Аннотация
Windows обновлений CVE-2021–42282, выпущенных 9 ноября 2021 г., добавляют следующие проверки атрибутов в Active Directory (AD):
-
Уникальность имени директора-пользователя (UPN) и имени директора-службы (SPN) (новые возможности Windows 8, Windows Server 2012 и более ранних версий)
-
Уникальность псевдонима SPN (новое для всех Windows версий)
Уникальность имени директора-пользователя и имени основной службы
Эта функция гарантирует уникальность доменных имен в лесу, из-за чего компьютеры и контроллеры доменов не могут добавлять повторяющиеся доменные имена. Эта функция уже существует в Windows 8.1 и более новых, и ее уникальность описана в функциях SPN и UPN.
Уникальность псевдонима SPN
Существующий атрибут AD определяет псевдонимы для многих общих классов служб с эквивалентом HOST SPN для таких служб, как CIFS, HTTP и RPC. Атрибут AD определяется как список в контексте именования конфигурации леса Active Directory. Пользователь, у которого нет прав администратора, не может перена назначенное неявным образом имя spn другой учетной записи с помощью этого псевдонима.
Примечание. Эта проверка реализована в дополнение к проверке уникальности upn и SPN.
Проверки уникальности псевдонима SPN по умолчанию находятся в режиме. Чтобы отключить эти проверки, измените 21-й знак атрибута dSHeuristics , который интерпретируется как ряд символов. Атрибут dSHeuristics по умолчанию не существует, но его можно добавить под именем "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Возможные параметры и соответствующие им битовые значения:
-
Значение 0 — означает принудительное выполнение всех (без бит, установленных 000) Значение по умолчанию
-
Значение 1 — означает отключение проверки уникальности upN (бит 0 set - 001)
-
Значение 2 — означает отключение проверки уникальности SPN (бит 1 множество - 010)
-
Значение 3 — означает отключение проверки уникальности upN и уникальности SPN. (бит 0 и 1 набор - 011)
-
Значение 4 — означает отключение проверки уникальности псевдонима SPN (бит 2 set - 100)
-
Значение 5 — означает отключение проверки уникальности псевдонима SPN И upN (бит 2 и бит 0, множество — 101)
-
Значение 6 — означает отключение псевдонима SPN И уникальности SPN (бит 2 и 1 набора — 110)
-
Значение 7 — означает Отключить все (для всех бит за установлено значение 111).
Примере: Если в вашем лесу не включены другие параметры dSHeuristics и вы хотите отключить проверку уникальности псевдонима SPN, атрибут dSHeuristics должен иметь такой параметр: "000000000100000000024"
В этом случае заданной символами являются:
10-й символ: должен быть установлен 1, если атрибут dSHeuristics имеет не менее 10 символов
20-й символ: должен быть установлен 2, если атрибут dSHeuristics имеет не менее 20 символов
21-й символ: значение должно быть установлено в списке выше; Значение 4 означает отключение уникальности псевдонима SPN.
Примечание. Если атрибут dSHeuristics уже за установлен, необходимо объединить существующие параметры в новую строку атрибута dSHeuristics и убедиться, что 10-й, 20-й и 21-й символы задаются как выше. Другие уже застроимые символы должны оставаться без изменений.
Дополнительные сведения о настройке символов dSHeuristics можно найти в следующих документах:
Дополнительная информация
Что такое имя основной службы?
Имя основной службы (SPN) — это уникальный идентификатор для экземпляра службы. Проверка подлинности Kerberos использует spNs для связывания экземпляра службы с учетной записью для входов в службу. Это позволяет клиентского приложения запрашивать проверку подлинности учетной записи службой, даже если у клиента нет имени учетной записи. Дополнительные сведения см. в списке Имена основных служб.
Что такое имя основного пользователя?
Имя директора пользователя (UPN) — это имя для входов в почтовый ящик пользователя, основанное на стандарте RFC 822 в Интернете. Дополнительные сведения см. в атрибуте User-Principal-Name.
Типичные вопросы
Вопрос1 Что делать, если нужно зарегистрировать повторяющийся псевдоним HOST SPN для учетной записи?
A1 Зарегистрируйте обязательное spn в качестве администратора.
Вопрос 2 Что произойдет, если отключить уникальность spn или UPN?
A2 Мы не рекомендуем делать это. Если они не являются уникальными, это значит, что все они являются дубликатами, не зарегистрированы. Регистрация дубликата spn действует так же, как и при регистрации исходного. Если имя пользователя-пользователя не является уникальным, при подступах пользователей с использованием дублирующихся пользователей-пользователей сбой.
Вопрос 3 Что произойдет, если отключить уникальность псевдонима SPN?
A3 Мы не рекомендуем делать это. Администратор может изменить разрешение существующего псевдонима SPN с текущего разрешения на компьютер, не управляющего администратором. Этот компьютер может выступать в качестве этой службы, так как проверка подлинности на сервере, которая предоставляется Kerberos, будет принимать новую учетную запись как правильный хост для службы, а не как исходную учетную запись сN HOST.
Вопрос 4. Как администратор домена может найти в сети дублирующиеся доменные имена (SPNs) или UPNs?
A4 Это нецессылообразно без написания подробного сценария для нумерации всех доменных имен (SPNs и UPNs) из домена и корреляции поиска дубликатов.
Вопрос 5 Что произойдет, если у меня есть несколько контроллеров доменов, которые были обновлены, а не обновили или не несоответствия параметров между контроллерами домена?
A5 Репликация не блокируется из-за повторяютого upNs или SPNs. Таким образом, дубликаты могут реплицироваться на другие контроллеры доменов, если на контроллере домена, который не имеет обновления, созданы повторяющиеся имена имен-доменов или spNs.
