Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Сводка

Средства защиты CVE-2022–21920 включены в обновления от 11 января 2022 г. Windows и более поздние Windows обновления. Эти обновления содержат улучшенную логику обнаружения атак с более пониженным версией для трехстолних имен основных служб при использовании протокола Microsoft Negotiate для проверки подлинности.

В этой статье приводится руководство по успешной проверке подлинности Kerberos.

Дополнительные сведения

Установка обновлений от 11 января 2022 г. Windows и более поздних Windows может привести к сбою проверки подлинности для трехбокционных spns, в которых проверка подлинности Kerberos невозмно. В этих средах проверка подлинности Kerberos для трех отдельных SPNs, скорее всего, не работала в течение некоторого времени. В клиентских системах Windows для уделяния триговому просмотру может появиться следующее событие:

LSA Event 40970 Screenshot identifying an NTLM fallback for a specific SPN from a Microsoft test environment.

Текстовая версия события LSA 40970

Событие 40970

Система безопасности обнаружила попытку понизить градиент при связи с 3-part SPN

<имя spN>

с кодом ошибки "База данных SAM на сервере Windows Server не имеет учетной записи компьютера для отношения доверия рабочей станции (0x0000018b)" была отклонена.

"Действие"

Корпорация Майкрософт рекомендует вам понять, почему не удалось проверить подлинность Kerberos для 3-part SPN. Распространенные причины сбоя проверки подлинности Kerberos: 

  • SpN, используемая в качестве целевого для проверки подлинности, имеет неверную формы. Дополнительные сведения см. в теме Форматы имен для уникальных доменных имен (SPNs).

    Примечание: Приложения и API могут иметь более строгие или разные определения того, что образуют законную службу spn для своих служб.

    Примеры законных spn

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/machine1:10100 


    Примеры возможно неформатированной работы С SPNs

    SPN 

    Причина 

    Host/host/machine1 

    Host/host is most likely a mistake since "host" is usually a service class and not a machine name. Вполне возможно, что настоящей нотой spn является host/machine1. 

    Ldap/machine/contoso.com:10100 

    Порты могут быть указаны в имени хоста ("компьютер"), а не в имени экземпляра службы. Вполне возможно, что законопослушным решением о недоставке является "ldap/machine:10100/contoso.com". 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Некоторые API ожидают имя DNS вместо FQDN. Например, функция DsBindA (ntdsapi.h) будет передана в имени DNS. Если FQDN передано, это может привести к неправильному окну spn.  
    Законопослушным доменом может быть "ldap/dc-a/contoso.com".

    Чтобы устранить эти проблемы, думайте использовать правильную службу spn или зарегистрируйте некорректную регистрацию spn в правильной учетной записи службы.

  • SpN, которая используется в качестве целевого для проверки подлинности, не существует. Чтобы устранить эту проблему, зарегистрировать spn в правильной учетной записи службы.

  • Клиентский Windows не имеет линии зрения до контроллера домена (например, компьютеры находятся в автономном режиме, не может быть обнаружен в DNS или доступ к порту подключения к данным заблокирован).

  • Имена NetBIOS могут быть не работают в ситуации, когда имена NetBIOS не работают. Например, доступ к ресурсам домена с компьютера, не присоединенного к домену, и разрешение имен NetBIOS отключено или не работает.

    Корпорация Майкрософт рекомендует использовать имя пользователя (UPN) или систему доменных имен (DNS) вместо имени NetBIOS.

Регистрация spNs 

В зависимости от конфигурации приложения и среды spNs могут быть настроены на атрибуте Service Principal Name учетной записи службы или учетной записи компьютера в домене Active Directory, с которой клиент Kerberos пытается установить подключение Kerberos. Для правильной работы проверки подлинности Kerberos целевое spn должно быть допустимым.

Рекомендации по введению проверки подлинности Kerberos можно найти в документации по развертыванию или у поставщика службы поддержки для каждого приложения. Некоторые установщики приложений и приложения автоматически регистрируют spNs. У разработчиков и администраторов есть различные параметры регистрации spn:

  • Инструкции по регистрации SPN вручную для экземпляра службы см. в инструкции Setspn.

  • Чтобы зарегистрировать spNs для экземпляра службы программным путем, см. раздел Как служба регистрирует свои spNs :

    • Позвоните функции DsGetSpn, чтобы создать одно или несколько уникальных SPN для экземпляра службы. Дополнительные сведения см. в теме Форматы имен для уникальных доменных имен (SPNs).

    • Позвоните в службу DsWriteAccountSpn, чтобы зарегистрировать имена в учетной записи для регистрации службы.

Известные проблемы

В настоящее время известных проблем с этим обновлением нет.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×