Сводка
Средства защиты CVE-2022–21920 включены в обновления от 11 января 2022 г. Windows и более поздние Windows обновления. Эти обновления содержат улучшенную логику обнаружения атак с более пониженным версией для трехстолних имен основных служб при использовании протокола Microsoft Negotiate для проверки подлинности.
В этой статье приводится руководство по успешной проверке подлинности Kerberos.
Дополнительные сведения
Установка обновлений от 11 января 2022 г. Windows и более поздних Windows может привести к сбою проверки подлинности для трехбокционных spns, в которых проверка подлинности Kerberos невозмно. В этих средах проверка подлинности Kerberos для трех отдельных SPNs, скорее всего, не работала в течение некоторого времени. В клиентских системах Windows для уделяния триговому просмотру может появиться следующее событие:
LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment. |
Текстовая версия события LSA 40970 |
|
Система безопасности обнаружила попытку понизить градиент при связи с 3-part SPN <имя spN> с кодом ошибки "База данных SAM на сервере Windows Server не имеет учетной записи компьютера для отношения доверия рабочей станции (0x0000018b)" была отклонена. |
"Действие"
Корпорация Майкрософт рекомендует вам понять, почему не удалось проверить подлинность Kerberos для 3-part SPN. Распространенные причины сбоя проверки подлинности Kerberos:
-
SpN, используемая в качестве целевого для проверки подлинности, имеет неверную формы. Дополнительные сведения см. в теме Форматы имен для уникальных доменных имен (SPNs).
Примечание: Приложения и API могут иметь более строгие или разные определения того, что образуют законную службу spn для своих служб.
Примеры законных spn
http/webserver
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Service/machine1:10100
Примеры возможно неформатированной работы С SPNsSPN
Причина
Host/host/machine1
Host/host is most likely a mistake since "host" is usually a service class and not a machine name. Вполне возможно, что настоящей нотой spn является host/machine1.
Ldap/machine/contoso.com:10100
Порты могут быть указаны в имени хоста ("компьютер"), а не в имени экземпляра службы. Вполне возможно, что законопослушным решением о недоставке является "ldap/machine:10100/contoso.com".
Ldap/dc-a/DC=CONTOSO,DC=COM
Некоторые API ожидают имя DNS вместо FQDN. Например, функция DsBindA (ntdsapi.h) будет передана в имени DNS. Если FQDN передано, это может привести к неправильному окну spn.
Законопослушным доменом может быть "ldap/dc-a/contoso.com".Чтобы устранить эти проблемы, думайте использовать правильную службу spn или зарегистрируйте некорректную регистрацию spn в правильной учетной записи службы.
-
SpN, которая используется в качестве целевого для проверки подлинности, не существует. Чтобы устранить эту проблему, зарегистрировать spn в правильной учетной записи службы.
-
Клиентский Windows не имеет линии зрения до контроллера домена (например, компьютеры находятся в автономном режиме, не может быть обнаружен в DNS или доступ к порту подключения к данным заблокирован).
-
Имена NetBIOS могут быть не работают в ситуации, когда имена NetBIOS не работают. Например, доступ к ресурсам домена с компьютера, не присоединенного к домену, и разрешение имен NetBIOS отключено или не работает.
Корпорация Майкрософт рекомендует использовать имя пользователя (UPN) или систему доменных имен (DNS) вместо имени NetBIOS.
Регистрация spNs
В зависимости от конфигурации приложения и среды spNs могут быть настроены на атрибуте Service Principal Name учетной записи службы или учетной записи компьютера в домене Active Directory, с которой клиент Kerberos пытается установить подключение Kerberos. Для правильной работы проверки подлинности Kerberos целевое spn должно быть допустимым.
Рекомендации по введению проверки подлинности Kerberos можно найти в документации по развертыванию или у поставщика службы поддержки для каждого приложения. Некоторые установщики приложений и приложения автоматически регистрируют spNs. У разработчиков и администраторов есть различные параметры регистрации spn:
-
Инструкции по регистрации SPN вручную для экземпляра службы см. в инструкции Setspn.
-
Чтобы зарегистрировать spNs для экземпляра службы программным путем, см. раздел Как служба регистрирует свои spNs :
-
Позвоните функции DsGetSpn, чтобы создать одно или несколько уникальных SPN для экземпляра службы. Дополнительные сведения см. в теме Форматы имен для уникальных доменных имен (SPNs).
-
Позвоните в службу DsWriteAccountSpn, чтобы зарегистрировать имена в учетной записи для регистрации службы.
-
Известные проблемы
В настоящее время известных проблем с этим обновлением нет.