão. Você pode desativar essas verificações modificando o caractere 21st do atributo dSHeuristics , que é interpretado como uma série de caracteres. O atributo dSHeuristics não existe por padrão, mas você pode adicioná-lo com o nome diferenciado “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local”. As configurações possíveis e seus valores de bits correspondentes são:
-
Valor 0 – significa Impor Todos (sem bits definidos 000) Padrão
-
Valor 1 – significa Desabilitar a verificação de exclusividade UPN (bit 0 definido – 001)
-
Valor 2 – significa Desabilitar a verificação de exclusividade do SPN (bit 1 definido – 010)
-
Valor 3 – significa Desabilitar a verificação de exclusividade e exclusividade do UPN. (bit 0 e 1 conjunto – 011)
-
Valor 4 – significa Desabilitar a verificação de exclusividade do SPN Alias (bit 2 set – 100)
-
Valor 5 – significa Desabilitar a verificação de exclusividade do SPN Alias AND UPN (bit 2 e bit 0 definido – 101)
-
Valor 6 – significa Desabilitar o SPN Alias AND SPN Uniqueness (bit 2 e bit 1 set – 110)
-
Valor 7 – significa Desabilitar Todos (todos os bits definidos 111)
Exemplo: Se você não tiver outras configurações de dSHeuristics habilitadas em sua floresta e quiser desabilitar apenas a verificação de exclusividade de alias do SPN, o atributo dSHeuristics deve ser definido como: "000000000100000000024"
Os caracteres definidos nesse caso são:
10th char: deve ser definido como 1 se o atributo dSHeuristics for pelo menos 10 caracteres
20th char: deve ser definido como 2 se o atributo dSHeuristics for pelo menos 20 caracteres
21st char: deve ser definido como um valor na lista acima; valor 4 significa Desabilitar a exclusividade do Alias do SPN.
Observação Se o atributo dSHeuristics já estiver definido, mesclar as configurações existentes na nova cadeia de caracteres de atributo dSHeuristics e confirmar se os caracteres 10, 20 e 21 estão definidos como acima. Os outros caracteres que já estão definidos devem permanecer inalterados.
Para obter mais informações sobre como configurar os caracteres dSHeuristics, consulte os seguintes documentos:
Mais informações
O que é um nome da entidade de serviço?
Um SPN (nome da entidade de serviço) é um identificador exclusivo para uma instância de serviço. A autenticação Kerberos usa SPNs para associar uma instância de serviço a uma conta de entrada de serviço. Isso permite que um aplicativo cliente solicite que o serviço autentique uma conta, mesmo se o cliente não tiver o nome da conta. Consulte Nomes de Entidades de Serviço para obter mais detalhes.
O que é o nome UPN?
O nome UPN é um nome de entrada em estilo de email para um usuário com base no padrão da Internet RFC 822. Para obter mais detalhes, consulte atributo User-Principal-Name.
Perguntas frequentes
P1 E se eu precisar registrar um SPN de alias de HOST duplicado para uma conta?
R1 Registre o SPN necessário como administrador.
P2 O que acontecerá se eu desativar a exclusividade de SPN ou UPN?
R2 Não recomendamos isso. Se os SPNs não forem exclusivos, será como se os SPNs duplicados não tivessem sido registrados. O registro de um SPN duplicado tem o mesmo efeito que o cancelamento do registro do original. Se os UPNs não forem exclusivos, as pesquisas de usuário que usarem UPNs duplicados falharão.
P3 O que acontecerá se eu desativar a exclusividade de alias de SPN?
R3 Não recomendamos isso. Um não administrador pode alterar a resolução de um alias de SPN existente de sua resolução atual para um computador sob o controle do não administrador. Esse computador pode atuar como esse serviço, pois a autenticação de servidor fornecida pelo Kerberos aceitaria a nova conta como o host correto para o serviço, em vez da conta original com o HOST SPN.
P4 Como um administrador de domínio pode localizar SPNs ou UPNs duplicados já presentes na rede?
R4 Isso não é prático sem escrever scripts extensos para enumerar todos os SPNs e UPNs do domínio e correlacionar para localizar duplicatas.
P5 O que acontecerá se eu tiver uma mistura de controladores de domínio atualizados e não atualizados ou configurações incompatíveis entre os controladores de domínio?
R5 A replicação não será bloqueada devido a UPNs ou SPNs duplicados. Portanto, as duplicatas poderão ser replicadas para outros controladores de domínio se os UPNs ou os SPNs duplicados forem criados em um controlador de domínio que não tenha a atualização.
