Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Zhrnutie

Ochrana CVE-2022-21920 je zahrnutá do aktualizácií z 11. januára 2022 Windows a novších Windows aktualizáciách. Tieto aktualizácie obsahujú vylepšenú logiku na zistenie útokov prechodu na staršiu verziu pre hlavné názvy 3 časti služby pri použití overovacieho protokolu Vyjednanie spoločnosti Microsoft.

Tento článok obsahuje pokyny, keď overenie pomocou protokolu Kerberos nie je úspešné.

Ďalšie informácie

Inštalácia aktualizácií pre protokoly Windows z 11. januára 2022 a novšie aktualizácie pre Windows môže spôsobiť zlyhanie overenia v prípade 3-čiastkového SPNs, kde overenie pomocou protokolu Kerberos nie je úspešné. V týchto prostrediach pravdepodobne nefunguje overovanie pomocou protokolu Kerberos pre názvy SPN 3 časti určitý čas. V klientskych systémoch Windows môže zobraziť nasledujúca udalosť, ktorá vám pomôže pri triasť.

Snímka obrazovky s udalosťou LSA 40970, ktorá identifikuje záložný systém NTLM pre konkrétny SPN v testovacom prostredí spoločnosti Microsoft.

Textová verzia udalosti LSA 40970

Udalosť 40970

Systém zabezpečenia zistil pokus o prechod na staršiu verziu pri kontaktovaní SPN 3-part

<názvu SPN>

s kódom chyby Databáza SAM na serveri Windows Server nemá konto počítača pre vzťah dôveryhodnosti pracovnej stanice (0x0000018b)" Overenie bolo odmietnuté.

Akcia

Spoločnosť Microsoft odporúča vyčísliť, prečo overovanie pomocou protokolu Kerberos pre 3-časť SPN zlyhalo. Medzi bežné dôvody zlyhania overenia protokolom Kerberos patria: 

  • SPN, ktorý sa používa ako cieľ overovania, je malformed. Ďalšie informácie nájdete v téme Formáty názvov jedinečných názvov SPNs.

    Poznámka: Aplikácie a rozhrania API môžu mať prísnejšie alebo odlišné definície, ktoré predstavujú legitímne SPN pre ich službu.

    Príklady legitímneho SPN

    http/webserver 

    Hostiteľ/počítač2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Služba/počítač1:10100 


    Príklady pravdepodobne nesprávne naformulných SNS

    SPN 

    Dôvod 

    Hostiteľ, hostiteľ a počítač1 

    Hostiteľ/hostiteľ je s najväčšou pravdepodobnosťou chybou, pretože "hostiteľ" je zvyčajne trieda služby, a nie názov počítača. Je možné, že legitímne SPN je hostiteľ/počítač1. 

    Ldap/počítač/contoso.com:10100 

    Porty môžu byť zadané na názov hostiteľa (ďalej len "počítač") a nie na názov inštancie služby. Je možné, že legitímne SPN je "ldap/machine:10100/contoso.com" 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Niektoré rozhrania API očakávajú názov DNS namiesto FQDN. Napríklad funkcia DsBindA (ntdsapi.h) očakáva, že sa odovzdá do názvu DNS. Ak sa odovzdá názov FQDN, môže to mať za následok malformovaný SPN.  
    Legitímne SPN môže byť "ldap/dc-a/contoso.com"

    Pri riešení týchto problémov zvážte buď použitie správneho SPN, alebo registrácia malformed SPN na správne konto služby.

  • SPN, ktorý sa používa ako cieľ overovania, neexistuje. Tento problém môžete vyriešiť registráciou SPN do správneho konta služby.

  • Klientsky Windows pre Počítač nemá aplikáciu Line of Sight pre radič domény (napríklad keď sú DCs offline, nie je možné zistiť ich v DNS alebo je prístup k portu KDC blokovaný).

  • Názvy Net BUDÚCES môžete používať v scenári, keď názvy NetPRACOVNOMS nefungujú. Môže to byť napríklad prístup k zdrojom domény z počítača, ktorý nie je pripojený k doméne, a rozlíšenie názvov Net ICHS je buď vypnuté, alebo nefunguje.

    Spoločnosť Microsoft odporúča používať hlavné meno používateľa (UPN) alebo DNS systém. namiesto názvu Net PREMENAS.

Registrácia spNs 

V závislosti od konfigurácie aplikácie a vášho prostredia môžu byť názvy SPNs nakonfigurované v atribúte Service Principal Name konta služby alebo konta počítača umiestneného v doméne služby Active Directory, ktoré sa klient Kerberos pokúša vytvoriť s protokolom Kerberos. Na správne fungovanie overovania pomocou protokolu Kerberos musí byť cieľový SPN platný.

Pokyny na povolenie overovania pomocou protokolu Kerberos nájdete v dokumentácii nasadenia alebo u poskytovateľa podpory pre každú konkrétnu aplikáciu. Niektoré inštalátory aplikácií alebo aplikácie automaticky registrujú SPNs. Vývojári aj správcovia majú rôzne možnosti zaregistrovania SPN:

  • Ak chcete manuálne zaregistrovať SPNs pre inštanciu služby, pozrite si časť Setspn.

  • Ak chcete programovo zaregistrovať SPNs pre inštanciu služby, pozrite si časť Ako služba registruje spNs popisujúce, ako:

    • Zavolajte na funkciu DsGetSpn a vytvorte jeden alebo viacero jedinečných SPN inštancie služby. Ďalšie informácie nájdete v téme Formáty názvov jedinečných názvov SNS.

    • Zavolajte na funkciu DsWriteAccountSpn a zaregistrujte mená v prihlasovacom konte služby.

Známe problémy

S touto aktualizáciou v súčasnosti nie sú žiadne známe problémy.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×