|
Alterar data |
Alterar descrição |
|
3 de fevereiro de 2026 |
|
Resumo
As atualizações do Windows para CVE-2021-42282 disponibilizadas a 9 de novembro de 2021 adicionam as seguintes verificações para atributos no Active Directory (AD):
-
Nome principal de utilizador (UPN) e exclusividade do nome principal do serviço (SPN) (novo para Windows 8, Windows Server 2012 e versões anteriores)
-
Exclusividade do alias SPN (novo em todas as versões do Windows)
Exclusividade do nome principal de utilizador e do nome principal do serviço
Esta funcionalidade garante que os SPNs são exclusivos numa floresta, o que impede que computadores e controladores de domínio adicionem SPNs duplicados. Esta funcionalidade já existe no Windows 8.1 e superior e está descrita na exclusividade SPN e UPN.
Exclusividade do alias SPN
Um atributo do AD existente define aliases para muitas classes de serviço comuns para o SPN ANFITRIÃO equivalente para serviços como CIFS, HTTP e RPC. O atributo do AD é definido como uma lista no contexto de nomenclatura de configuração de uma floresta do Active Directory. Um utilizador que não tenha direitos de administrador pode não reatribuir um SPN implicitamente atribuído a uma conta diferente com este aliasing.
Nota Esta verificação é implementada para além da verificação da exclusividade do UPN e do SPN.
As verificações de exclusividade de alias do SPN estão ativadas por predefinição. Pode desativar estas verificações ao modificar o caráter 21st do atributo dSHeuristics , que é interpretado como uma série de carateres. O atributo dSHeuristics não existe por predefinição, mas pode adicioná-lo com o nome único "CN=Serviço de Diretório, CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". As definições possíveis e os respetivos valores de bits correspondentes são os seguintes:
-
Valor 0 – significa Impor Tudo (sem bits definidos como 000) Predefinição
-
Valor 1 – significa Desativar a verificação de Exclusividade do UPN (bit 0 definido - 001)
-
Valor 2 – significa Desativar a verificação de Exclusividade do SPN (bit 1 definido - 010)
-
Valor 3 – significa Desativar a Exclusividade do UPN e a verificação de Exclusividade do SPN. (bit 0 e 1 definido - 011)
-
Valor 4 – significa Desativar a verificação de Exclusividade do Alias SPN (bit 2 definido - 100)
-
Valor 5 – significa Desativar o Alias SPN e a verificação de Exclusividade do UPN (bit 2 e bit 0 definido - 101)
-
Valor 6 – significa Desativar o Alias SPN E a Exclusividade do SPN (bit 2 e bit 1 definido - 110)
-
Valor 7 – significa Desativar Tudo (todos os bits definidos como 111)
Exemplo: Se não tiver outras definições de dSHeuristics ativadas na floresta e apenas quiser desativar a verificação da exclusividade do alias SPN, o atributo dSHeuristics deve ser definido como: "000000000100000000024" Os carateres definidos neste caso são: 10º caráter: tem de ser definido como 1 se o atributo dSHeuristics for, pelo menos, 10 carateres 20th char: tem de ser definido como 2 se o atributo dSHeuristics for, pelo menos, 20 carateres 21st char: tem de ser definido como um valor na lista acima; value 4 significa Disable SPN Alias Uniqueness.
Nota Se o atributo dSHeuristics já estiver definido, certifique-se de que intercala as definições existentes na nova cadeia de atributos dSHeuristics e confirme que os 10º, 20º e 21º carateres estão definidos como acima. Os outros carateres que já estão definidos devem permanecer inalterados.
Para obter mais informações sobre como configurar os carateres dSHeuristics, veja os seguintes documentos:
Mais informações
O que é um nome principal de serviço?
Um nome do principal de serviço (SPN) é um identificador exclusivo para uma instância de serviço. A autenticação Kerberos utiliza SPNs para associar uma instância de serviço a uma conta de início de sessão de serviço. Isto permite que uma aplicação cliente solicite que o serviço autentique uma conta mesmo que o cliente não tenha o nome da conta. Veja Nomes dos Principais de Serviço para obter mais detalhes.
O que é um nome principal de utilizador?
Um nome principal de utilizador (UPN) é um nome de início de sessão de estilo de e-mail para um utilizador com base no RFC 822 padrão da Internet. Para obter mais detalhes, veja User-Principal-Name attribute (Atributo User-Principal-Name).
Perguntas mais frequentes
T1 E se precisar de registar um SPN de alias HOST duplicado para a conta?
A1 Registe o SPN necessário como Administrador do Active Directory Enterprise.
Q2 O que acontece se desativar a exclusividade de SPN ou UPN?
A2 Não recomendamos isto. Se os SPNs não forem exclusivos, é como se quaisquer SPNs que sejam duplicados não estejam registados. Registar um SPN duplicado tem o mesmo efeito que anular o registo do original. Se os UPNs não forem exclusivos, as pesquisas de utilizador com UPNs duplicados falharão.
T3 O que acontece se desativar a exclusividade do alias SPN?
A3 Não recomendamos isto. Um não administrador pode alterar a resolução de um SPN de alias existente da resolução atual para um computador sob o controlo do não administrador. Esse computador pode funcionar como esse serviço porque a autenticação do servidor fornecida pelo Kerberos aceitaria a nova conta como o anfitrião correto para o serviço em vez da conta original com o SPN HOST.
Q4 Como pode um administrador de domínio encontrar SPNs ou UPNs duplicados já presentes na rede?
A4 Isto não é prático sem escrever scripts extensos para enumerar todos os SPNs e UPNs do domínio e correlacionar para encontrar duplicados.
Q5 O que acontece se tiver uma mistura de controladores de domínio que são atualizados e não são atualizados ou não correspondem a definições entre controladores de domínio?
A5 A replicação não será bloqueada devido a UPNs ou SPNs duplicados. Por conseguinte, os duplicados podem ser replicados para outros controladores de domínio se os UPNs ou SPNs duplicados forem criados num controlador de domínio que não tenha a atualização.
