|
Modificare dată |
Modificare descriere |
|
3 februarie 2026 |
|
Rezumat
Actualizările Windows pentru CVE-2021-42282 lansate pe 9 noiembrie 2021 adaugă următoarele verificări pentru atributele din Active Directory (AD):
-
Unicitatea numelui principal de utilizator (UPN) și a numelui principal de serviciu (SPN) (este nou pentru Windows 8, Windows Server 2012 și versiunile anterioare)
-
Unicitatea aliasului SPN (nouă pentru toate versiunile Windows)
Unicitatea numelui principal de utilizator și a numelui principal al serviciului
Această caracteristică garantează că rețelele de distribuire a conținutului sunt unice într-o pădure, ceea ce împiedică computerele și controlerele de domeniu să adauge rețele SPN dublate. Această funcționalitate există deja în Windows 8.1 și în versiunile mai recente și este descrisă în unicitatea SPN și UPN.
Unicitatea aliasului SPN
Un atribut AD existent definește aliasurile pentru multe clase de servicii comune cu HOST SPN echivalent pentru servicii cum ar fi CIFS, HTTP și RPC. Atributul AD este definit ca listă în contextul de denumire a configurației unei păduri Active Directory. Este posibil ca un utilizator care nu are drepturi de administrator să nu reatribuie un SPN care este atribuit implicit unui alt cont utilizând acest alias.
Notă Această verificare este implementată în plus față de verificarea unicității UPN și SPN.
Verificările de unicitate ale aliasului SPN sunt activate în mod implicit. Puteți dezactiva aceste verificări modificând caracterul 21al atributului dSHeuristics , care este interpretat ca o serie de caractere. Atributul dSHeuristics nu există în mod implicit, dar îl puteți adăuga sub numele distins "CN=Serviciul director,CN=Windows NT,CN=Services,CN=Configurare,DC=suport,DC=local". Setările posibile și valorile lor corespondente de biți sunt următoarele:
-
Valoarea 0 - înseamnă Impunere totală (fără biți setați 000) Implicit
-
Valoarea 1 – înseamnă Dezactivarea verificării unicității UPN (bit 0 setat - 001)
-
Valoarea 2 - înseamnă Dezactivarea verificării unicității SPN (bit 1 set - 010)
-
Valoarea 3 - înseamnă Dezactivarea verificării unicității UPN ȘI a unicității SPN. (bit 0 și 1 set - 011)
-
Valoarea 4 – înseamnă Dezactivarea verificării unicității aliasului SPN (setul de biți 2 - 100)
-
Valoarea 5 - înseamnă Dezactivarea verificării unicității pentru aliasul SPN și UPN (bit 2 și bit 0 setat - 101)
-
Valoarea 6 - înseamnă Dezactivarea unicității aliasului SPN ȘI SPN (bit 2 și bit 1 set - 110)
-
Valoarea 7 - înseamnă Dezactivare totală (toți biții setați 111)
Exemplu: Dacă nu aveți alte setări dSHeuristics activate în pădure și doriți să dezactivați doar verificarea unicității aliasului SPN, atributul dSHeuristics ar trebui să fie setat la: "000000000100000000024" Caracterele setate în acest caz sunt: Caracter10: Trebuie setat la 1 dacă atributul dSHeuristics are cel puțin 10 caractere Caracterul20: Trebuie setat la 2 dacă atributul dSHeuristics este de cel puțin 20 de caractere 21caracter : trebuie setat la o valoare din lista de mai sus; valoarea 4 înseamnă Dezactivare unicitate alias SPN.
Notă Dacă atributul dSHeuristics este setat deja, asigurați-vă că îmbinați setările existente în noul șir de atribut dSHeuristics și confirmați că sunt setate caracterele 10, 20 și 21 ca mai sus. Celelalte caractere setate deja ar trebui să rămână neschimbate.
Pentru mai multe informații despre configurarea caracterelor dSHeuristics, consultați următoarele documente:
Mai multe informații
Ce este un nume principal de serviciu?
Un nume principal de serviciu (SPN) este un identificator unic pentru o instanță de serviciu. Autentificarea Kerberos utilizează rețele SPN pentru a asocia o instanță de serviciu cu un cont de conectare la serviciu. Acest lucru permite unei aplicații client să solicite ca serviciul să autentifice un cont, chiar dacă clientul nu are numele contului. Consultați Nume principale serviciu pentru mai multe detalii.
Ce este un nume principal de utilizator?
Un nume principal de utilizator (UPN) este un nume de conectare în stil de e-mail pentru un utilizator bazat pe standardul internet RFC 822. Pentru mai multe detalii, consultați Atributul User-Principal-Name.
Întrebări frecvente
Q1 Ce se întâmplă dacă trebuie să înregistrez un SPN dublu alias HOST pentru cont?
A1 Înregistrați SPN-ul necesar ca administrator Active Directory Enterprise.
Q2 Ce se întâmplă dacă dezactivez unicitatea SPN sau UPN?
A2 Nu recomandăm acest lucru. Dacă rețelele de distribuire a conținutului nu sunt unice, înseamnă că toate rețelele de distribuire a conținutului care sunt dubluri nu sunt înregistrate deloc. Înregistrarea unui SPN dublat are același efect ca anularea înregistrării celui original. Dacă UPN-urile nu sunt unice, căutările de utilizator care utilizează UPN-uri dublate nu vor reuși.
Q3 Ce se întâmplă dacă dezactivez unicitatea aliasului SPN?
A3 Nu recomandăm acest lucru. Un non-administrator poate modifica rezoluția unui alias existent SPN de la rezoluția sa curentă la un computer sub controlul non-administratorului. Computerul poate acționa ca acel serviciu, deoarece autentificarea pe server pe care o furnizează Kerberos ar accepta noul cont ca gazdă corectă pentru serviciu în locul contului original cu HOST SPN.
Q4 Cum poate un administrator de domeniu să găsească rețele SPN sau UPN dublate deja prezente în rețea?
A4 Acest lucru nu este practic fără a scrie scripturi extinse pentru a enumera toate REȚELELE ȘI UPN-urile din domeniu și a le corela pentru a găsi dublurile.
Q5 Ce se întâmplă dacă am un amestec de controlere de domeniu care sunt actualizate și nu sunt actualizate sau nepotrivite între controlerele de domeniu?
A5 Reproducerea nu va fi blocată din cauza UPN-urilor sau REȚELElor SPN dublate. Prin urmare, dublurile se pot reproduce la alte controlere de domeniu dacă UPN-urile sau rețelele SPN dublate sunt create pe un controler de domeniu care nu are actualizarea.
