Rezime

CVE-2021-42278 rešava bezbednosnu zaobilazak ranjivosti koja omogućava potencijalnim napadima da imitira kontroler domena pomoću sAMAccountName lažnog predstavljanja.

Ovaj članak pruža dodatne detalje i odeljak sa najčešćim pitanjima za Active Directory upravljač bezbednosnim nalozima (SAM) koje su unete u ispravke za Windows objavljene 9. novembra 2021. i novije verzije kao što je dokumentovano u verziji CVE-2021-42278.

Provere valjanosti za Active Directory

Kada instalirate CVE-2021-42278,Active Directory će izvršiti provere valjanosti navedene ispod na atributima sAMAccountName i UserAccountControl za računarske naloge koje su kreirali ili izmenili korisnici koji nemate administratorska prava za naloge računara. 

  1. sAMAccountType provera valjanosti za korisničke i računarske naloge

    • ObjectClass=Computer (ili potklasa računara) nalozi moraju da imaju UserAccountControl zastavice UF_WORKSTATION_TRUST_ACCOUNT ili UF_SERVER_TRUST_ACCOUNT

    • ObjectClass=User mora da ima UAC zastavice UF_NORMAL_ACCOUNT ili UF_INTERDOMAIN_TRUST_ACCOUNT

  2. sAMAccountName provera valjanosti za naloge računara

    SAMAccountName naloga računara čiji atribut UserAccountControl sadrži atribut "UF_WORKSTATION_TRUST_ACCOUNT" mora da se završava znakom za jedan dolar ($). Kada se ovi uslovi ne ispuniju, Active Directory vraća kôd neuspeha 0x523 ERROR_INVALID_ACCOUNTNAME. Provere valjanosti nisu uspele evidentirane su u ID događaja Directory-Services-SAM 16991 u evidenciji događaja sistema.

Kada se ovi uslovi ne ispuniju, Active Directory vraća kôd neuspeha za ACCESS_DENIED. Provere valjanosti nisu uspele evidentirane su u ID događaja Directory-Services-SAM 16990 u evidenciji događaja sistema.

Nadgledanje događaja

Provera valjanosti klase objekata i UserAccountControl

Kada provera valjanosti klase objekta i UserAccountControl ne uspe, sledeći događaj će biti evidentiran u evidenciji sistema:

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

Directory-Services-SAM

ID događaja

16990

Tekst događaja

Menadžer bezbednosnog naloga je blokirao korisnika koji nije administrator da kreira Active Directory nalog u ovom domenu sa zastavicom koja nije uskladena sa objektomClass i userAccountControl zastavica tipa naloga.

Detalji:

Ime računa: %1%n

Account objectClass: %2%n

userAccountControl: %3%n

Adresa pozivaoca: %4%n

SID pozivaoca: %5%n%n

Provera valjanosti imena SAM naloga nije uspela

Kada provera valjanosti imena SAM naloga ne uspe, sledeći događaj će biti evidentiran u evidenciji sistema:

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

Directory-Services-SAM

ID događaja

16991

Tekst događaja

Menadžer bezbednosnih naloga je blokirao korisnika da kreira ili preimenuje nalog računara koristeći nevažeći sAMAccountName. sAMAccountName na računarski nalozima mora da se završi jednim znakom $ na kraju.

Attempted sAMAccountName: %1

Preporučeno sAMAccountName: %1$

Uspešni događaji nadzora kreiranja naloga na računaru

Sledeći postojeći događaji nadzora su dostupni za uspešno kreiranje naloga za računar:

  • 4741(S): Kreiran je nalog računara

  • 4742(S): Nalog na računaru je promenjen

  • 4743(S): Izbrisan je nalog računara

Dodatne informacije potražite u temi Upravljanje nalogom na računaru.

Najčešća pitanja

Q1. Kako ovo ažuriranje utiče na postojeće objekte u aktivnom direktorijumu?

A1. Za postojeće objekte validacija se javlja kada korisnici koji imaju administratorska prava izmene atribute sAMAccountName ili UserAccountControl.

Q2. Šta je to sAMAccountName?

A2. sAMAccountName je jedinstveni atribut u svim principalima bezbednosti u aktivnom direktorijumu i obuhvata korisnike, grupe i računare. Ograničenja imena za sAMAccountName dokumentovana su u 3.1.1.6ograničenjima atributa za izvorne ispravke.

Q3. Šta je to sAMAccountType?

A3. Dodatne informacije potražite u sledećim dokumentima:

Postoje tri moguće sAMAccountType vrednosti koje odgovaraju četiri moguće zastavice UserAccountcontrol na sledeći način:

userAccountControl

sAMAccountType

UF_NORMAL_ACCOUNT

SAM_USER_OBJECT

UF_INTERDOMAIN_TRUST_ACCOUNT

SAM_TRUST_ACCOUNT

UF_WORKSTATION_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

UF_SERVER_TRUST_ACCOUNT

SAM_MACHINE_ACCOUNT

4. Koje su moguće vrednosti za UserAccountControl?

A4. Dodatne informacije potražite u sledećim dokumentima:

Q5. Kako mogu da pronađem neposlate objekte koji već postoje u okruženju?

A5. Administratori mogu u direktorijumu da pretraže postojeće naloge koji nisu usameni koristeći PowerShell skriptu kao u primerima ispod.

Da biste pronašli naloge računara koji imaju neposlatnu SAMAccountName:

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Da biste pronašli računarske naloge koji imaju neposlate UserAccountControl sAMAccountType:

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Resursi

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×