Súhrn
Windows aktualizácie CVE-2021-42282 vydané 9. novembra 2021 pridajte nasledujúce overenia atribútov v službe Active Directory (AD):
-
Jedinečnosť hlavného mena používateľa (UPN) a hlavného názvu služby (SPN) (nové pre Windows 8, Windows Server 2012 a staršie vydania)
-
Jedinečnosť aliasu SPN (nová pre všetky Windows verzie)
Jedinečnosť hlavného mena používateľa a hlavného mena služby
Táto funkcia zaručí, že názvy SPNs sú jedinečné v doménových štruktúrách, čo zabraňuje počítačom a radičom domén pridávať duplicitné SPNs. Táto funkcia už existuje vo Windows 8.1 a novších a je popísaná v jedinečnosti SPN a UPN.
Jedinečnosť aliasu SPN
Existujúci atribút AD definuje aliasy pre mnohé bežné triedy služieb ako ekvivalentný SPN HOSTITEĽA pre služby, ako sú napríklad CIFS, HTTP a RPC. Atribút AD je definovaný ako zoznam v kontexte pomenovania konfigurácie doménovej štruktúry služby Active Directory. Používateľ, ktorý nemá práva správcu, nemusí zmeniť priradenie SPN, ktorý je implicitne priradený k inému kontu pomocou tohto aliasu.
Poznámka: Toto overenie sa implementuje ako doplnok k overeniu jedinečnosti siete UPN a SPN.
Overenie jedinečnosti aliasu SPN je predvolene zapnuté. Tieto overenia môžete vypnúť úpravou 21. znaku atribútu dSHeuristics , ktorý sa interpretuje ako séria znakov. Atribút dSHeuristics predvolene neexistuje, môžete ho však pridať pod rozlišujúci názov "CN=Directory Service,CN=systém Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Možné nastavenia a ich zodpovedajúce bitové hodnoty sú nasledovné:
-
Hodnota 0 – znamená Vynútiť všetko (žiadne bity nastavené 000) Predvolené
-
Hodnota 1 – znamená Zakázať overenie jedinečnosti aktivovať (množina bitových 0 – 001)
-
Hodnota 2 – znamená Zakázať overenie jedinečnosti SPN (bit 1 set - 010)
-
Hodnota 3 – znamená Zakázať jedinečnosť aktivovať upn a overenie jedinečnosti SPN. (bit 0 a 1 set - 011)
-
Hodnota 4 – znamená Zakázať overenie jedinečnosti aliasu SPN (bit 2 set - 100)
-
Hodnota 5 – znamená Zakázať overenie jedinečnosti aliasu SPN A používateľa (bit 2 a bit 0 set - 101)
-
Hodnota 6 – znamená Zakázať alias SPN AND jedinečnosť SPN (bit 2 a bit 1 set - 110)
-
Hodnota 7 – znamená Zakázať všetko (všetky bity sú nastavené na 111)
Príklad: Ak nemáte v doménovej štruktúre povolené žiadne iné nastavenia dSHeuristics a chcete vypnúť len overenie jedinečnosti aliasu SPN, atribút dSHeuristics by mal byť nastavený na: "000000000100000000024"
Znaky, ktoré sú nastavené v tomto prípade, sú: 10. znak : Ak má atribút dSHeuristics aspoň 10 znakov , musí byť nastavený na hodnotu 1. 20. znak : Atribút dSHeuristics musí byť nastavený na hodnotu 2, ak má atribút dSHeuristics aspoň 20 znakov . 21. znak: Musí byť nastavený na hodnotu vo vyššie uvedenom zozname; hodnota 4 znamená Zakázať jedinečnosť aliasu SPN.Poznámka: Ak je atribút dSHeuristics už nastavený, nezabudnite zlúčiť existujúce nastavenia do nového reťazca atribútov dSHeuristics a overiť, či sú 10., 20. a 21. znaky nastavené vyššie. Ostatné znaky, ktoré sú už nastavené, by mali zostať nezmenené.
Ďalšie informácie o konfigurácii znakov dSHeuristics nájdete v nasledujúcich dokumentoch:
Ďalšie informácie
Čo je hlavný názov služby?
Hlavný názov služby (SPN) je jedinečný identifikátor inštancie služby. Overovanie pomocou protokolu Kerberos používa SPNs na priradenie inštancie služby ku kontu na prihlásenie k službe. Klientska aplikácia tak môže požiadať, aby služba overená konto overená, a to aj v prípade, že klient názov konta nemá. Ďalšie podrobnosti nájdete v téme Hlavné názvy služieb.
Čo je hlavné meno používateľa?
Hlavné meno používateľa (UPN) je prihlasovacie meno používateľa v štýle e-mailu na základe internetového štandardného RFC 822. Ďalšie podrobnosti nájdete v téme Atribút User-Principal-Name.
Najčastejšie otázky
1. Otázka: Čo robiť, ak potrebujem pre konto zaregistrovať duplicitný SPN alias hostiteľa?
A1 Zaregistrujte požadované SPN ako správcu.
2. Čo sa stane, ak vypnem jedinečnosť SPN alebo upn?
A2 Tento problém neodporúčame. Ak názvy SPNs nie sú jedinečné, je to tak, ako keby názvy SPNs, ktoré sú duplicitné, neboli zaregistrované vôbec. Registrácia duplicitného SPN má rovnaký účinok ako zrušenie registrácie pôvodného. Ak upns nie sú jedinečné, používateľské vyhľadávania pomocou duplicitných ns používateľov zlyhajú.
3. Čo sa stane, ak vypnem jedinečnosť aliasu SPN?
A3 Tento problém neodporúčame. Správca, ktorý nie je správcom, môže zmeniť rozlíšenie existujúceho SPN aliasu z aktuálneho rozlíšenia na počítač pod ovládacím prvokom, ktorý nie je správcom. Tento počítač sa môže správať ako táto služba, pretože overovanie servera, ktoré poskytuje Kerberos, prijme nové konto ako správneho hostiteľa služby namiesto pôvodného konta s SPN HOSTITEĽA.
4. otázka: Ako môže správca domény nájsť duplicitné SPNs alebo upNs, ktoré sa už nachádzajú v sieti?
A4 Nie je to praktické bez písania rozsiahleho skriptovania na enumerovanie všetkých STL a názvov UPN z domény a koreláciu pri nájdení duplikátov.
5. Q5 Čo sa stane, ak sa mi neodporúčajú ovládače domén, ktoré sa aktualizujú a neaktualizujú alebo nezhodujú s nastaveniami medzi radičmi domén?
A5 Replikácia sa nezablokuje z dôvodu duplicitných ns upns alebo SNS. Preto sa duplicity môžu replikovať na iné radiče domén, ak sú duplicitné upns alebo SPNs vytvorené v radiči domény, ktorý aktualizáciu nemá.