Resumo
Windows atualizações para cVE-2021-42282 lançadas a 9 de novembro de 2021 adicione as seguintes verificações de atributos no Active Directory (AD):
-
O nome principal de utilizador (UPN) e a propriedade exclusiva do principal de serviço (SPN) (novo Windows 8, Windows Server 2012 e lançamentos anteriores)
-
Exclusivo alias de SPN (nova versão Windows todas)
Exclusivo do nome principal de utilizador e do nome principal do serviço
Esta funcionalidade garante que os SPNs são exclusivos numa floresta, o que impede computadores e controladores de domínio de adicionarEM SPNs duplicados. Esta funcionalidade já existe no Windows 8.1 e superior e está descrita em exclusivo SPN e UPN.
Exclusivo do alias SPN
Um atributo AD existente define aliases para muitas classes de serviço comuns ao HOST SPN equivalente para serviços como CIFS, HTTP e RPC. O atributo AD é definido como uma lista no contexto de nomes de configuração de uma floresta do Active Directory. Um utilizador que não tenha direitos de administrador pode não reaver um SPN que esteja implicitamente atribuído a uma conta diferente através deste aliasing.
Note Esta verificação é implementada para além da verificação de exclusivos UPN e SPN.
As verificações de exclusivos de alias SPN estão ativadas por predefinição. Pode destivar estas verificações ao modificar o 21.º caráter do atributo dSHeuristics , que é interpretado como uma série de carateres. O atributo dSHeuristics não existe por predefinição, mas pode adicioná-lo com o nome distinto "Serviço de Diretório,CN=Windows NT,CN=Serviços,CN=Configuração,DC=suporte,DC=local". As definições possíveis e os respetivos valores de bits são os seguintes:
-
Valor 0 – significa Impor Tudo (sem conjunto de bits 000) Predefinido
-
Valor 1 – significa Desativar a verificação de Exclusivo UPN (conjunto de bits 0 - 001)
-
Valor 2 – significa Desativar a verificação de Exclusivo SPN (conjunto de bits 1 - 010)
-
Valor 3 – significa Desativar o Exclusivo UPN E a verificação de Exclusivo SPN. (bit 0 e 1 set - 011)
-
Valor 4 – significa Desativar verificação de exclusivos alias SPN (conjunto de bits 2 - 100)
-
Valor 5 – significa Desativar a verificação de exclusivos SPN Alias E UPN (conjunto de bits de 2 e bits 0 - 101)
-
Valor 6 – significa Desativar o Alias SPN E o Exclusivo SPN (conjunto de bits 2 e bits 1 - 110)
-
Valor 7 – significa Desativar Tudo (todos os bits definidos como 111)
Exemplo: Se não tiver outras definições de dSHeuristics ativadas na sua floresta e pretender desativar apenas a verificação do alias SPN, o atributo dSHeuristics deve estar definido como: "000000000100000000024"
Os carateres que são definidos neste caso são:
10º char : Tem de ser definido para 1 se o atributo dSHeuristics for de, pelo menos, 10 carateres
20º char : Tem de ser definido para 2 se o atributo dSHeuristics tiver, pelo menos, 20 carateres
21º char: Tem de ser definido para um valor na lista acima; valor 4 significa Desativar Exclusivo Alias SPN.
Note Se o atributo dSHeuristics já estiver definido, certifique-se de que coloca as definições existentes na sua nova cadeia de atributo dSHeuristics e confirme que os carateres 10, 20.º e 21.º carateres estão definidos como acima. Os outros carateres já definidos devem permanecer inalterados.
Para obter mais informações sobre a configuração dos carateres dSHeuristics, consulte os seguintes documentos:
Mais informações
O que é um nome principal de serviço?
Um nome principal de serviço (SPN) é um identificador exclusivo para uma instância de serviço. A autenticação Kerberos utiliza SPNs para associar uma instância de serviço a uma conta de sinalização de serviço. Isto permite a uma aplicação cliente pedir que o serviço autentique uma conta mesmo que o cliente não tenha o nome da conta. Consulte Nomes principais de Serviço para obter mais detalhes.
O que é um nome principal de utilizador?
Um nome principal de utilizador (UPN) é um nome de entrada de estilo de e-mail para um utilizador com base no RFC 822 padrão da Internet. Para obter mais detalhes, consulte Atributo User-Principal-Name.
Perguntas mais frequentes
P1 E se precisar de registar um alias HOST duplicado SPN para a conta?
A1 Registe o SPN necessário como administrador.
P2 O que acontece se desligo o spn ou o upn exclusivo?
A2 Não o recomendamos. Se os SPNs não são exclusivos, então parece que quaisquer SPNs duplicados não estão registados. Registar um SPN duplicado tem o mesmo efeito que anulá-lo ao registo do original. Se os UPNs não são exclusivos, as procuras de utilizadores que utilizam UPNs duplicados irão falhar.
P3 O que acontece se desligo o exclusivo alias SPN?
A3 Não o recomendamos. Um não administrador pode alterar a resolução de um alias SPN existente de resolução atual para um computador sob o controlo do não administrador. Esse computador poderá atuar como esse serviço porque a autenticação de servidor que a Kerberos fornece aceitaria a nova conta como anfitrião correto para o serviço em vez da conta original com o HOST SPN.
P4 Como pode um administrador de domínio encontrar SPNs ou UPNs duplicados já presentes na rede?
A4 Isto não é prático sem escrever scripts extensos para enumerar todos os SPNs e UPNs do domínio e correlacionar para encontrar duplicados.
P5 O que acontece se tiver uma mistura de controladores de domínio que são atualizados e não são atualizados ou não têm uma relação de definições entre controladores de domínio?
A5 A replicação não será bloqueada devido a UPNs ou SPNs duplicados. Por conseguinte, os duplicados podem replicar para outros controladores de domínio se os UPNs ou SPNs duplicados estiverem criados num controlador de domínio que não tenha a atualização.
