Povzetek
CVE-2021-42278 obravnava ranljivost varnostnega obhoda, ki morebitnim napadalcev omogoča, da poosebljajo kontrolnik domene z računalniškim računom sAMAccountName za ponarejeni račun.
V tem članku so dodatne podrobnosti in razdelek s pogostimi vprašanji za upravitelja varnostnih računov imenika Active Directory (SAM), ki otežijo spremembe s posodobitvami sistema Windows, izdanimi 9. novembra 2021, in novejšimi, kot so navedene v članku CVE-2021-42278.
Preverjanja preverjanja veljavnosti imenika Active Directory
Po namestitvi cve-2021-42278bo imenik Active Directory izvedel inšpekcijo za preverjanje veljavnosti, navedeno spodaj na atributih sAMAccountName in UserAccountControl računov računalnikov, ki so jih ustvarili ali spremenili uporabniki, ki ne imajo skrbniških pravic za račun računalnika.
-
Preverjanje veljavnosti sAMAccountType za uporabniške in računalniške račune
-
Računi ObjectClass=Computer (ali podrazred računalnika) morajo imeti zastavice »UserAccountControl« UF_WORKSTATION_TRUST_ACCOUNT ali UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=Uporabnik mora imeti zastavice UAC za UF_NORMAL_ACCOUNT ali UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
Preverjanje veljavnosti sAMAccountName za računalniške račune
SAMAccountName računa računalnika, katerega atribut UserAccountControl vsebuje zastavico UF_WORKSTATION_TRUST_ACCOUNT se mora končati z enim dolarjem ($). Če ti pogoji niso izpolnjeni, Active Directory vrne napako s 0x523 ERROR_INVALID_ACCOUNTNAME. Neuspešna preverjanja veljavnosti so zabeležena v ID dogodka Directory-Services-SAM 16991 v dnevniku dogodkov sistema.
Če ti pogoji niso izpolnjeni, Active Directory vrne kodo napake ACCESS_DENIED. Neuspešna preverjanja veljavnosti so zabeležena v ID dogodka Directory-Services-SAM 16990 v dnevniku dogodkov sistema.
Nadzor dogodkov
Razred predmeta in Napaka preverjanja veljavnosti UserAccountControl
Če razred predmeta in UserAccountControl preverjanje veljavnosti ne uspe, bo v dnevnik sistema zabeležen ta dogodek:
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Napaka |
|
Vir dogodka |
Directory-Services-SAM |
|
ID dogodka |
16990 |
|
Besedilo dogodka |
Upravitelj varnostnega računa je blokiral uporabnika, ki ni skrbnik, da bi ustvaril račun imenika Active Directory v tej domeni z zastavicami vrste računaClass in userAccountControl. Podrobnosti: Ime računa: %1%n Predmet računaClass: %2%n userAccountControl: %3%n Naslov klicatelja: %4%n SID klicatelja: %5%n%n |
Napaka pri preverjanju veljavnosti imena računa SAM
Če preverjanje imena računa SAM ne uspe, bo v sistemski dnevnik zabeležen ta dogodek:
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Napaka |
|
Vir dogodka |
Directory-Services-SAM |
|
ID dogodka |
16991 |
|
Besedilo dogodka |
Upravitelj varnostnega računa je onemogočil ustvarjanje ali preimenovanje računa računalnika z neveljavnim imenom sAMAccountName, ki ga ni skrbnik. SAMAccountName v računalniških računih se mora končati z enim končnim znakom $. Poskus sAMAccountName: %1 Priporočeno sAMAccountName: %1$ |
Uspešni dogodki nadzora ustvarjanja računa računalnika
Za uspešno ustvarjanje računa računalnika so na voljo ti obstoječi dogodki nadzora:
-
4741(S): Račun računalnika je bil ustvarjen
-
4742(S): račun računalnika je bil spremenjen
-
4743(S): Račun računalnika je bil izbrisan
Če želite več informacij, glejte Nadzor upravljanja računov računalnika.
Pogosta vprašanja
Q1. Kako ta posodobitev vpliva na obstoječe predmete v imeniku Active Directory?
A1. Za obstoječe predmete se preverjanje veljavnosti zgodi, ko uporabniki, ki nima skrbniških pravic, spremenijo atribute sAMAccountName ali UserAccountControl.
Q2. Kaj je sAMAccountName?
A2. sAMAccountName je enoličen atribut za vsa glavna imena varnosti v imeniku Active Directory in vključuje uporabnike, skupine in računalnike. Omejitve imen za sAMAccountName so navedene v 3.1.1.6Omejitve atributov za izvorne posodobitve.
Q3. Kaj je sAMAccountType?
A3. Če želite več informacij, preberite te dokumente:
Obstajajo tri možne vrednosti sAMAccountType, ki ustrezajo štirim možnim zastavicam UserAccountcontrol tako:
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
Q4. Katere so mogoče vrednosti za UserAccountControl?
A4. Če želite več informacij, preberite te dokumente:
Q5. Kako lahko poiščem predmete, ki niso v skladu s predpisi in že obstajajo v mojem okolju?
A5. Skrbniki lahko v svojem imeniku poiščejo obstoječe neskladne račune s skriptom PowerShell, kot je prikazano spodaj.
Če želite poiskati račune, ki imajo neskladen sAMAccountName:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Če želite poiskati račune, ki imajo neskladen UserAccountControl sAMAccountType:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
