Rezumat
Windows pentru CVE-2021-42282 lansate la 9 noiembrie 2021 adăugați următoarele verificări pentru atributele din Active Directory (AD):
-
UPN (Nume principal de utilizator) și unicitatea numelui principal de serviciu (SPN) (o caracteristică nouă pentru Windows 8, Windows Server 2012 și versiunile anterioare)
-
Unicitatea aliasului SPN (nou pentru toate Windows versiuni)
Numele principal al utilizatorului și unicitatea numelui principal al serviciului
Această caracteristică asigură că SPN-urile sunt unice într-o pădure, împiedicând computerele și controlerele de domeniu să adauge SPN-uri dublate. Această funcționalitate există deja în Windows 8.1 și mai mare și este descrisă în unicitatea SPN și UPN.
Unicitatea aliasului SPN
Un atribut AD existent definește aliasurile pentru mai multe clase de servicii comune la SPN gazdă echivalent pentru servicii cum ar fi FIMS, HTTP și RPC. Atributul AD este definit ca listă în contextul de denumire a configurației unei păduri Active Directory. Este posibil ca un utilizator care nu are drepturi de administrator să nu reatribuie un SPN care este atribuit în mod implicit unui alt cont utilizând acest alias.
Notă Această verificare este implementată pe lângă verificarea pentru unicitatea UPN și SPN.
În mod implicit, verificările unicității aliasului SPN sunt efectuate. Puteți dezactiva aceste verificări prin modificarea caracterului 21 al atributului dSHeuristics , care este interpretat ca o serie de caractere. Atributul dSHeuristics nu există în mod implicit, dar îl puteți adăuga sub numele distinct "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Setările posibile și valorile lor de biți corespunzătoare sunt după cum urmează:
-
Valoarea 0 - înseamnă Impuneți tot (fără biți set 000) Implicit
-
Valoarea 1 - înseamnă Dezactivarea verificării unicității UPN (set de biți 0 - 001)
-
Valoarea 2 - înseamnă Dezactivarea verificării unicității SPN (setul de biți 1 - 010)
-
Valoarea 3 - înseamnă Dezactivează unicitatea UPN și verificarea de unicitate SPN. (0 biți și 1 set - 011)
-
Valoarea 4 - înseamnă Dezactivarea verificării unicității aliasului SPN (setul de biți 2 - 100)
-
Valoarea 5 - înseamnă Dezactivarea verificării unicității SPN Alias și UPN (setul de biți 2 și 0 biți - 101)
-
Valoarea 6 - înseamnă Dezactivarea unicității SPN Alias și SPN (setul 2 și 1 bit 1 - 110)
-
Valoarea 7 - înseamnă Dezactivare totală (toți biți setați 111)
Exemplu: Dacă nu aveți nicio altă setare dSHeuristics activată în pădure și doriți să dezactivați doar verificarea unicității aliasului SPN, atributul dSHeuristics trebuie setat la: "000000000100000000024"
Caracterele setate în acest caz sunt:
Al 10-lea car: trebuie setat la 1 dacă atributul dSHeuristics este de cel puțin 10 caractere
Al 20-lea car: trebuie setat la 2 dacă atributul dSHeuristics este de cel puțin 20 de caractere
21st char: Must be set to a value in the list above; valoare 4 înseamnă Dezactivare unicitate alias SPN.
Notă Dacă atributul dSHeuristics este deja setat, asigurați-vă că îmbinați setările existente în noul șir de atribut dSHeuristics și confirmați că caracterele 10, 20 și 21 sunt setate ca mai sus. Celelalte caractere setate deja ar trebui să rămână neschimbate.
Pentru mai multe informații despre configurarea caracterelor dSHeuristics, consultați următoarele documente:
Mai multe informații
Ce este un nume principal de serviciu?
Un nume principal de serviciu (SPN) este un identificator unic pentru o instanță de serviciu. Autentificarea Kerberos utilizează SERVICIU pentru a asocia o instanță de serviciu cu un cont de conectare la serviciu. Aceasta permite unei aplicații client să solicite ca serviciul să autentifice un cont, chiar dacă acesta nu are numele contului. Consultați Nume principale serviciu pentru mai multe detalii.
Ce este un nume principal de utilizator?
Un nume principal de utilizator (UPN) este un nume de conectare în stil de e-mail pentru un utilizator, bazat pe rfc 822 standard de internet. Pentru mai multe detalii, consultați atributul User-Principal-Name.
Întrebări frecvente
T1 Ce se întâmplă dacă trebuie să înregistrez un alias GAZDĂ dublat SPN pentru cont?
A1 Înregistrați SPN-ul necesar ca administrator.
T2 Ce se întâmplă dacă de dezactivați unicitatea SPN sau UPN?
A2 Nu recomandăm acest lucru. Dacă SPN nu sunt unice, este ca și cum niciun SPN care sunt dubluri nu sunt înregistrate deloc. Înregistrarea unui SPN dublat are același efect ca anularea înregistrării originalului. Dacă UPN-urile nu sunt unice, cautările ca utilizator ce utilizează UPN-uri dublate nu vor reuși.
T3 Ce se întâmplă dacă de dezactivați unicitatea aliasului SPN?
A3 Nu recomandăm acest lucru. Un non-administrator poate modifica rezoluția unui alias existent SPN de la rezoluția curentă la un computer de sub controlul non-administrator. Este posibil ca acel computer să acționeze ca acel serviciu, deoarece autentificarea pe server pe care o furnizează Kerberos ar accepta noul cont ca gazdă corectă pentru serviciu în loc de contul inițial cu SPN HOST.
Q4 Cum poate găsi un administrator de domeniu rețelele FAȚĂ sau UPN-urile dublate prezente deja în rețea?
A4 Acest lucru nu este practic fără a scrie scripturi extinse pentru a enumera toate NS-urile și UPN-urile din domeniu și a le corela pentru a găsi dublurile.
Q5 Ce se întâmplă dacă am un amestec de controlere de domeniu care sunt actualizate și nu sunt actualizate sau nepotrivite între controlerele de domeniu?
A5 Reproducerea nu va fi blocată din cauza UPN-uri sau NS-uri dublate. Prin urmare, dublurile pot fi reproduse la alte controlere de domeniu dacă se creează UPN-uri sau NS-uri dublate pe un controler de domeniu care nu are actualizarea.
