Zhrnutie
CVE-2021-42278 sa týka nedostatočného zabezpečenia obídenia, ktoré umožňuje potenciálnym útokom zosobnenie radiča domény pomocou konta počítača sAMAccountName predstierania.
Tento článok obsahuje ďalšie podrobnosti a časť s najčastejšími otázkami o problémoch správcu zabezpečenia služby Active Directory (SAM), v ktorých sa sťažujú zmeny vykonané spoločnosťou Windows vydanej 9. novembra 2021 a v novšej, ako je uvedené v CVE-2021-42278.
Overovacie kontroly služby Active Directory
Po inštalácii cve-2021-42278vykoná služba Active Directory kontroly overovania uvedené nižšie na atribútoch sAMAccountName a UserAccountControl počítačových kont vytvorených alebo upravených používateľmi, ktorí nemajú oprávnenia správcu pre kontá zariadenia.
-
sAMAccountType – overenie používateľských a počítačových kont
-
Kontá ObjectClass=Computer (alebo podclass of computer) musia mať príznak UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT alebo UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User musí mať príznak UAC pre UF_NORMAL_ACCOUNT alebo UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
sAMAccountName – overenie pre počítačové kontá
SAMAccountName počítačového konta, ktorého atribút UserAccountControl obsahuje UF_WORKSTATION_TRUST_ACCOUNT, sa musí končiť jedným znakom dolára ($). Ak tieto podmienky nie sú splnené, Active Directory vráti kód zlyhania 0x523 ERROR_INVALID_ACCOUNTNAME. Neúspešné overenia sa zapíšu do udalosti Directory-Services-SAM ID 16991 v denníku udalostí systému.
Ak tieto podmienky nie sú splnené, Služba Active Directory vráti kód zlyhania ACCESS_DENIED. Neúspešné overenia sa zapíšu do udalosti Directory-Services-SAM ID 16990 v denníku udalostí systému.
Auditovanie udalostí
Trieda objektu a zlyhanie overenia UserAccountControl
Keď je trieda objektu a overenie UserAccountControl neúspešné, do denníka systému sa zapíše nasledujúca udalosť:
|
Denník udalostí |
Systém |
|
Typ udalosti |
Chyba |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Identifikačné číslo udalosti |
16990 |
|
Text udalosti |
Správca kont zabezpečenia zablokoval správcovia, ktorý nie je správcom, aby vytvoril konto služby Active Directory v tejto doméne s nezhodnými objektmiClass a userAccountControl príznakmi typu konta. Podrobnosti: Názov konta: %1%n Objekt KontaClass: %2%n userAccountControl: %3%n Adresa volajúca: %4%n CALLer SID: %5%n%n |
Zlyhanie overenia názvu konta SAM
Keď je overenie názvu konta SAM neúspešné, do denníka systému sa zapíše nasledujúca udalosť:
|
Denník udalostí |
Systém |
|
Typ udalosti |
Chyba |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Identifikačné číslo udalosti |
16991 |
|
Text udalosti |
Správca kont zabezpečenia zablokoval správcovia iných ako správca možnosť vytvoriť alebo premenovať konto počítača pomocou neplatného názvu sAMAccountName. sAMAccountName v počítačových kontách sa musí končiť jedným koncovým znakom $. Pokus o sAMAccountName: %1 Odporúčané sAMAccountName: %1$ |
Úspešné udalosti auditovania vytvárania konta v počítači
Na úspešné vytvorenie konta v počítači sú k dispozícii nasledujúce existujúce udalosti auditovania:
-
4741(S): Vytvorilo sa konto počítača
-
4742(S): Zmenilo sa konto počítača
-
4743(S): Odstránilo sa konto počítača
Ďalšie informácie nájdete v téme Kontrola správy konta počítača.
Najčastejšie otázky
1. otázka. Ako táto aktualizácia ovplyvňuje existujúce objekty v službe Active Directory?
A1. Pri existujúcich objektoch sa overenie vyskytne vtedy, keď používatelia, ktorí nemajú práva správcu, upravia atribúty sAMAccountName alebo UserAccountControl.
2. q. Čo je sAMAccountName?
A2. sAMAccountName je jedinečný atribút vo všetkých hlavných nastaveniach zabezpečenia v službe Active Directory a zahŕňa používateľov, skupiny a počítače. Obmedzenia názvov pre sAMAccountName sú dokumentované v obmedzeniach atribútov sAMAccountName 3.1.1.6 pre položky Schádzajúcich aktualizácií.
3. q. Čo je sAMAccountType?
A3. Ďalšie informácie nájdete v týchto dokumentoch:
Existujú tri možné hodnoty sAMAccountType, ktoré zodpovedajú štyroch možným príznakom UserAccountcontrol takto:
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
4. q. Aké sú možné hodnoty pre UserAccountControl?
A4. Ďalšie informácie nájdete v týchto dokumentoch:
5. otázka. Ako nájdem objekty, ktoré nie sú kompatibilné a už existujú v mojom prostredí?
A5. Správcovia môžu vyhľadať v adresári existujúce kontá, ktoré nie sú kompatibilné, pomocou skriptu PowerShell, ako sú uvedené v príkladoch nižšie.
Vyhľadanie počítačových kont, ktoré nemajú kompatibilné sAMAccountName:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Vyhľadanie počítačových kont, ktoré nemajú kompatibilný typ UserAccountControl sAMAccountType:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
