Zhrnutie
Ochrana CVE-2022-21920 je zahrnutá do aktualizácií z 11. januára 2022 Windows a novších Windows aktualizáciách. Tieto aktualizácie obsahujú vylepšenú logiku na zistenie útokov prechodu na staršiu verziu pre hlavné názvy 3 časti služby pri použití overovacieho protokolu Vyjednanie spoločnosti Microsoft.
Tento článok obsahuje pokyny, keď overenie pomocou protokolu Kerberos nie je úspešné.
Ďalšie informácie
Inštalácia aktualizácií pre protokoly Windows z 11. januára 2022 a novšie aktualizácie pre Windows môže spôsobiť zlyhanie overenia v prípade 3-čiastkového SPNs, kde overenie pomocou protokolu Kerberos nie je úspešné. V týchto prostrediach pravdepodobne nefunguje overovanie pomocou protokolu Kerberos pre názvy SPN 3 časti určitý čas. V klientskych systémoch Windows môže zobraziť nasledujúca udalosť, ktorá vám pomôže pri triasť.
Snímka obrazovky s udalosťou LSA 40970, ktorá identifikuje záložný systém NTLM pre konkrétny SPN v testovacom prostredí spoločnosti Microsoft. |
Textová verzia udalosti LSA 40970 |
|
Systém zabezpečenia zistil pokus o prechod na staršiu verziu pri kontaktovaní SPN 3-part <názvu SPN> s kódom chyby Databáza SAM na serveri Windows Server nemá konto počítača pre vzťah dôveryhodnosti pracovnej stanice (0x0000018b)" Overenie bolo odmietnuté. |
Akcia
Spoločnosť Microsoft odporúča vyčísliť, prečo overovanie pomocou protokolu Kerberos pre 3-časť SPN zlyhalo. Medzi bežné dôvody zlyhania overenia protokolom Kerberos patria:
-
SPN, ktorý sa používa ako cieľ overovania, je malformed. Ďalšie informácie nájdete v téme Formáty názvov jedinečných názvov SPNs.
Poznámka: Aplikácie a rozhrania API môžu mať prísnejšie alebo odlišné definície, ktoré predstavujú legitímne SPN pre ich službu.
Príklady legitímneho SPN
http/webserver
Hostiteľ/počítač2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Služba/počítač1:10100
Príklady pravdepodobne nesprávne naformulných SNSSPN
Dôvod
Hostiteľ, hostiteľ a počítač1
Hostiteľ/hostiteľ je s najväčšou pravdepodobnosťou chybou, pretože "hostiteľ" je zvyčajne trieda služby, a nie názov počítača. Je možné, že legitímne SPN je hostiteľ/počítač1.
Ldap/počítač/contoso.com:10100
Porty môžu byť zadané na názov hostiteľa (ďalej len "počítač") a nie na názov inštancie služby. Je možné, že legitímne SPN je "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Niektoré rozhrania API očakávajú názov DNS namiesto FQDN. Napríklad funkcia DsBindA (ntdsapi.h) očakáva, že sa odovzdá do názvu DNS. Ak sa odovzdá názov FQDN, môže to mať za následok malformovaný SPN.
Legitímne SPN môže byť "ldap/dc-a/contoso.com"Pri riešení týchto problémov zvážte buď použitie správneho SPN, alebo registrácia malformed SPN na správne konto služby.
-
SPN, ktorý sa používa ako cieľ overovania, neexistuje. Tento problém môžete vyriešiť registráciou SPN do správneho konta služby.
-
Klientsky Windows pre Počítač nemá aplikáciu Line of Sight pre radič domény (napríklad keď sú DCs offline, nie je možné zistiť ich v DNS alebo je prístup k portu KDC blokovaný).
-
Názvy Net BUDÚCES môžete používať v scenári, keď názvy NetPRACOVNOMS nefungujú. Môže to byť napríklad prístup k zdrojom domény z počítača, ktorý nie je pripojený k doméne, a rozlíšenie názvov Net ICHS je buď vypnuté, alebo nefunguje.
Spoločnosť Microsoft odporúča používať hlavné meno používateľa (UPN) alebo DNS systém. namiesto názvu Net PREMENAS.
Registrácia spNs
V závislosti od konfigurácie aplikácie a vášho prostredia môžu byť názvy SPNs nakonfigurované v atribúte Service Principal Name konta služby alebo konta počítača umiestneného v doméne služby Active Directory, ktoré sa klient Kerberos pokúša vytvoriť s protokolom Kerberos. Na správne fungovanie overovania pomocou protokolu Kerberos musí byť cieľový SPN platný.
Pokyny na povolenie overovania pomocou protokolu Kerberos nájdete v dokumentácii nasadenia alebo u poskytovateľa podpory pre každú konkrétnu aplikáciu. Niektoré inštalátory aplikácií alebo aplikácie automaticky registrujú SPNs. Vývojári aj správcovia majú rôzne možnosti zaregistrovania SPN:
-
Ak chcete manuálne zaregistrovať SPNs pre inštanciu služby, pozrite si časť Setspn.
-
Ak chcete programovo zaregistrovať SPNs pre inštanciu služby, pozrite si časť Ako služba registruje spNs popisujúce, ako:
-
Zavolajte na funkciu DsGetSpn a vytvorte jeden alebo viacero jedinečných SPN inštancie služby. Ďalšie informácie nájdete v téme Formáty názvov jedinečných názvov SNS.
-
Zavolajte na funkciu DsWriteAccountSpn a zaregistrujte mená v prihlasovacom konte služby.
-
Známe problémy
S touto aktualizáciou v súčasnosti nie sú žiadne známe problémy.