Applies ToWindows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Resumo

A CVE-2021-42278 aborda uma vulnerabilidade de segurança ignorada que permite aos potenciais atacantes fazerem-se passar por um controlador de domínio utilizando spoofing da conta de computador sAMAccountName.

Este artigo fornece detalhes adicionais e uma secção de perguntas mais frequentes para o Gestor de Contas de Segurança do Active Directory (SAM) para endurecer as alterações feitas pelas atualizações de Windows lançadas a 9 de novembro de 2021 e posteriores conforme documentado em CVE-2021-42278.

Verificações de validação do Active Directory

Após instalar o CVE-2021-42278,o Active Directory irá efetuar as inspeções de validação listadas abaixo nos atributos sAMAccountName e UserAccountControl de contas de computador criadas ou modificadas por utilizadores que não têm direitos de administrador para contas de computador. 

  1. validação sAMAccountType para contas de utilizador e computadores

    • ObjectClass=Computer (ou subclass of computer) tem de ter sinalizadores UserAccountControl de UF_WORKSTATION_TRUST_ACCOUNT ou UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=User tem de ter sinalizadores UAC de UF_NORMAL_ACCOUNT ou UF_INTERDOMAIN_TRUST_ACCOUNT

  2. validação sAMAccountName para contas de computador

    O sAMAccountName de uma conta de computador cujo atributo UserAccountControl contém o sinalizador UF_WORKSTATION_TRUST_ACCOUNT tem de terminar com um único cifrão ($). Quando estas condições não são cumpridas, o Active Directory devolve o código de falha 0x523 ERROR_INVALID_ACCOUNTNAME. As validações falhadas são registradas no ID do evento Directory-Services-SAM 16991 no registo de eventos do Sistema.

Quando estas condições não são cumpridas, o Active Directory devolve um código de falha de ACCESS_DENIED. As validações falhadas são registradas no ID do evento Directory-Services-SAM 16990 no registo de eventos do Sistema.

Auditar eventos

Classe do objeto e Falha de validação de UserAccountControl

Quando a validação Object class e UserAccountControl falha, o seguinte evento será registrado no registo do Sistema:

Registo de Eventos

Sistema

Tipo de Evento

Erro

Origem do Evento

Directory-Services-SAM

ID de Evento

16990

Texto do Evento

O gestor de conta de segurança bloqueou a criação de uma conta do Active Directory neste domínio por um não administrador com sinalizadores de tipo de conta UserAccountControl eClass e userAccountControl.

Detalhes:

Nome de conta: %1%n

Objeto de contaClass: %2%n

userAccountControl: %3%n

Endereço do chamador: %4%n

SID do Chamador: %5%n%n

Falha na validação do Nome da Conta SAM

Quando a validação do Nome de Conta SAM falhar, o seguinte evento será registrado no registo do Sistema:

Registo de Eventos

Sistema

Tipo de Evento

Erro

Origem do Evento

Directory-Services-SAM

ID de Evento

16991

Texto do Evento

O gestor de conta de segurança bloqueou a criação ou o nome de uma conta de computador por parte de um não administrador através de um sAMAccountName inválido. O sAMAccountName nas contas do computador tem de terminar com um único sinal $ à saída.

Attempted sAMAccountName: %1

SAMAccountName recomendado: %1$

Eventos de auditoria da criação de contas de computador com êxito

Os seguintes eventos de auditoria existentes estão disponíveis para criação de conta de computador com êxito:

  • 4741(S): foi criada uma conta de computador

  • 4742(S): foi alterada uma conta de computador

  • 4743(S): uma conta de computador foi eliminada

Para obter mais informações, consulte Gestão de Conta do Computador de Auditoria.

Perguntas mais frequentes

T1. Como é que esta atualização afeta os objetos existentes no Active Directory?

A1. Para objetos existentes, a validação ocorre quando os utilizadores que não têm direitos de administrador modificam os atributos sAMAccountName ou UserAccountControl.

T2. O que é uma sAMAccountName?

A2. sAMAccountName é um atributo exclusivo em todos os principais de segurança no Active Directory e inclui utilizadores, grupos e computadores. Os constrangimentos de nome para sAMAccountName estão documentados em 3.1.1.6 Attribute Constraints for Origining Updates.

T3. O que é uma sAMAccountType?

A3. Para obter mais informações, leia os seguintes documentos:

Existem três valores sAMAccountType possíveis que correspondem a quatro sinalizadores possíveis de UserAccountcontrol da seguinte forma:

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

T4. Quais são os valores possíveis para UserAccountControl?

A4. Para obter mais informações, leia os seguintes documentos:

T5. Como posso encontrar objetos que já existem no meu ambiente?

A5. Os administradores podem procurar no seu diretório contas existentes que não estão em compatibilidade com um script do PowerShell, como nos exemplos abaixo.

Para encontrar contas de computador que tenham uma sAMAccountName não compatível:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Para encontrar contas de computador que tenham uma UserAccountControl sAMAccountType não compatível:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Recursos

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.