|
Promeni datum |
Promeni opis |
|
3. februar 2026. |
|
Rezime
Ispravke za WINDOWS za CVE-2021-42282 objavljene 9. novembra 2021. dodaju sledeće verifikacije za atribute u usluzi Active Directory (AD):
-
Jedinstvenost glavnog korisničkog imena (UPN) i glavnog imena usluge (SPN) (novina Windows 8, Windows Server 2012 i starija izdanja)
-
SPN jedinstvenost pseudonima (novina za sve verzije operativnog sistema Windows)
Jedinstvenost glavnog korisničkog imena i glavnog imena usluge
Ova funkcija garantuje da su SPN-ovi jedinstveni u šumi, što sprečava računare i kontrolera domena da dodaju duplirane SPN-ove. Ova funkcionalnost već postoji u verzijama Windows 8.1 i novijim verzijama i opisana je u jedinstvenosti SPN i UPN-a.
JEDINSTVENOST SPN pseudonima
Postojeći AD atribut definiše pseudonime za mnoge uobičajene klase usluga za jednaki HOST SPN za usluge kao što su CIFS, HTTP i RPC. AD atribut je definisan kao lista u kontekstu imenovanja konfiguracije Active Directory šume. Korisnik koji nema administratorska prava možda neće ponovo dodeliti SPN koji je implicitni dodeljen drugom nalogu pomoću ovog pseudonima.
Napomena Ova verifikacija se primenjuje pored verifikacije za UPN i SPN jedinstvenost.
Verifikacije SPN pseudonima su podrazumevano uključene. Te verifikacije možete da isključite tako što ćete izmeniti 21. st atribut dSHeuristics , koji se tumači kao niz znakova. Atribut dSHeuristics podrazumevano ne postoji, ali ga možete dodati pod specifičnim imenom "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Moguće postavke i odgovarajuće vrednosti bita su sledeće:
-
Vrednost 0 – znači Nametni sve (nema postavljenih bitova 000) podrazumevano
-
Vrednost 1 – znači da onemogućite UPN verifikaciju jedinstvenosti (bit 0 set - 001)
-
Vrednost 2 – znači Onemogući verifikaciju SPN jedinstvenosti (bit 1 set - 010)
-
Vrednost 3 – znači onemogući UPN jedinstvenost i spN verifikaciju jedinstvenosti. (bit 0 i 1 skup - 011)
-
Vrednost 4 – znači Onemogući verifikaciju SPN pseudonima Jedinstvenost (bit 2 set - 100)
-
Vrednost 5 – znači Onemogući SPN pseudonim i UPN verifikaciju jedinstvenosti (2. bit i bit 0 postavljen – 101)
-
Vrednost 6 – znači Onemogući SPN pseudonim I SPN jedinstvenost (skup 2. i bit 1 - 110)
-
Vrednost 7 – znači Onemogući sve (svi bitovi postavljeni 111)
Primer: Ako u šumi nisu omogućene druge dSHeuristics postavke i želite da onemogućite samo verifikaciju SPN pseudonima, atribut dSHeuristics treba da bude postavljen na: "000000000100000000024" Znakovi koji su podešeni u ovom slučaju su: 10. znak : mora biti postavljen na 1 ako atribut dSHeuristics ima najmanje 10 znakova 20. znak : mora biti postavljen na 2 ako atribut dSHeuristics ima najmanje 20 znakova 21. st . znak: mora biti postavljen na vrednost na gorenavedenoj listi; vrednost 4 znači Onemogući SPN pseudonim Jedinstvenost.
Napomena Ako je atribut dSHeuristics već podešen, obavezno objedinite postojeće postavke u novu nisku atributa dSHeuristics i potvrdite da su gorenavedeni 10., 20. i 21. znak. Drugi znakovi koji su već postavljeni treba da ostanu nepromenjeni.
Više informacija o konfigurisanju dSHeuristics znakova potražite u sledećim dokumentima:
Više informacija
Šta je glavno ime usluge?
Glavno ime usluge (SPN) je jedinstveni identifikator za instancu usluge. Kerberos potvrda identiteta koristi SPN-ove za povezivanje instance usluge sa nalogom za prijavljivanje u uslugu. To klijentskom aplikaciji omogućava da zahteva da usluga potvrdi identitet naloga čak i ako klijent nema ime naloga. Više detalja potražite u članku Glavna imena usluga.
Šta je to glavno korisničko ime?
Glavno korisničko ime (UPN) je ime za prijavljivanje u stilu e-pošte za korisnika zasnovano na internet standardnom RFC 822. Više detalja potražite u članku Atribut "Principal-User-Name".
Najčešća pitanja
Q1 Šta ako treba da registruje duplirani PSEudonim HOSTA SPN za nalog?
A1 Registrujte potrebni SPN kao administrator usluge Active Directory Enterprise.
Q2 Šta se dešava ako isključim SPN ili UPN jedinstvenost?
A2 Ovo ne preporučujemo. Ako SPN-ovi nisu jedinstveni, onda je to kao da svi SPN-ovi koji su duplikati nisu registrovani. Registrovanje dupliranog SPN-a ima isti efekat kao poništi registraciju originalnog. Ako UPN-ovi nisu jedinstveni, korisnička pretraživanja koja koriste duplirane UPN-ove neće uspeti.
Q3 Šta se dešava ako isključim jedinstvenost SPN pseudonima?
A3 Ovo ne preporučujemo. Korisnik koji nije administrator može da promeni rezoluciju postojećeg pseudonima SPN iz trenutne rezolucije u računar pod kontrolom administratora. Taj računar može da deluje kao ta usluga zato što bi potvrda identiteta servera koju obezbeđuje Kerberos prihvatila novi nalog kao odgovarajući host za uslugu umesto originalnog naloga sa SPN-om HOST-a.
Q4 Kako administrator domena može da pronađe duplirane SPN-ove ili UPN-ove koji su već prisutni na mreži?
A4 Ovo nije praktično bez pisanja opseženih skripti za nabrajanje svih SPN-ova i UPN-ova sa domena i za pronalaženje duplikata.
Q5 Šta se dešava ako imam mešavinu kontrolera domena koji se ažuriraju i ne ažuriraju ili se ne podudaraju između kontrolera domena?
A5 Replikacija neće biti blokirana zbog dupliranih UPN-ova ili SPN-ova. Zbog toga duplikati mogu da se repliciraju na drugim kontrolerima domena ako se duplirani UPN-ovi ili SPN-ovi kreiraju na kontroleru domena koji nema ispravku.
