Rezime
Windows ispravke za CVE-2021-42282 objavljene 9. novembra 2021. dodajte sledeće verifikacije za atribute u aktivnom direktorijumu (AD):
-
Glavno korisničko ime (UPN) i glavno ime usluge (SPN) jedinstvenost (novo za Windows 8, Windows Server 2012 i starija izdanja)
-
SPN pseudonim jedinstvenosti (novina za sve Windows verzijama)
Jedinstvenost glavnog korisničkog imena i glavnog imena usluge
Ova funkcija garantuje da su SPN-ove jedinstveni u šumi, što sprečava računare i kontrolere domena da dodaju duplirane SPN-ove. Ova funkcija već postoji u programima Windows 8.1 i iznad i opisana je u SPN i UPN jedinstvenosti.
SPN pseudonim jedinstvenosti
Postojeći AD atribut definiše pseudonime za mnoge uobičajene klase usluga za slične HOST SPN-ove za usluge kao što su CIFS, HTTP i RPC. AD atribut je definisan kao lista u kontekstu imenovanja konfiguracije Active Directory šume. Korisnik koji nema administratorska prava možda neće ponovo dodeliti SPN koji se implicitno dodeljuje drugom nalogu pomoću ovog pseu dana.
Napomišite Ova verifikacija se primenjuje pored verifikacije za UPN i SPN jedinstvenost.
Verifikacije SPN pseunonima su podrazumevano uključene. Te verifikacije možete da isključite tako što ćete izmeniti 21. znak atributa dSHeuristics koji se tumači kao niz znakova. Atribut dSHeuristics podrazumevano ne postoji, ali ga možete dodati pod distribuiranim imenom "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Moguće postavke i odgovarajuće vrednosti bita su sledeće:
-
Vrednost 0 – znači Nameti sve (bez skupa bita 000) Podrazumevano
-
Vrednost 1 – znači da onemogući UPN verifikaciju jedinstvenosti (bit 0 set - 001)
-
Vrednost 2 – znači da je onemogućavanje verifikacije SPN jedinstvenosti (bit 1 set - 010)
-
Vrednost 3 – znači da onemogući UPN jedinstvenost i SPN verifikaciju jedinstvenosti. (bit 0 i 1 set - 011)
-
Vrednost 4 – znači da onemogući SPN pseudonim jedinstvenosti (bit 2 set - 100)
-
Vrednost 5 – znači Onemogući SPN pseudonim i UPN verifikaciju jedinstvenosti (bit 2 i bit 0 postavljen – 101)
-
Vrednost 6 – znači Onemogući SPN pseudonim i SPN jedinstvenost (bit 2 i bit 1 postavljen - 110)
-
Vrednost 7 – znači Onemogući sve (svi bitovi podešeni 111)
Primer: Ako u šumi nemate omogućene druge dSHeuristics postavke i želite da onemogućite samo SPN verifikaciju jedinstvenosti, atribut dSHeuristics treba da bude postavljen na: "000000000100000000024"
Znakovi koji su podešeni u ovom slučaju su:
10-ti char: Mora se podesiti na 1 ako atribut dSHeuristics ima najmanje 10 znakova
20-ti char: Mora da se postavi na vrednost 2 ako atribut dSHeuristics ima najmanje 20 znakova
21. char : Mora biti postavljen na vrednost na gorenavedenim listama; vrednost 4 znači Onemogući SPN pseudonim Jedinstvenost.
Napomišite Ako je atribut dSHeuristics već podešen, uverite se da ste objedinili postojeće postavke u novoj dSHeuristics niski atributa i potvrdite da su 10., 20. i 21. znak postavljeni kao iznad. Ostali znakovi koji su već podešeni trebalo bi da ostanu nepromenjeni.
Dodatne informacije o konfigurisanju dSHeuristics znakova potražite u sledećim dokumentima:
Više informacija
Šta je to glavno ime usluge?
Glavno ime usluge (SPN) je jedinstveni identifikator za instancu usluge. Kerberos potvrda identiteta koristi SPN-ove za povezivanje instance usluge sa nalogom za prijavljivanje usluge. To klijenti dozvoli da zahteva da usluga potvrdi identitet naloga, čak i ako klijent nema ime naloga. Više detalja možete da vidite u više detalja u vezi sa glavnim imenima usluga.
Šta je to glavno korisničko ime?
Glavno korisničko ime (UPN) je ime za prijavljivanje u stilu e-pošte za korisnika zasnovano na internet standardnom RFC 822. Za više detalja pogledajte atribut "Glavni korisnik".
Najčešća pitanja
Q1 Šta ako treba da registrujem duplirani pseudonim HOSTA SPN za nalog?
A1 Registrujte neophodni SPN kao administrator.
P2 Šta se dešava ako isključim jedinstvenost SPN ili UPN-a?
A2 To ne preporučujemo. Ako SPN-ovi nisu jedinstveni, onda izgleda kao da svi SPN-ovi koji su duplikati uopšte nisu registrovani. Registrovanje dupliranog SPN-a ima isti efekat kao poništi registraciju prvobitnog. Ako UPN-ove nisu jedinstveni, korisnička pronalaženja koja koriste duplirane UPN-ove neće uspeti.
Q3 Šta se dešava ako isključim spN pseudonim jedinstvenosti?
A3 To ne preporučujemo. Korisnik koji nije administrator može da promeni rezoluciju postojećeg pseumena SPN iz trenutne rezolucije na računar ispod kontrole koja nije administrator. Taj računar može da deluje kao ta usluga jer potvrda identiteta servera koju pruža Kerberos prihvata novi nalog kao pravi host za uslugu umesto originalnog naloga sa HOST SPN.
Q4 Kako administrator domena može da pronađe duplirane SPN-ove ili UPN-ove koji su već prisutni na mreži?
A4 To nije praktično bez pisanja opsežnih skripti za napisivanje svih SPN-ova i UPN-ova iz domena i prijavljivanje radi pronalaženja duplikata.
P5 Šta se dešava ako imam mešavinu upravljača domena koji su ažurirani i nisu ažurirani ili su pogrešno preusmešteni između kontrolera domena?
A5 Replikacija neće biti blokirana zbog dupliranih UPN-a ili SPN-a. Zbog toga duplikati mogu da se ponavljaju na druge kontrolere domena ako se duplirani UPN-ovi ili SPN-ovi kreiraju na kontroleru domena koji nema ispravku.
