|
Zmeniť dátum |
Zmeniť popis |
|
3. februára 2026 |
|
Zhrnutie
Aktualizácie Windowsu pre CVE-2021-42282 vydané 9. novembra 2021 pridajú nasledujúce overenia atribútov v službe Active Directory (AD):
-
Jedinečnosť hlavného mena používateľa (UPN) a hlavného názvu služby (SPN) (nové pre Windows 8, Windows Server 2012 a staršie vydania)
-
Jedinečnosť aliasu SPN (nová pre všetky verzie Windowsu)
Hlavné meno používateľa a jedinečnosť hlavného názvu služby
Táto funkcia zaručuje, že hlavné názvy služby sú jedinečné v doménovej štruktúre, čo zabraňuje počítačom a radičom domény pridávať duplicitné hlavné názvy služby. Táto funkcia už existuje v súbore Windows 8.1 a novších verziách a je popísaná v jedinečnosti hlavného názvu služby a hlavného názvu používateľa.
Jedinečnosť aliasu SPN
Existujúci atribút AD definuje aliasy pre mnohé bežné triedy služieb ekvivalentného hlavného názvu služby HOST pre služby ako CIFS, HTTP a RPC. Atribút AD je definovaný ako zoznam v kontexte pomenovania konfigurácie doménovej štruktúry služby Active Directory. Používateľ, ktorý nemá práva správcu, nemusí zmeniť priradenie hlavného názvu služby, ktorý je implicitne priradený k inému kontu pomocou tohto aliasu.
Poznámka Toto overenie sa implementuje okrem overenia jedinečnosti hlavného názvu používateľa a hlavného názvu služby.
Overenie jedinečnosti aliasu SPN je predvolene zapnuté. Tieto overenia môžete vypnúť úpravou21-st znaku atribútu dSHeuristics , ktorý sa interpretuje ako rad znakov. Atribút dSHeuristics predvolene neexistuje, ale môžete ho pridať pod rozlišujúci názov "CN=Directory Service,CN=systém Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Možné nastavenia a príslušné bitové hodnoty sú nasledovné:
-
Hodnota 0 – znamená Vynútiť všetko (bez bitov nastavených na hodnotu 000) Predvolená
-
Hodnota 1 – znamená zakázať overenie jedinečnosti hlavného názvu používateľa (množina bitov 0 – 001)
-
Hodnota 2 – znamená vypnutie overovania jedinečnosti hlavného názvu služby (bit 1 set – 010)
-
Hodnota 3 – znamená vypnutie jedinečnosti hlavného názvu používateľa a overenie jedinečnosti hlavného názvu služby. (bit 0 a 1 set - 011)
-
Hodnota 4 – znamená vypnutie overenia jedinečnosti aliasu SPN (množina bitov 2 – 100)
-
Hodnota 5 – znamená vypnutie aliasu SPN a overenia jedinečnosti hlavného mena používateľa (bit 2 a bit 0 – 101)
-
Hodnota 6 – znamená vypnutie aliasu SPN a jedinečnosti SPN (bit 2 a bit 1 set - 110)
-
Hodnota 7 – znamená Vypnúť všetky (všetky bity nastavené na 111)
Príklad: Ak nemáte v doménovej štruktúre povolené žiadne ďalšie nastavenia dSHeuristics a chcete zakázať iba overenie jedinečnosti aliasu SPN, atribút dSHeuristics by mal byť nastavený na hodnotu: "000000000100000000024" Znaky, ktoré sú nastavené v tomto prípade sú: 10th char: Musí byť nastavená na 1, ak dSHeuristics atribút je aspoň 10 znakov 20th char: Musí byť nastavená na 2, ak dSHeuristics atribút je aspoň 20 znakov 21st char: Musí byť nastavená na hodnotu v zozname vyššie; hodnota 4 znamená zakázať jedinečnosť aliasu SPN.
Poznámka Ak je atribút dSHeuristics už nastavený, zlučte existujúce nastavenia do nového reťazca atribútu dSHeuristics a potvrďte, že 10., 20. a 21. znak sú nastavené podľa vyššie uvedeného postupu. Ostatné znaky, ktoré sú už nastavené, by mali zostať nezmenené.
Ďalšie informácie o konfigurácii znakov dSHeuristics nájdete v nasledujúcich dokumentoch:
Ďalšie informácie
Čo je hlavný názov služby?
Hlavný názov služby (SPN) je jedinečný identifikátor inštancie služby. Overovanie kerberos používa hlavné názvy služby na priradenie inštancie služby k prihlasovaciemu kontu služby. Klientska aplikácia tak môže požiadať o overenie konta aj v prípade, že klient nemá názov konta. Ďalšie podrobnosti nájdete v hlavných názvoch služby .
Čo je hlavné meno používateľa?
Hlavné meno používateľa (UPN) je prihlasovacie meno používateľa v štýle e-mailu na základe internetového štandardu RFC 822. Ďalšie podrobnosti nájdete v atribúte User-Principal-Name.
Najčastejšie otázky
Q1 Čo robiť, ak potrebujem zaregistrovať duplicitný SPN alias HOST pre konto?
A1 Zaregistrujte požadovaný hlavný názov služby ako podnikový správca služby Active Directory.
Q2 Čo sa stane, ak vypnem jedinečnosť hlavného názvu služby alebo hlavného názvu používateľa?
A2 Túto funkciu neodporúčame. Ak hlavné názvy služby nie sú jedinečné, je to ako keby všetky hlavné názvy služby, ktoré sú duplikátmi, sa vôbec nezaregistrovali. Registrácia duplicitného hlavného názvu služby má rovnaký účinok ako zrušenie registrácie pôvodného názvu. Ak hlavné názvy používateľov nie sú jedinečné, vyhľadávania používateľov s duplicitnými hlavných názvami používateľa zlyhajú.
Q3 Čo sa stane, ak vypnem jedinečnosť aliasu SPN?
A3 Túto funkciu neodporúčame. Správca, ktorý nie je správcom, môže zmeniť rozlíšenie existujúceho hlavného názvu služby aliasu z aktuálneho rozlíšenia na počítač pod kontrolou správcu. Tento počítač sa môže správať ako táto služba, pretože overovanie servera, ktoré poskytuje protokol Kerberos, by prijalo nové konto ako správneho hostiteľa služby namiesto pôvodného konta s NÁZVOM HOSTITEĽA.
Q4 Ako môže správca domény nájsť duplicitné hlavné názvy služby alebo hlavné mená používateľov, ktoré sa už v sieti nachádzajú?
A4 Nie je to praktické bez písania rozsiahleho skriptovania na enumeráciu všetkých SPN a HLAVNÝCH názvov z domény a korelácie pri hľadaní duplikátov.
Q5 Čo sa stane, ak mám zmes radičov domény, ktoré sa aktualizujú a neaktualizujú alebo nezhodujú nastavenia medzi radičmi domény?
A5 Replikácia nebude blokovaná z dôvodu duplicitných hlavných názvov upn alebo SPN. Preto duplikáty môžu replikovať na iné radiče domény, ak duplicitné UPN alebo SPN sú vytvorené na radiči domény, ktorý nemá aktualizáciu.
